WordPress Security How To
Posted By Gregory

sécurité forte connexion avec WP Cerber


English version: Strong login security with WP Cerber


Ce n'est un secret pour personne que les mauvais acteurs peuvent s'introduire dans un WordPress nouvellement installé en quelques minutes en montant une attaque par force brute. C'est possible parce que WordPress n'a pas de mécanismes intégrés d'atténuation des attaques, l'URL de connexion par défaut est bien connue et le nom d'utilisateur de l'administrateur d'un site Web peut être découvert facilement. WP Cerber apporte tous les outils nécessaires pour atténuer les attaques par force brute et protéger les comptes utilisateurs.

Configuration des paramètres de sécurité de connexion de WP Cerber

Les paramètres de sécurité de connexion se trouvent dans l'onglet Paramètres principaux. Ici, vous pouvez configurer les limites des tentatives de connexion, restreindre l'accès à wp-login.php et configurer les messages d'erreur pour empêcher la découverte de noms d'utilisateur et d'e-mails lors de l'utilisation de noms d'utilisateur et d'e-mails non existants.

Limiter les tentatives de connexion pour atténuer les attaques par force brute

Les paramètres par défaut et recommandés pour limiter les tentatives de connexion sont indiqués comme ensemble n ° 1 sur la capture d'écran. Ces paramètres sont définis lorsque vous avez activé WP Cerber. Si vous avez de nombreux clients sur le site Web, par exemple, vous exécutez une boutique WooCommerce, il est logique d'augmenter la limite des tentatives de connexion.

WordPress Login Security - WP Cerber Settings

WordPress Login Security – WP Cerber Settings

Traitement des demandes d'authentification wp-login.php

Voir la sélection n ° 2. Par défaut, WordPress utilise wp-login.php comme page de connexion au site Web qui traite toutes les connexions utilisateur et fournit le formulaire d'inscription et le formulaire de réinitialisation du mot de passe. Si vous avez activé une URL de connexion personnalisée , il est recommandé de désactiver wp-login.php. Vous avez deux options. Vous pouvez bloquer complètement l'accès à wp-login.php et rendre le fichier inaccessible à quiconque, ou vous pouvez désactiver l'authentification via wp-login.php. Lorsque la dernière option est activée, WP Cerber empêche toute authentification d'utilisateur même avec des noms d'utilisateur et des mots de passe corrects. Après une tentative de connexion via wp-login.php, WP Cerber affiche le message d'erreur de mot de passe incorrect par défaut imitant le processus d'authentification WordPress standard. L'utilisation de cette approche aide WP Cerber à détecter les attaques par force brute lentes en utilisant wp-login.php comme pot de miel de détection.

Empêchez les mauvais acteurs de deviner des noms d'utilisateur et des e-mails valides.

Par défaut, les messages d'erreur de connexion et de réinitialisation de mot de passe WordPress sont assez détaillés et permettent la détection de noms d'utilisateur et d'e-mails valides et non existants.

Désactiver le message d'erreur de connexion par défaut

Lorsqu'ils sont activés, les messages d'erreur de connexion n'indiquent pas de noms d'utilisateur et d'e-mails non valides lors de la tentative de connexion avec des noms inexistants. Au lieu de cela, WP Cerber affiche le message d'erreur WordPress par défaut utilisé lorsqu'un utilisateur entre un mot de passe incorrect. Cela aide à empêcher les mauvais acteurs de deviner des noms d'utilisateur et des e-mails valides. Cette approche est également connue sous le nom de désactivation des conseils de connexion.

Désactiver le message d'erreur de réinitialisation du mot de passe par défaut

Lorsqu'ils sont activés, les messages d'erreur de réinitialisation du mot de passe n'indiquent pas de noms d'utilisateur et d'e-mails non valides lors de la tentative de réinitialisation du mot de passe pour un nom d'utilisateur ou un e-mail inexistant. Au lieu de cela, WP Cerber imite le processus par défaut de réinitialisation des mots de passe et affiche le message suivant chaque fois que les utilisateurs entrent des noms d'utilisateur et des e-mails valides ou non existants.

New WordPress password reset message by WP Cerber

The new WordPress password reset message generated by WP Cerber Security

Cette approche empêche les mauvais acteurs de deviner des noms d'utilisateur valides et est connue sous le nom de désactivation des conseils de réinitialisation de mot de passe.

Notez que toutes les fonctionnalités décrites ci-dessus ne s'appliquent pas aux adresses IP de la liste d'accès IP blanche .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.