Sécurité de connexion renforcée avec WP Cerber
English version: Strong login security with WP Cerber
Ce n’est un secret pour personne que de mauvais acteurs peuvent s’introduire dans un WordPress nouvellement installé en quelques minutes en lançant une attaque par force brute. C'est possible car WordPress n'a pas de mécanismes intégrés d'atténuation des attaques, l'URL de connexion par défaut est bien connue et le nom d'utilisateur de l'administrateur d'un site Web peut être découvert facilement. WP Cerber apporte tous les outils nécessaires pour atténuer les attaques par force brute et protéger les comptes d'utilisateurs.
Configuration des paramètres de sécurité de connexion de WP Cerber
Les paramètres de sécurité de connexion se trouvent dans l'onglet Paramètres principaux. Ici, vous pouvez configurer les limites des tentatives de connexion, restreindre l'accès à wp-login.php et configurer les messages d'erreur pour empêcher la découverte des noms d'utilisateur et des e-mails lors de l'utilisation de noms d'utilisateur et d'e-mails inexistants.
Limiter les tentatives de connexion pour atténuer les attaques par force brute
Les paramètres par défaut et recommandés pour limiter les tentatives de connexion sont mis en évidence comme n°1 sur la capture d'écran. Ces paramètres ont été définis lorsque vous avez activé WP Cerber. Si vous avez de nombreux clients sur le site Web, par exemple si vous exploitez une boutique WooCommerce, il est logique d'augmenter la limite des tentatives de connexion.
Traitement des demandes d'authentification wp-login.php
Voir la sélection n°2. Par défaut, WordPress utilise wp-login.php comme page de connexion au site Web qui traite toutes les connexions des utilisateurs et fournit le formulaire d'inscription et le formulaire de réinitialisation du mot de passe. Si vous avez configuré l' URL de connexion personnalisée , il est recommandé de désactiver wp-login.php. Vous avez deux options. Vous pouvez bloquer complètement l'accès à wp-login.php et rendre le fichier inaccessible à quiconque, ou vous pouvez désactiver l'authentification des utilisateurs via wp-login.php sans bloquer l'accès au fichier. Vous pouvez choisir n’importe laquelle des options. Les deux empêchent l'authentification des utilisateurs via wp-login.php.
Lorsque la première option est activée, WP Cerber affiche et renvoie la page d'erreur "404 Page Not Found" comme s'il n'y avait pas de fichier de ce type sur le site Web. Ainsi, les mauvais acteurs n’ont rien à attaquer.
Lorsque la deuxième option est activée, WP Cerber empêche toute authentification des utilisateurs même avec des noms d'utilisateur et des mots de passe corrects. Cela signifie que personne ne peut se connecter en utilisant wp-login.php. Après une tentative de connexion via wp-login.php, WP Cerber affiche le message d'erreur de mot de passe incorrect par défaut imitant le processus d'authentification standard de WordPress. L'utilisation de cette approche aide WP Cerber à détecter les attaques lentes par force brute en utilisant wp-login.php comme pot de miel de détection. Toutes les tentatives de connexion via wp-login.php sont enregistrées dans le journal d'activité de WP Cerber, comme indiqué sur la capture d'écran ci-dessous.
Empêchez les acteurs malveillants de découvrir les vrais noms d'utilisateur et les adresses e-mail des clients.
Les messages d'erreur de connexion et de réinitialisation de mot de passe par défaut générés par WordPress sont assez détaillés et aident les pirates informatiques à détecter les vrais noms d'utilisateur et e-mails afin de les utiliser pour monter des attaques par force brute ou d'ingénierie sociale.
Désactivez le message d'erreur de connexion par défaut
Lorsqu'ils sont activés, les messages d'erreur de connexion n'indiquent pas les noms d'utilisateur et les adresses e-mail non valides lorsque vous tentez de vous connecter avec des noms d'utilisateur non existants . Au lieu de cela, WP Cerber affiche le message d'erreur WordPress par défaut utilisé lorsqu'un utilisateur saisit un mot de passe incorrect. Cela permet d’empêcher les mauvais acteurs de deviner des noms d’utilisateur et des adresses e-mail valides. Cette approche est également connue sous le nom de désactivation des conseils de connexion.
La version professionnelle de WP Cerber vous permet de spécifier votre propre message d'erreur de connexion à l'aide du champ de paramètre de message d'erreur de connexion personnalisé .
Désactiver le message d'erreur de réinitialisation du mot de passe par défaut
Lorsqu'ils sont activés, les messages d'erreur de réinitialisation du mot de passe n'indiquent pas les noms d'utilisateur et les adresses e-mail non valides lors de la tentative de réinitialisation du mot de passe pour un nom d'utilisateur ou un e-mail non existant. Au lieu de cela, WP Cerber imite le processus par défaut de réinitialisation des mots de passe et affiche le message suivant chaque fois que les utilisateurs saisissent des noms d'utilisateur et des adresses e-mail valides ou inexistants.
Cette approche permet d'empêcher les acteurs malveillants de deviner des noms d'utilisateur valides et est connue sous le nom de désactivation des conseils de réinitialisation de mot de passe.
La version professionnelle de WP Cerber vous permet de spécifier votre propre message d'erreur de réinitialisation de mot de passe à l'aide du champ de configuration du message d'erreur de connexion personnalisé .
Notez que toutes les fonctionnalités décrites ci-dessus ne s'appliquent pas aux adresses IP de la liste d'accès IP blanche .