Sortir de l’interface native de WordPress ? Jamais de la vie. Proposer une kyrielle de widgets ? Même pas en rêve. Avec lui, la star, ce sont les blocs. Créer votre prochain site WordPress sans quitter l’éditeur par défaut (Gutenberg),…
Qu’avez-vous mis en place en matière de sécurité sur votre site ?
J’imagine que vous avez mis en place un moyen de sauvegarder votre site régulièrement pour remettre votre site en ligne le plus vite possible en cas de problème mais que pouvez-vous faire de plus ?
Dans cette nouvelle recette, vous allez découvrir Login Lockdown : un plugin destiné à bloquer les personnes qui tentent de deviner votre mot de passe (et donc accéder au coeur de votre site pour mettre le bazar).
Par défaut, WordPress ne limite pas le nombre d’essais pour se connecter à l’administration.
Cela signifie que si quelqu’un (ou un robot) tente de se connecter à votre site, cet assaillant aura tout son temps pour essayer des dizaines de mots de passe (et peut-être trouver le bon).
Pas cool n’est-ce pas ?
Bien sûr, étant donné que vous avez déjà pris soin de ne pas utiliser l’identifiant “admin” pour votre site, vous vous sentez peut-être à l’abri.
Quoi ?! Vous utilisez encore “admin” en identifiant ?
Grave erreur, car cela facilite la tâche d’éventuels pirates.
En utilisant l’identifiant “admin”, des personnes mal intentionnées n’auront juste qu’à deviner votre mot de passe.
Avec un identifiant différent d'”admin”, vous allez leur compliquer la tâche et c’est exactement ce que nous voulons 🙂
Nous allons donc faire une petite digression pour expliquer comment…
Changer l’identifiant administrateur de votre site
Si vous n’utilisez pas “admin” en tant qu’identifiant, passez directement à l’étape suivante.
Pour procéder à cette modification, il vous suffit simplement de créer un nouvel administrateur.
Cliquez sur Utilisateurs > Ajouter, entrez un identifiant compliqué ainsi que d’autres informations vous concernant :
Par identifiant compliqué, j’entends une chaîne de 8 à 12 caractères avec des lettres et chiffres. Par exemple : tb7w63a5.
Poursuivez la création de ce nouvel administrateur avec un mot de passe encore plus compliqué que l’identifiant.
Jetez un oeil à cet article pour voir quels sont les mots de passe les plus utilisés et évitez-les car ils seront testés en premier par les pirates.
Personnellement j’ai l’habitude d’utiliser ce site pour générer de bons mots de passe.
Spécifiez ensuite le rôle “Administrateur” et cliquez sur “Ajouter un utilisateur”.
Eh bien voilà, nous y sommes presque.
Il ne vous reste plus qu’à vous connecter avec ce nouveau compte et supprimer le compte doté de l’identifiant “admin”.
Pour finir, il vous sera proposé d’attribuer les articles créé par l’ancien compte à un nouveau compte :
Choisissez bien votre nouveau compte et validez l’opération en cliquant sur Confirmer la suppression.
Refermons cette parenthèse sur l’identifiant du compte administrateur et revenons à la …
Configuration de Login Lockdown
Une fois que vous aurez recherché et installé ce plugin, rendez-vous dans Réglages > Login Lockdown.
À mon plus grand regret, ce plugin n’est pas traduisible en l’état. J’ai envoyé un email à l’auteur pour lui demander de mettre à jour son plugin pour qu’il puisse être traduit.
Nous allons donc devoir nous contenter d’une version anglaise pour cette recette. Bien entendu, je mettrai à jour l’article en cas de traduction de ce plugin.
Voici ce que vous trouverez sur la page de configuration de cette extension :
Examinons chacune des options présentes.
Max Login Retries
Entrez dans ce champ le nombre d’essais maximum autorisés pour tenter de se connecter. À mon sens, 3 essais est un bon compromis.
