Tout savoir sur WordPress

Limit Login Attempts : Sécuriser les attaques de Brute Force

L’une des attaques les plus fréquentes sur un site WordPress est le Brute Force. Pour s’en protéger, il existe plusieurs plugins dont Limit Login Attempts.

L’une des attaques les plus courantes contre un site WordPress est le Brute Force. Cette technique consiste à envoyer un robot sur votre site pour effectuer de manière très rapide une multitude de combinaison pseudo/mot de passe sur la page de connexion à l’administration.

Il existe plusieurs solutions pour se protéger contre le Brute Force et améliorer ainsi la sécurité d’un site WordPress.

Pour commencer, il est fortement conseiller de ne jamais utiliser le pseudo « admin ». C’est le pseudo qui était proposé par défaut sur les anciennes versions de WordPress, mais il est encore utiliser à tort lors de la création de nouveaux sites.

Pour contrer les risques de Brute Force, je vous recommande l’utilisation du plugin Limit Login Attempts. Il permet de limiter le nombre de tentatives de connexion à l’administration.

Par défaut, si quelqu’un se trompe de mot de passe 4 fois de suite, son adresse IP sera automatiquement bloquée pendant 20 minutes. Ensuite, si une adresse IP est bloquée 4 fois de suite, le temps de bloquage est augmenté de 24h.

Tous ces paramètres sont personnalisable dans la page d’options du plugin.

Page d'options de Limit Login Attempts
Page d’options de Limit Login Attempts

Ce plugin permet aussi d’envoyer un email à l’administrateur lorsqu’une adresse IP vient d’être bloquée. En activant cette option, vous allez voir que le nombre de tentatives de connexion sur le pseudo « admin » est vraiment impressionnant.

Limit Login Attempts est l’un des plugins indispensables à toute installation WordPress. Le Brute Force est un réel problème et il fortement conseillé d’installer un plugin comme celui-ci pour s’en protéger.

Cet article a été mis à jour il y a 1289 jours - Il n'est peut être plus à jour !

Article écrit par Jonathan B.

Jonathan est le co-fondateur de WP Media, startup connue pour être l’auteur de WP Rocket et Imagify. Il est aussi co-organisateur du WordCamp Lyon et Paris.

33 Commentaires

  1. Entre un plugin gratuit et un service à 19 dollars par mois/site – tout le monde ne peut pas se le permettre.

    Il y a une faiblesse dans ce type de plugin: si on subit une attaque sévère, le serveur sature rapidement à gérer tous les avertissements. J’ai préféré cette alternative http://wordpress.org/plugins/project-force-field/ qui résout élégamment le problème. Bon, d’un autre côté, je n’ai jamais eu à subir de telle attaque…

  2. @Li-an: Pout avoir subi plusieurs attaques sévères sur ce site, je peux t’assurer que le plugin ne change rien à la charge du site :)

  3. Bon, moi je me contente de lire les descriptions des plugins :-) Je ne suis pas un spécialiste de la sécurité.

  4. Personnellement, j’utilise iThemes Security, qui est globalement assez complet et ne fait pas que ça. en plus de modifier les .htaccess.

    après il est bon aussi de bloquer directement certains pays avec le .htaccess
    et les rediriger vers une page bidon ( google ou autre )

  5. @Lyric: Je ne suis pas du tout fan des plugins comme Wordfence ou iThemes Security. Je pars du principe qu’un site internet ne se protège à coup de centaines de lignes dans le fichier .htaccess.

    À part ralentir les perfs d’un site, je suis très septique sur leur efficacité et leur intérêt réel.

