[WordPress] Login LockDown, protégez votre blog des hackers
Lorsqu’on édite un blog et qu’on y met toute son énergie, l’une des choses les plus redoutées et de se faire hacker.
L’attaque la plus commune consiste à usurper l’identité de l’administrateur en trouvant son mot de passe par « bruteforce ». Cette technique consiste, en gros, à essayer toutes les combinaisons de mots de passe possibles jusqu’à tomber sur le bon.
Sur les blogs WordPress, il n’existe, par défaut, aucune méthode pour empêcher ce genre d’attaques. Il est possible de tenter de se loguer autant de fois qu’on le souhaite. Pire, WordPress ne donne même pas la possibilité d’enregistrer les adresses IP qui tentent une identification.
Login LockDown est un plugin qui permet de définir un nombre maximum de tentatives de login avec une adresse IP donnée et dans un laps de temps donné. De plus,il enregistre toutes les adresses IP et les bloque en cas d’infraction.
Une fois installé, il suffit de se rendre dans l’interface d’administration de votre blog et de cliquer que le menu Login Lockdown. Là, vous trouverez les options du plugins :
Dans cet exemple, une même adresse IP pourra tenter de se loguer 3 fois dans une période de 60 minutes. A la troisième erreurs, l’adresse sera bannie pendant 120 minutes.
J’ai également choisi de cacher le message d’erreur de WordPress qui indique qu’il s’agit bien d’une erreur de mot de passe. C’est une indication supplémentaire pour le hacker, qu’il n’est pas nécessaire de lui donner .
Bien entendu, ce plugin ne vous protègera pas à 100%. Aujourd’hui, il est très facile de passer par un réseau ou un proxy publics pour se faire passer pour un autre (et donc avoir une autre adresse IP).
Le mieux est encore d’utiliser les restrictions d’accès (DENY
, ALLOW
) pour certaines pages dans le fichier .htaccess
de votre blog, en indiquant uniquement votre adresse IP (et éventuellement une de secours en cas de déplacement).
Téléchargez le plugin pour WordPress Login LockDown (.ZIP, 12Ko)
Pour tester la sécurité de votre blog WordPress et découvrir ses failles, lisez le billet sur WP-Scanner.