Si vous êtes seul à vous connecter sur votre site et que vous connaissez vos identifiants par coeur, vous pouvez mettre 1.
Retry Time Period Restriction (minutes)
Durée en minutes pendant laquelle les tentatives seront comptabilisées par le plugin.
Par exemple si vous conservez la durée par défaut de 5 minutes et définissez 3 tentatives pour le paramètre précédent, si une personne essaie de se connecter 3 fois en 5 minutes, elle sera bloquée.
Lockout Lenght (minutes)
Durée de blocage en minute. Entrez la durée pendant laquelle votre assaillant sera bloqué.
Par défaut, la durée est de 60 minutes mais vous pouvez être plus dur en mettant 1440 soit 24 heures.
Lockout Invalid Usernames ?
Par défaut, Login Lockdown ne se déclenchera pas si quelqu’un tente de se connecter avec un identifiant qui n’existe pas. Je vous recommande vivement de cliquer sur Yes pour activer le plugin dans ce cas.
Étant donné que votre identifiant est différent de “admin”, les petits malins qui tenteront de se connecter avec “admin” seront automatiquement mis sur la touche.
Mask Login Errors ?
Lorsqu’une tentative de connexion échoue, WordPress affiche un message pour indiquer que l’identifiant n’existe pas et un autre message si l’identifiant existe mais que le mot de passe est erroné.
L’inconvénient avec ces messages est que cela donne des informations précieuses aux personnes mal intentionnées.
Notre but est donc de leur compliquer la tâche en cochant Yes pour masquer ces messages.
Show Credit Link ?
La dernière option proposée par cette extension est purement esthétique. Elle permet d’afficher un lien de promotion pour montrer que le site est protégé par Login Lockdown.
3 possibilités vous sont offertes :
- Afficher le lien
- Afficher le lien avec une balise nofollow (pour indiquer aux moteurs de recherche de ne pas suivre ce lien)
- Ne pas afficher le lien
Personnellement je vous recommande d’opter pour le 3ème choix, c’est à dire de ne pas mentionner le plugin.
La première raison est de ne pas montrer que vous utilisez ce plugin. Si un jour une faille est découverte à l’intérieur, votre site aura l’équivalent d’une pancarte géante sur laquelle il sera indiqué : Attaquez-moi !
La seconde raison est que cela ne sert à rien. Qui est censé visiter la page de connexion à part vous et éventuellement vos collègues ?
Pour valider votre configuration, il ne vous reste plus qu’à cliquer sur Update Settings et le tour sera joué 🙂
Conclusion
Protéger son site n’est pas une mince affaire. Toutefois …
Il va sans dire qu’utiliser ce plugin sans avoir d’identifiant ni de mot de passe complexes ne sert à rien. Il faut mettre un maximum de bâtons dans les roues des pirates n’est-ce pas ?
Connaissiez-vous le plugin Login Lockdown ? L’utilisez-vous déjà pour votre site ? Allez-vous le faire ?
Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20000 personnes l'ont fait, pourquoi pas vous ?
Parfait, ce sera installé d’ici peu. Merci !
Il n’y a pas de quoi Yohann 🙂
Hello,
pour ma part j’utilise Limit Login Attempts sur mes site et il fonctionne très bien.
Au préalable j’opte bien sûr systématiquement pour un login d’admin “original” avec un mot de passe compliqué. Quand je manque d’inspiration pour le choix du mot de passe, je vais sur le site http://www.generateurdemotdepasse.com/ 🙂
Il faut dire que je me suis fait pirater 2-3 fois des sites et ça pousse à prendre ce genre de précaution.
Quand on a passé quelques week ends à remonter des sites bousillés par des pirates de pacotille, on finit par chercher des parades !
Bonne continuation !
Bonjour Béatrice,
En fait sur certains de mes sites j’utilise aussi Limit Login Attempts, il va falloir que j’en fasse également une recette.