  6. Tu aurais peut-être du faire une petite note sur l’avertissement sur le repo de wordpress. Le plugin n’a plus été mis à jour depuis 2 ans. Il fonctionne toujours, mais ça peut rebuter pas mal de monde vu qu’on rabâche souvent de ne pas utiliser ce genre de plugin pour risque de faille…

  7. @Nokow: Il y a des plugins qui n’ont pas besoin d’être mis à jour. Limit Login Attempts fonctionne très bien sur la dernière version de WordPress et je n’ai jamais eu de bug en 2 ans d’utilisation :)

  8. Je suis assez d’accord avec Li-An. Sur un site je commençais à avoir plus de trois cent tentatives de connexion à la minute.

    J’ai mis en place une protection à double niveau, avec l’accès au wp-login.php et wp-admin protégé par htpasswd
    -> deux mots de passe à craquer
    -> pas automatisable par le robots standard qui cherche à forcer les sites wordpress

    Plus rien…

  9. @Marie-Aude: Oui, bien sûr, ce n’est pas la solution radicale. Un autre article sera publié lundi prochain pour proposer une solution qui est la plus sécurisée à mon sens.

    Mais il faut bien se dire que tout le monde n’a pas les capacités et les connaissances nécessaires pour mettre en place un htpasswd ou une restriction par IP sur son site.

    Limit Login Attemps a tout de même le mérite de faire très bien son job et il est à la portée de tous.

  10. Merci pour ce billet et ce plugin que j’ai de suite installé.

    J’attends aussi du coup le billet sur « Ta » solution la plus sécurisée…

    A force de mette des plugins dans tout les sens, on se retrouve vite avec 24 plugins actifs…

  11. @Florent: Le nombre de plugins importe peu. Si chacun de tes plugins a une utilitée, il ne faut pas s’en priver ;)

  12. Bonjour,
    Personnellement, j’ai choisi d’installer une double authentification — BAW More Secure Login — à mon avis, la solution la plus performante. Avec cette protection, est-il utile d’avoir LLA ou un plugin similaire en plus ? Merci

  13. @Pierre: Il faudrait demandé confirmation à Julio, mais son plugin n’est pas un anti brute force dans le sens où il ne banni pas les IP après bloquage.

    De plus, je ne suis pas fan du champ supplémentaire imposé aux utilisateurs.

  14. Salut !
    Pour ma part, depuis que la solution Cloudflare s’est révélée obsolète, j’ai choisi de coupler ce plugin qui me rend de fiers services depuis le début, à iQ Block Country qui bloque le backend aux IP des pays de son choix (c’est à dire tous sauf le mien). Résultat : problème résolu à 99%, mais il y a toujours un risque.
    Ce qui est marrant, c’est que j’étais passé par ici à l’époque, pour chercher une ligne de code pour restreindre l’accès à l’admin à une IP unique.
    Même avec mon petit site, j’ai essuyé des vagues impressionnantes de tentatives de forçage. Je plains le débutant qui se permet d’ignorer la menaces réelle.

  15. Merci pour l’article. J’ai longtemps utilisé ce plugin.
    Comme je suis passé sur WordFence, je n’en ai plus besoin.

    @Jonathan Dans mon cas, c’est WordFence avec certains pays bloqués + quelques IP qui m’a redonné une bien meilleure performance comparée à avant l’installation de cet l’outil.

    @Li-An le prix est de 39$ par an, par site et non par mois.

  16. @Stef & Grégoire: Attention, la restriction d’IP par pays est la dernière des solutions à choisir et ce n’est pas une solution en soit.

    Je suis français résident en Chine, je ne peux pas accéder à votre site. Je suis belge et non résident en France, je ne peux pas accéder à votre site.

    La sécurité d’un site ne doit en aucun cas gêner la navigation d’un internaute (quelque soit sa provenance.

  17. @Jonathan : Désolé, je n’ai pas été clair. J’interdis l’accès aux IP étrangères seulement pour le backend et non le frontend. Le plugin permet ça.
    J’ai une bonne partie de mes lecteurs depuis des pays francophones, jamais je ne me serais permis de leur interdire l’accès aux articles.

