Si Vous êtes inquiet de voir votre site WordPress piraté , voici un moyen de renforcer votre protection contre les attaques Brute Force grâce au plugin « Login LockDown »
Une attaque brute force survient lorsqu’un pirate tente de découvrir votre mot de passe de connexion pour prendre le contrôle de votre site WordPress.
Pour ce faire, il va utiliser un logiciel qui va tester une multitude de mots de passe en un temps record en espérant finir par trouver le bon.
Login LockDown va vous protéger de ce style d’attaque en enregistrant tout d’abord l’adresse IP de chaque personne (ou bot) qui tente de se connecter à votre tableau de bord WordPress puis, si pour une même adresse IP (ou des adresses situées dans la même plage) les tentatives infructueuses se multiplient sur une courte durée, il les bloquera.
Comment configurer login LockDown ?
Login Lockdown est un plugin gratuit que vous pouvez téléchargez à cette adresse https://fr.wordpress.org/plugins/login-lockdown/ (ou directement par le biais de la recherche d’extension de WordPress).
Une fois cette étape terminée, allez dans le tableau de bord de WordPress, cliquez sur réglage puis sur Login LockDown.
Vous arrivez sur le tableau où paramétrer le login.
Voyons les options ensemble.
MAX LOGIN RETRIES :
Le nombre de tentatives de connexion infructueuses dans un certain laps de temps avant que l’IP ne soit bloquée (marche conjointement avec l’option ci-dessous).
RETRY TIME PERIOD RESTRICTION (MINUTES)
Période durant laquelle les tentatives de connexion infructueuses ont eu lieu (marche conjointement avec l’option précédente).
LOCKOUT LENGTH (MINUTE)
Combien de temps va durer le blocage.
Les paramètres par défaut bloquent l’adresse IP après 3 tentatives de connexion infructueuses dans les 5 minutes, et la maintient bloquée durant 60 minutes.
Les valeurs par défaut sont tout à fait correctes mais vous pouvez les ajuster si vous le souhaitez.
LOCKOUT INVALID USERNAME
Ici vous pouvez bloquer toute personne (IP) qui rentre un nom d’utilisateur inexistant.
MASK LOGIN ERRORS
Cette option consiste à masquer les messages d’erreur. Par exemple, si vous entrez un nom d’utilisateur correct mais tapez un mot de passe incorrect, vous obtiendrez le message d’erreur suivant : «ERREUR: le mot de passe que vous avez entré pour le nom d’utilisateur admin est incorrect.»
Ce type de message d’erreur spécifique peut être utile à quiconque tente de deviner vos identifiants.
À l’aide de Login LockDown, vous pouvez choisir de masquer ces messages d’erreur et compliquer la tâche aux éventuels pirates.
SHOW CREDIT LINK ?
Dans la dernière option, vous pouvez choisir d’aider le développeur de ce plugin gratuit en affichant un lien de crédit sur votre page de connexion.
Voilà, il ne vous reste plus qu’à enregistrer les paramètres en cliquant sur « Update Settings »
Login LockDown activity
Cet onglet situé en haut à côté de l’onglet Settings est l’endroit où trouver toutes les adresse IPs bloquées par Login Lockdown.
Vous pouvez débloquer n’importe laquelle en la sélectionnant et en cliquant sur « Release Selected »