Merci pour ton commentaire et à bientôt
Alex
Bonjour,
j’utilise aussi Limit Login Attempts qui est très efficace, il m’est arrivé de me retrouver moi même bloqué ! :o)<
Mais je me pose une question comment protéger l’accès à son ftp ?
Car en passant par là on peut désactiver facilement n'importe quel plugin….
bien à vous,
Christophe.
Bonjour Christophe,
Pour le FTP, je ne vois qu’un très bon mot de passe (toujours avec le site mentionné dans l’article).
Au plaisir
Alex
Bonjour Alex,
Je ne connaissais pas ce module !
Généralement j’utilise WordFence qui propose aussi ces fonctionnalités ainsi que bien d’autres. Mais plus lourd !
Pourquoi pas un futur article sur WordFence ?
J’utilise aussi :
SX User Name Security qui masque l’ID et le login des utilisateurs dans le code source de la page.
SF Author URL Control qui permet de changer l’url pour masquer le login (faire une redirection 301 si appliqué sur un site déjà existant).
Nicolas
Bonjour Nicolas,
En effet, un article sur WordFence serait intéressant. Toutefois cet article viendra décrire ce que propose le plugin WordFence car n’étant pas expert en sécurité je ne peux pas certifier qu’il accompli bien ce qu’il prétend faire.
Merci pour les autres plugins de sécurité, je ne les connaissais pas 🙂
Au plaisir
Alex
Bonjour Alex,
Le plugin Wordfence Security offre aussi des options pour bloquer les assaillants sur le login et énormément plus en matière de sécurité.
De fait, Login Lockdown devient inutile, d’autant que si l’on se bloque par erreur, avec ce plugin il n’y a pas de solution autre que passer par ftp pour le supprimer dans le dossier wp-content/plugin de son wp.
A noter que ceux qui recherche une protection encore +efficace, le plugin Stealth Login Page permet quand à lui d’adjoindre un second mot de passe sur la page de login.
Bien cordialement,
José
Merci pour ton commentaire José.
Perso, je ne suis pas super fan des plugins de sécurité tout en un. Après, il en faut pour tout le monde 🙂
Il y a aussi le plugin Clef pour accéder à ton site grâce à son téléphone.
A bientôt
Alex
Bonjour Alex
Merci pour cet outil vraiment bien, pour ma part, j’utilise iThemes Security, j’aimerais que tu nous donnes des commentaires sur ce plugin également si possible
Salutations
Rebonjour,
j’utilise aussi Ithèmes, il a une fonctionnalité intéressante, on peut choisir un créneau horaire durant lequel il n’y a plus d’accès admin.
Je dors ainsi mieux la nuit :o)<
Bonjour
J’utilise en plus le plugin de Sucuri security avec abonnement Sucuri protection pour mon site et mes sites que je gère, avec en plus d’avoir un site avec HTTPS…et avec un super mot de passe dont moi-même j’ai de la difficulté à retenir, j’espère de bien dormir aussi …
Daniel
Rerebonjour ;o)<
j'utilise SiteGuarding comme Antivirus et pour ce qui est des mots de passe j'en ai plus de deux cents différents en fonction des sites où je vais et ils sont enregistrés et cryptés par le logiciel Dashlane…depuis je ronfle !
Merci Christophe des informations ! Vous venez de me simplifier la vie avec ces outils 🙂
Daniel
Bon tutoriel. Du courage Monsieur le Cuistot
Merci Willy 🙂
rererebonjour….Daniel
heureux de vous avoir aidé !
;o)<
Bonjour Alex
Merci mille fois pour cet article clair. J’ai suivi toutes les instructions, d’une facilité déconcertante. Bravo
Meilleurs vœux à tous les cuistots. Roger
Ravi d’avoir pu être utile Roger 🙂
Bonsoir,
Merci pour cet article très clair. Avant de l’installer je me posais juste la question : alourdit-il fortement le site ?
Bonjour Nath,
Etant donné que le plugin ne se charge que sur la page de connexion, je ne pense pas que la vitesse du site soit fortement impactée.
