Security Blog
Security Blog
Posted By Gregory

Limiter les tentatives de connexion sans plug-in?

Comment protéger la page de connexion WordPress sans utiliser de plugin


English version: Limit login attempts without a plugin?


Vous pouvez trouver de nombreux commentaires et conseils à ce sujet sur Internet. Mais est-ce réel?

Par défaut, WordPress autorise un nombre illimité de tentatives de connexion via le formulaire de connexion, en envoyant des cookies spéciaux, en utilisant un appel XML-RPC et des appels d'API REST. Cela permet aux mots de passe d'être craqués avec une relative facilité via une attaque par force brute. De nos jours, les hackers et les bots tentent constamment de se connecter à votre site WordPress en devinant votre mot de passe administrateur et les mots de passe des autres utilisateurs enregistrés sur le site. Donc, si vous voulez protéger votre site sans utiliser de plugin, vous avez besoin de:

  1. Connaissez bien PHP .
  2. En savoir assez sur le filtre et l'action d'authentification (intégré à WordPress) pour les accrocher. Je recommande de démarrer à partir de points d'ancrage tels que 'authenticate' et 'wp_login_failed'.
  3. Suivez le formulaire de connexion postérieur, les demandes d’autorisation RPC XML et API REST et, oui, n'oubliez pas les cookies d’autorisation (sont-ils valides?).
  4. Stockez quelque part toutes les tentatives avec toutes les tentatives de connexion et toutes les adresses IP pour calculer quand et quelle IP vous devez bloquer. Je recommande d'utiliser l'API transitoire. Sérieusement. C'est le moyen le plus simple. Bien sûr, vous ne pouvez pas le contrôler, mais son utilisation vous permet de faire quelque chose sans connaître le langage SQL.
  5. Calculez le temps entre les tentatives de connexion infructueuses pour une adresse IP donnée.
  6. Avoir un outil ou un code PHP pour réinitialiser l’un de ces compteurs et bloquer l’IP du client. Que faire si un client légitime sera bloqué par hasard?

Ça a l'air fou? Vous avez une deuxième option. Vous pouvez google et récupérer des extraits de code de certains blogs sur Internet sans aucune garantie ni assistance.

Conclusion: vous pouvez trouver de nombreux conseils sur la manière de limiter les tentatives de connexion sans plug-in sur Internet. Mais tous les conseils sont donnés par des personnes qui ne savent même pas comment l’algorithme d’authentification WordPress fonctionne exactement, y compris les gentils gars de stackoverflow. Quoi qu’il en soit, vous pouvez le faire si vous ne vous inquiétez pas de la sécurité de votre site, car il n’est pas possible de le faire correctement sans compétences en codage PHP et connaissance du mécanisme d’authentification WordPress.

S'il y a quelque chose d'étrange sur votre site, qui allez-vous appeler?


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.