  18. @Stéf Attention dans la mise en place de cette solution car dans certains cas on peut faire appel à des fichiers du back-end en front (wp-admin/admin-ajax.php) pour de l’ajax.
    Il faut bien faire attention de limiter uniquement wp-login.php et pas autre chose.

  19. Merci pour la présentation de ce plug in et toutes les explications en commentaires. Je vais l’installer parce que j’ai remarqué que certains avaient tenter de se connecter à mon blog récemment.

  20. Vous pouvez déjouer facilement la Brute Force avec la solution Lastpass que ce soit la version free ou la Version Entreprise…

  21. Bonjour, merci pour ce rappel.
    « Login Attemp » est un bon plugin dissuasif, mais je préfère utiliser Wordfence Security qui est plus complet et permet les blocages IP avec plus de paramètres, notamment le blocage par pays (version Premium). En plus, le scan vous donne un aperçu des fichiers sensibles et peut aussi bloquer totalement l’accès au wp-admin en prévision d’attaque BruteForce. Quant à l’outil Live Traffic intégré, il vous aide à identifier les utilisateurs humains des crawlers (les vrais et les fake), quelles IP tentent de se connecter et avec quels identifiants, etc. En somme, les options de blocage sont réellement performantes.

    Bien sûr un .htaccess optimisé + htpasswd sur l’admin est toujours bon à prendre. Vous trouverez sur le web un grand nombre d’optimisations intéressantes. Si vous ne souhaitez pas chercher, je peux vous transmettre le mien. Il est fiable, efficace et il a fait ses preuves très récemment .-)

  22. Bonjour,

    Mon site subit des attaques depuis plusieurs jours.
    Celles-ci viennent apparemment d’Ukraine, mais le hacker utilise d’autres machines (surement infectées) en Hollande, Allemagne, Etas unis….

    C’est grâce au plugin iThemes Security que j’ai pu être avertie et me protéger.
    Cependant, il ne lâche pas l’affaire (encore des essais pendant que je vous éccris).

    J’ai donc installé iQ Block Country pour interdire l’accès au Back-end (voire front-end) à certains pays.

    Les 2 plugins sont donc « en fonction » sur le site, mais je n’ai que des alertes de iThemes Security sur les pays que j’ai pourtant bloqué avec iQ Block Country.

    Ma question : est-ce que ces 2 plugins peuvent fonctionner ensemble ?
    merci

  23. Excellent plug-in que j’installe sur toutes mes productions WP, il permet de suivre le trafic des robots sur les sites. La bonne mesure de sécurité reste un couple user/password bien choisit contre le la piratage, mais il faut penser aussi à l’accès FTP, je vois pas mal de piratages réalisés sur des sites ayant un user/pass FTP trop faible.

  24. Bonjour,

    Cela fait plusieurs jours déjà que j’arrive plus à me connecter à mon wordpress car il a été bloqué suite aux divers tentatives de log it. Connaissez-vous une solution pour que je puisse de nouveau accéder à mon site ? Je commence à désespérer…

  25. bonjour
    vue que je viens de passer 2 journée hyper noir lol avec des robots qui on essayé de forcer mon accès et essayé de mettre en place justement un plugin qui cache via une autre url wp-admin pour les forces brute ;),
    j’ai trouvé un super et simple plugin qui certain d’entre vous connaissent déjà et surement, c’est « Rename wp-login.php (unmaintained) », honnêtement il est vraiment simple a placer, j’espère que cela pourra aider des autres
    cordialement

  26. Bonjour Jonathan
    Pour sécuriser les sites web de mes clients j utilise ces deux plugins :Itheme security et Bps security …on retrouve dans ces deux extensions de quoi bloquer les brute-forces …
    Personnellement je préfère le plugins Itheme security …

    • Salut, D’ici quelques jours tu pourras tester Secupress, crée par la team de Jonathan justement. Je prépare l’écriture d’un article de test complet à ce propos sur GeekPress

78a40023bb618fea45dfe4e87ab35bffllllllll