Au plaisir
Alex
Bonjour,
J’utilise aussi Wordfence qui possède en lui-même plusieurs étages de protection, si vous avez fait une bêtise, on peut se faire envoyer un email de déblocage. Pour des blogs plus sensibles, j’ai protégé wp-login avec un htaccess, cela me fait deux login et mot de passe à mettre mais au moins je complique la tâche des pirates mais attention, quand ils veulent vraiment, tous nos moyens de protection ne servent à rien !
Il leur suffit de profiter d’une faille d’un thème ou d’un plugin pour déposer un script qui prend le contrôle de tout votre hébergement sans devoir passer par wordpress, a solution est d’avoir un bon backup avec une restauration aisée !
J’ai cité dans mon cas UpdraftPlus en mode gratuit.
Patrick
Merci pour ton commentaire Patrick. En te lisant je me dis qu’il faut vraiment que je fasse un article sur WordFence ^^
Bonjour, et merci du filon pour ce plugin ! y’a t’il une traduction ?
tout est en Anglais !
Merci beaucoup
Bonjour Mazé, pas de traduction à ma connaissance mais vous pouvez en parler à fxbenard 😉
Bonsoir,
Intéressant si on est plusieurs à partager l’admin. Mais comme la plupart du temps il n’y a qu’un admin, le plus radical c’est de limiter l’accès à wp-login.php à grand coup de htaccess…
Très bonne remarque 🙂
Et encore merci pour vos recherches !
De rien 🙂
Merci pour cette article Alex,
J’étais un utilisateur de ithemes security, mais qui est trop gourmand à mon goût.
Du coup je vais scinder en petits plugins en fonction des besoins, et je vais donc donner sa chance à celui-ci.
Login Lockdown ne semble pas à jour pour WP 4.1, est-il compatible ? Je suppose qu’il ne fonctionne pas en localhost si on souhaite le tester ?
Bonjour Dominique,
Il fonctionne, c’est juste que personne ne l’a indiqué sur la page du plugin 🙂
Bonjour,
Le plugin a l’air bien, mais il n’est plus maintenu à jour, de mon point de vue, cela augmente les risques de failles de sécurité, un hacker a plus de temps de chercher dans un plugin non à jour la faille.
Par prudence, peut être trop de prudence, je préfères les plugins qui indiquent soit compatible avec la dernière version de WordPress ou dernière mise à jour de 2015.
Un grand merci pour cet article <3 Peu de temps après avoir fait toutes les manips (shame on me, je n'avais même pas changé l'identifiant admin), je viens de subir une méchante attaque, qui a été évitée, heureusement 🙂
Ouf, tu l’as échappé belle ^^
Bonjour,
J’utilise Limit Login Attempts d’après des conseils sur tes pages je crois.
Est-il moins bien que Login Lockdown ?
Merci pour toutes ces infos de qualité
Bonjour Alice,
Il faut que je teste mais ils sont équivalents à mon sens 🙂
Bonjour
Merci pour cet article très complet
Les sites worpress hébergé chez OVH rencontre un problème de compatibilité avec l extension de sécurité Acumix …
Je vous recommande d utiliser soit Itheme sécurité soit Wordfence afin de sécuriser facilement votre site WordPress.
Certain plugins WordPress comportent des failles de sécurité …et ces extensions sont parfois incompatibles entrent elle…
Si votre site wordpress plante suite à l installation d un de ces plugin pas de panique …Connectez vous via le ftp …. allez dans le dossier wp-content ….puis plugins et renommez l extension qui pose problème exemple :itheme security deviendra ithemesecurity1 et voila ca remarche !
Merci pour cet article.
WordPress → me fait peur de plus en plus.
Avec plaisir !
De nouveaux articles viendront pour continuer de démystifier WordPress 😉
Bonjour Alex,
Je te lis depuis maintenant pas mal de temps et j’aime à la fois le ton et la qualité de ton blog.
