Sécurité de connexion renforcée avec WP Cerber
English version: Strong login security with WP Cerber
Il est bien connu que des personnes mal intentionnées peuvent s'introduire dans un site WordPress nouvellement installé en quelques minutes seulement, grâce à une attaque par force brute. Ceci est possible car WordPress ne dispose d'aucun mécanisme intégré de protection contre les attaques, l'URL de connexion par défaut est largement connue et le nom d'utilisateur de l'administrateur du site est facilement identifiable. WP Cerber fournit tous les outils nécessaires pour atténuer les attaques par force brute et protéger les comptes utilisateurs.
Configuration des paramètres de sécurité de connexion de WP Cerber
Les paramètres de sécurité de connexion se trouvent dans l'onglet « Paramètres principaux ». Vous pouvez y configurer les limites du nombre de tentatives de connexion, restreindre l'accès à wp-login.php et configurer les messages d'erreur afin d'empêcher la découverte d'identifiants et d'adresses électroniques inexistants.
Limiter les tentatives de connexion pour atténuer les attaques par force brute
Les paramètres par défaut et recommandés pour limiter les tentatives de connexion sont indiqués par le numéro 1 sur la capture d’écran. Ces paramètres ont été définis lors de l’activation de WP Cerber. Si votre site web compte de nombreux clients, par exemple si vous gérez une boutique WooCommerce, il est conseillé d’augmenter la limite de tentatives de connexion.
WordPress Login Security – WP Cerber Settings
Traitement des requêtes d'authentification wp-login.php
Voir la sélection n° 2. Par défaut, WordPress utilise wp-login.php comme page de connexion au site web. Ce fichier gère toutes les connexions utilisateur et propose également le formulaire d’inscription et celui de réinitialisation du mot de passe. Si vous avez configuré une URL de connexion personnalisée , il est recommandé de désactiver wp-login.php. Deux options s’offrent à vous : bloquer complètement l’accès à wp-login.php et rendre le fichier inaccessible à tous, ou désactiver l’authentification des utilisateurs via wp-login.php sans bloquer l’accès au fichier. Vous pouvez choisir l’une ou l’autre option. Les deux empêchent l’authentification des utilisateurs via wp-login.php.
Lorsque la première option est activée, WP Cerber affiche et renvoie la page d'erreur « 404 Page introuvable », comme si le fichier correspondant était introuvable sur le site web. Les personnes malveillantes ne peuvent donc rien attaquer.
Lorsque la deuxième option est activée, WP Cerber empêche toute authentification utilisateur, même avec des identifiants corrects. Personne ne peut donc se connecter via wp-login.php. Après une tentative de connexion via wp-login.php, WP Cerber affiche le message d'erreur par défaut « mot de passe incorrect », imitant ainsi le processus d'authentification standard de WordPress. Cette approche permet à WP Cerber de détecter les attaques par force brute lentes en utilisant wp-login.php comme leurre. Toutes les tentatives de connexion via wp-login.php sont enregistrées dans le journal d'activité de WP Cerber, comme illustré dans la capture d'écran ci-dessous.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Empêcher les personnes mal intentionnées de découvrir les véritables noms d'utilisateur et les adresses électroniques des clients.
Les messages d'erreur par défaut de connexion et de réinitialisation du mot de passe générés par WordPress sont assez verbeux et aident les pirates informatiques à détecter les vrais noms d'utilisateur et adresses électroniques pour les utiliser afin de mener des attaques par force brute ou d'ingénierie sociale.
Désactiver le message d'erreur de connexion par défaut
Lorsque cette option est activée, les messages d'erreur de connexion n'indiquent pas les noms d'utilisateur et adresses e-mail invalides lors de tentatives de connexion avec des identifiants inexistants . WP Cerber affiche alors le message d'erreur WordPress par défaut utilisé lorsqu'un utilisateur saisit un mot de passe incorrect. Ceci permet d'empêcher les personnes mal intentionnées de deviner les noms d'utilisateur et adresses e-mail valides. Cette méthode est également connue sous le nom de désactivation des indices de connexion.
La version professionnelle de WP Cerber vous permet de spécifier votre propre message d'erreur de connexion grâce au champ de configuration « Message d'erreur de connexion personnalisé » .
Désactiver le message d'erreur par défaut de réinitialisation du mot de passe
Lorsque cette option est activée, les messages d'erreur de réinitialisation de mot de passe n'indiquent pas les noms d'utilisateur et adresses e-mail invalides lors d'une tentative de réinitialisation pour un nom d'utilisateur ou une adresse e-mail inexistants. WP Cerber reproduit alors le comportement par défaut de réinitialisation de mot de passe et affiche le message suivant, que l'utilisateur saisisse un nom d'utilisateur ou une adresse e-mail, valide ou non.
The new WordPress password reset message generated by WP Cerber Security
Cette approche permet d'empêcher les personnes mal intentionnées de deviner les noms d'utilisateur valides et est connue sous le nom de désactivation des indices de réinitialisation de mot de passe.
La version professionnelle de WP Cerber vous permet de spécifier votre propre message d'erreur de réinitialisation de mot de passe à l'aide du champ de configuration « Message d'erreur de connexion personnalisé » .
Notez que toutes les fonctionnalités décrites ci-dessus ne s'appliquent pas aux adresses IP figurant sur la liste d'accès IP blanche .
WP Cerber Security 8.5.8
Résolution des problèmes liés au scanner de logiciels malveillants
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.