WordPress Security How To

Sécurité de connexion renforcée avec WP Cerber


English version: Strong login security with WP Cerber


Ce n'est un secret pour personne : des individus malveillants peuvent s'introduire dans un WordPress fraîchement installé en quelques minutes grâce à une attaque par force brute. Cela est possible car WordPress ne dispose d'aucun mécanisme intégré de protection contre les attaques, l'URL de connexion par défaut est connue et le nom d'utilisateur de l'administrateur d'un site web est facilement détectable. WP Cerber offre tous les outils nécessaires pour atténuer les attaques par force brute et protéger les comptes utilisateurs.

Configuration des paramètres de sécurité de connexion de WP Cerber

Les paramètres de sécurité de connexion se trouvent dans l'onglet Paramètres principaux. Vous pouvez y configurer les limites de tentatives de connexion, restreindre l'accès à wp-login.php et configurer des messages d'erreur pour empêcher la découverte de noms d'utilisateur et d'adresses e-mail inexistants.

Limiter les tentatives de connexion pour atténuer les attaques par force brute

Les paramètres par défaut et recommandés pour limiter les tentatives de connexion sont indiqués en premier sur la capture d'écran. Ces paramètres ont été définis lors de l'activation de WP Cerber. Si vous avez de nombreux clients sur votre site web, par exemple si vous gérez une boutique WooCommerce, il est judicieux d'augmenter la limite des tentatives de connexion.

WordPress Login Security - WP Cerber Settings

WordPress Login Security – WP Cerber Settings

Traitement des requêtes d'authentification wp-login.php

Voir la sélection n° 2. Par défaut, WordPress utilise wp-login.php comme page de connexion au site web. Elle gère toutes les connexions des utilisateurs et fournit les formulaires d'inscription et de réinitialisation du mot de passe. Si vous avez configuré l' URL de connexion personnalisée , il est recommandé de désactiver wp-login.php. Deux options s'offrent à vous : bloquer complètement l'accès à wp-login.php et rendre le fichier inaccessible à tous, ou désactiver l'authentification des utilisateurs via wp-login.php sans bloquer l'accès au fichier. Vous pouvez choisir l'une ou l'autre de ces options. Dans les deux cas, l'authentification des utilisateurs via wp-login.php est bloquée.

Lorsque la première option est activée, WP Cerber affiche et renvoie la page d'erreur « 404 Page Not Found » comme si aucun fichier de ce type n'était présent sur le site web. Ainsi, les acteurs malveillants n'ont aucune cible d'attaque.

Lorsque la deuxième option est activée, WP Cerber empêche toute authentification utilisateur, même avec des noms d'utilisateur et des mots de passe corrects. Personne ne peut alors se connecter via wp-login.php. Après une tentative de connexion via wp-login.php, WP Cerber affiche le message d'erreur par défaut indiquant un mot de passe incorrect, imitant le processus d'authentification standard de WordPress. Cette approche permet à WP Cerber de détecter les attaques par force brute lentes en utilisant wp-login.php comme piège de détection. Toutes les tentatives de connexion via wp-login.php sont enregistrées dans le journal d'activité de WP Cerber, comme illustré dans la capture d'écran ci-dessous.

An attempt to log into WordPress denied (Forbidden URL)

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label

Empêcher les mauvais acteurs de découvrir les vrais noms d'utilisateur et les e-mails des clients

Les messages d'erreur de connexion et de réinitialisation de mot de passe par défaut générés par WordPress sont assez verbeux et aident les pirates à détecter les vrais noms d'utilisateur et e-mails pour les utiliser pour monter des attaques par force brute ou d'ingénierie sociale.

Désactiver le message d'erreur de connexion par défaut

Lorsque cette option est activée, les messages d'erreur de connexion n'indiquent pas les noms d'utilisateur et les adresses e-mail invalides lors d'une tentative de connexion avec des identifiants inexistants . WP Cerber affiche plutôt le message d'erreur WordPress par défaut lorsqu'un utilisateur saisit un mot de passe incorrect. Cela empêche les personnes malveillantes de deviner des noms d'utilisateur et des adresses e-mail valides. Cette méthode est également appelée désactivation des indices de connexion.

La version professionnelle de WP Cerber vous permet de spécifier votre propre message d'erreur de connexion à l'aide du champ de configuration du message d'erreur de connexion personnalisé .

Désactiver le message d'erreur de réinitialisation du mot de passe par défaut

Lorsque cette option est activée, les messages d'erreur de réinitialisation de mot de passe n'indiquent pas les noms d'utilisateur et les adresses e-mail invalides lors de la réinitialisation d'un mot de passe pour un nom d'utilisateur ou une adresse e-mail inexistants. WP Cerber reproduit le processus par défaut et affiche le message suivant chaque fois que l'utilisateur saisit un nom d'utilisateur ou une adresse e-mail valide ou inexistant.

New WordPress password reset message by WP Cerber

The new WordPress password reset message generated by WP Cerber Security

Cette approche permet d’empêcher les mauvais acteurs de deviner des noms d’utilisateur valides et est connue sous le nom de désactivation des indices de réinitialisation de mot de passe.

La version professionnelle de WP Cerber vous permet de spécifier votre propre message d'erreur de réinitialisation de mot de passe à l'aide du champ de configuration du message d'erreur de connexion personnalisé .

Notez que toutes les fonctionnalités décrites ci-dessus ne s'appliquent pas aux adresses IP de la liste d'accès IP blanche .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.