J’installe actuellement mon premier wordpress pro et j’aurai aimé savoir quel plugin de sécurité tu me conseillerais en plus de login lockdown, pour bien protéger le site.
Je lis ça et là que wordfence pèse assez lourd dans la balance !! Que penser de Sucuri en version gratuite ? Efficace ? Pas trop lourd ?
Enfin, sur tes conseils, j’ai installé udraftplus !
Merci par avance,
Stéphane
Bonjour Stéphane,
Merci pour ton message 🙂
Personnellement, j’ai opté pour Sucuri (en version premium) mais j’ai entendu beaucoup de bien de iThemes Security. Il y a aussi SecuPress de WPMédia qui va bientôt sortir (il risque de faire beaucoup de bruit !).
Bonne continuation
Re,
Merci d’avoir répondu aussi vite.
Je pense en effet tester iThemes Security et tu confirmes la bonne impression que je m’en suis fait à la lecture de plusieurs ressources.
Je n’ai pas encore entendu parler de Secupress mais je vais aller y jeter un coup d’oeil avant sa sortie.
Tu conseilles de l’installer en ftp ou directement depuis le dashboard?
Concernant Sucuri (et d’après ce que j’ai pu en lire), il est très limité en gratuit alors que puissant en premium.
Tout comme en cuisine, je vais donc suivre ta recette (Ithemes Security) en espérant qu’il ne va pas mettre trop de chaos sur ma config.
A bientôt
Question qui semblera peut-être idiote mais tant pis. Je comprends l’application de ce plugin sur ce site par exemple, mais sur un thème LMS donc avec des connexions d’étudiants, serait-il pertinent de l’installer ?
Merci
(et mille merci, grâce WP Marmite j’ai réussi à faire seule un site tout à fait convenable de formations en ligne).
Salut Julie,
Oui c’est tout à fait possible. Il faut juste que tes étudiants arrivent à se connecter au bout du nombre de fois que tu auras spécifié.
En complément, je te conseille ce plugin pour éviter que plusieurs personnes se connectent avec le même compte 😉
Bonne continuation et merci de suivre la Marmite !
Bonjour,
Actuellement en train de mettre en place un site web, je fais le tour des plugins indispensables pour un WordPress, Login LockDown en fait partie et grâce à votre article j’ai pu le configurer correctement.
Merci
Ravi d’avoir pu être utile 🙂
Bon a savoir : dans mon entreprise mes collègues ont un compte “abonné” et si l’un d’eux se trompe plusieurs fois et bloque la connexion, étant moi-même sur la même adresse ip je ne peux plus ne connecteur pendant le temps défini dans le plugin. C’est le seul défaut que je reproche a cet outil précieux.
En effet, Login Lockdown se sert de l’IP pour identifier un utilisateur.
Merci pour votre retour !
Bonjour et merci pour votre article.
ce plugin est parfait mais les message d’erreurs en anglais , lorsqu’un utilisateur essaye de se logger, sont insupportables.
Impossible de traduire avec loco translate !
Comment fait-on ???
Bonjour johanna, je pense que vous devriez contacter un freelance spécialisé wordpress pour corriger cette étape
Bonjour tout le monde,
J’ai contacté plusieurs fois sans succès le développeur après avoir entièrement traduit son extension.
https://wordpress.org/support/topic/translation-plugin-pull-request/
Si quelqu’un est intéressé d’utiliser la dernière version de login lock down avec le support des langues notamment le français, j’ai créé un fork ici : https://github.com/rvola/login-lockdown
Merci pour le partage Nicolas
un freelance pour changer 2 phrases… ?
J’aurais juste trouver l’endroit (le fichier) où sont stocké ces 2 phrases…
Si vous posiez la question, c’est que je pensais que vous ne souhaitiez pas mettre les mains dans le code.
