Comment limiter le nombre de tentatives de connexion sur votre site WordPress ?

Par défaut, la page de connexion à l’administration de WordPress manque de charme. Elle est froide, impersonnelle et plutôt austère.

Pourtant, elle ne manque pas de courtisans désireux de l’amadouer pour qu’elle ouvre les portes de votre interface d’administration.

Au quotidien, sans que vous ne vous en rendiez compte, elle subit les assauts de robots malveillants et/ou de personnes mal intentionnées. 

Leur objectif ? Prendre le contrôle de votre site et vous pourrir la vie. Pour éviter cela, il est essentiel de limiter les tentatives de connexion sur votre site WordPress. 

Cet article vous livre la méthode détaillée pour y parvenir chez vous en quelques minutes, quel que soit votre niveau. 

Pourquoi limiter les tentatives de connexion sur WordPress ?

Limiter les tentatives de connexion à l’interface d’administration de WordPress permet de renforcer la sécurité de votre site. 

En effet, par défaut, WordPress n’impose pas de limites quant au nombre de tentatives que vous pouvez effectuer pour tenter de vous connecter. 

Du coup, les pirates se servent de cette porte ouverte pour essayer de prendre le contrôle de votre site.

Dans le jargon, on appelle ça une attaque par force brute (brute force attack, en anglais). Lorsqu’elle se produit, des robots (bots) se rendent sur la page de connexion de votre site, puis tentent de découvrir l’identifiant et le mot de passe du compte administrateur en testant des combinaisons différentes de façon automatique.

Ces combinaisons englobent très souvent les identifiants et mots de passe les plus utilisés, du type « admin » et « 123456 ».

Si ces bots arrivent à entrer sur votre site, les conséquences peuvent être désastreuses. Ils peuvent par exemple :  

• ajouter des liens spam pour pénaliser votre référencement naturel (SEO) ;
• dérober des informations confidentielles, aussi bien les vôtres que celles de vos visiteurs. Cela peut par exemple concerner les données issues d’un formulaire de contact, ou encore des informations bancaires si vous vendez des produits sur un site WooCommerce ; 
• installer des logiciels malveillants ; 
• faire planter votre site et le rendre indisponible.

Une bonne pratique consiste donc à limiter le nombre de tentatives de connexion pour protéger votre installation WordPress.

Cela peut se faire très facilement grâce à un plugin dédié qui imposera une limite sur le nombre de tentatives de connexion à effectuer.

Si cette limite est dépassée, la personne ou le robot ne pourra plus essayer de se connecter pendant un laps de temps donné, ou de façon définitive.

Je vous en dis plus à ce propos dans la partie suivante.

Comment limiter les tentatives de connexion sur WordPress avec le plugin Limit Login Attempts Reloaded ?

Pourquoi cette extension, au fait ?

Afin de limiter les tentatives de connexion à votre site WordPress, je vais me servir de l’extension Limit Login Attempts Reloaded. 

Mon choix s’est naturellement porté sur elle pour plusieurs raisons : 

• avec 2M+ installations actives, il s’agit du plugin le plus populaire du répertoire officiel dans sa catégorie, devant des concurrents comme WPS Limit Login (70K+ installations actives) ou WP Limit Login Attempts (20K+ installations actives). C’est aussi l’extension la mieux notée par les utilisateurs ;
• Limit Login Attempts Reloaded est fréquemment mise à jour ;
• son interface de réglages est traduite en français (hormis quelques détails qui n’empêchent pas la compréhension globale) ;
• ses options pour limiter les tentatives de connexion sont gratuites ; 
• elle est facile à prendre en main et à utiliser.

Sans plus tarder, découvrez comment la paramétrer en deux étapes.

Si l’usage d’une extension représente le moyen le plus simple et rapide pour limiter les tentatives de connexion à WordPress, ce n’est pas le seul à votre disposition. Vous pouvez aussi parvenir à un résultat similaire en ajoutant manuellement du code dans votre fichier functions.php.
Néanmoins, cette pratique est réservée à des utilisateurs aguerris avec de bonnes bases techniques en code PHP. Une seule petite erreur dans la syntaxe de votre code fera planter votre site. 

Étape 1 : Installer l’extension Limit Login Attempts Reloaded

Sur votre interface d’administration de WordPress, allez dans Extensions > Ajouter. Installez puis activez l’extension Limit Login Attempts Reloaded :

Vous constaterez alors l’apparition d’un nouveau custom post type (type de contenu personnalisé) appelé Limit Login Attempts sur la barre latérale gauche de votre interface d’administration.