Sinon il existe deja la version traduite ici :
https://github.com/rvola/login-lockdown 😄
Eh bien voilà 🙂
Merci pour l’info Nicolas
Merci Nicolas
pouvez vous juste me donner la marche à suivre pour mettre à jour ces fichiers : https://github.com/rvola/login-lockdown
J’ai essayé plusieurs fois en ftp puis avec locotranslate pour qu’il retrouve ces fichiers mais locotranslate ne voit pas la version FR
Bonjour johanna, je vais regarder ça
Bonjour
Je viens d’avoir un gros problème avec jetpack Protect :page administration inaccessible par blocage adresse IP ( je suis hébergé chez OVH ).Puis-je utiliser Login lock down sans avoir le même problème
Merci
Guy
Bonjour Guy, je n’ai pas eu d’expérience similaire mais je ne vois pas pourquoi cela poserait problème.
Tous mes sites utilises login lock down (hébergés chez O2 switch par contre) et je n’ai jamais eu de blocage d’adresse IP
Bonjour à l’équipe Marmite !
J’ai déjà mis sur pied un blog photo que j’ai laissé tomber il y a quelques mois suite à de (trop) nombreux problèmes à cause d’un hackage d’abord et d’un gros plantage ensuite.
Il y a quelques jours, je décide de remettre la main dans le cambouis !
Au gré de mes recherches pour un thème ad’hoc, je suis tombé sur votre blog !!!
Le moins que l’on puisse dire c’est qu’il a vachement réfréné mes ardeurs et ma grande impatience à remettre mon site en place. En effet je me suis rendu compte que j’avais commis pas mal des erreurs mentionnées dans vos nombreuses pages.
Déjà merci pour tout celà !
Je vais tenter d’appliquer un max de vos conseils à commencer par prendre le temps de faire les choses dans les règles.
Je me suis fort logiquement inscrit à la newsletter qui à elle seule est une mine d’or.
La sécurité est un des éléments primordiaux, « Login Lockdown » est un plugin basique et qui me semble incontournable.
Mes différents comptes sur les réseaux sociaux sont protégés par la double authentification (Google authenticator pour ne pas le citer).
Il existe une version pour WP et j’aimerais savoir ce que vous en pensez.
Sachant que j’ai déjà lu à de nombreuses reprises : « les plugins oui mais pas trop » car ce sont aussi des possibilités de porte d’entrée.
D’avance merci pour vos bons soins !
Merci beaucoup Alex. Etant novice en WP tous tes articles me sont d’une grande aide. Encore merci.
Merci Eric 🙂
Merci beaucoup Alex pour ces explications très claires comme toujours 🙂
Bonne journée !
Bonjour Alex,
j’ai la dernière version de WP et Login Lockdown m’indique qu’il n’a pas
été testé avec ma version de WP, puis-je l’installer quand même?
Merci.
Oui vous pouvez Michel normalement
Bonjour Alex,
j’ai la dernière version de WP et Login Lockdown m’indique qu’il n’a pas
été testé avec ma version de WP, puis-je l’installer quand même?
Merci.
Oui pas de problème à priori
Bonjour Alex
J’ai bien installé le plugin en question, mais je n’ai pas accès aux configuration des options.
Y a t’il une autre version ?
Merci pour ta réponse.
Jean-Pierre
Bonjour, vérifie les options car normalement il n’y a que celui la
super tuto, instalé et configuré rapidement grace à toi
Bonsoir Alex
J’ai installe le plugin Login Lockdown et il ma bloqué mon IP. Impossible de se connecter obliger de faire le modification du PW dans la BDD.
Cordialement
Alain
Bonjour, tu peux supprimer le plugin du FTP directement de manière à ne plus être bloqué.
Salut Alex,
J’ai bien suivi les explications et installé Login Lock Down. J’ai procédé à la mise à jour de l’identifiant ainsi que le mot de passe il y a une heure et depuis, il m’est impossible de me connecter à mon interface WordPress avec les nouveaux codes.
Je suis en train de m’arracher les cheveux, je sais que vous n’aidez pas spécialement mais… heeeeeelp !
Hello, supprimes l’extension directement sur ton FTP et tu retrouveras un accès à ton site.