Lorsque vous cliquez dessus, vous atterrissez sur le tableau de bord de l’extension qui présente notamment les informations suivantes : 

• le nombre de tentatives de connexion échouées ; 
• les tentatives de connexion échouées par pays ; 
• les tentatives de connexion échouées totales ; 
• des liens vers les paramètres de l’extension.

En haut de votre tableau de bord, 5 onglets supplémentaires donnent accès aux réglages de configuration du plugin :

Étape 2 : Spécifier le nombre de tentatives autorisées

Pour configurer les réglages de Limit Login Attempts Reloaded, allez dans l’onglet « Paramètres ».

En haut de la page, je vous recommande d’abord de cocher la case « Conformité RGPD », qui affichera un petit message sur la page de connexion à l’admin de WordPress.

Pour mettre votre site en conformité au RGPD, consultez notre guide dédié.

Ensuite, il peut être intéressant de cocher la case « Notifier au verrouillage ». Si vous le faites, vous recevrez un e-mail à chaque fois qu’une adresse IP tentera de se connecter après X tentatives (vous pouvez entrer le nombre de votre choix).

Les réglages concernant la limitation du nombre de tentatives de connexion sont situés dans l’encart juste en dessous, appelé « Local App ». 

Ceux proposés par défaut seront déjà efficaces, mais vous pouvez bien sûr entrer les valeurs de votre choix. Dans le détail, il est possible de spécifier : 

• le nombre de tentatives de connexion autorisées ; 
• le nombre de minutes durant lesquelles une personne sera dans l’incapacité de tenter de se connecter après l’échec de ses tentatives de connexion (minutes de verrouillage) ;
• le temps durant lequel une personne ou un bot sera bloqué après X blocages (les verrouillages augmentent le temps de verrouillage de X heures) ; 
• le nombre d’heures qui s’écoulent avant que les tentatives de connexion soient réinitialisées.

Vous n’avez pas besoin de toucher au texte contenu dans la case « Origines des IP de confiance ». Terminez en cliquant sur le bouton bleu « Enregistrer les réglages » :

Pour avoir un aperçu du mode de fonctionnement de l’extension, retournez sur votre page de connexion WordPress, et entrez un mot de passe erroné. 

Vous verrez alors s’afficher le nombre de tentatives restantes avant un éventuel blocage :

Et bien sûr, vous serez aussi notifié de cette tentative de connexion échouée sur votre tableau de bord :

Notez enfin que l’onglet « Logs » de Limit Login Attempts Reloaded permet d’entrer des identifiants ou des adresses IP à qui vous souhaiteriez empêcher de se connecter à votre site (Liste de blocage).

Et à contrario, vous pouvez renseigner les identifiants et adresses IP qui pourront tenter de se connecter autant de fois qu’ils le souhaitent (Safelist).

Et voilà, votre site est désormais un peu plus sécurisé, félicitations !

Notez que certaines extensions de sécurité généralistes, telles qu’iThemes Security ou SecuPress, proposent également une option pour limiter les tentatives de connexion à l’administration de WordPress. Si vous vous servez de l’une d’entre elles, inutile d’activer Limit Login Attempts Reloaded, cela ferait doublon.

Comment débloquer les tentatives de connexion à l’interface d’administration de WordPress ? 

Comme vous pouvez le voir, Limit Login Attempts Reloaded est très efficace pour limiter les tentatives de connexion à WordPress. 

C’est super pratique pour vous prémunir face aux attaques par force brute, mais parfois, cela peut aussi vous jouer des tours !

En effet, vous pouvez très bien vous retrouver bloqué et dans l’incapacité de vous connecter à votre site si vous faites la tentative de connexion de trop.

Même si un message d’erreur bien visible vous prévient quant au nombre de tentatives de connexion restantes, cela peut malheureusement arriver.

Si cette mésaventure vous frappe, voici une astuce très pratique pour débloquer la situation. Connectez-vous à votre client FTP favori (FileZilla, Cyberduck ou Transmit). 

Double-cliquez sur le répertoire racine de votre site (public_html chez l’hébergeur o2switch), puis allez dans le répertoire suivant : wp-content/plugins.

Faites un clic droit sur le répertoire du plugin (limit-login-attempts-reloaded), et supprimez-le. Voilà, vous êtes de nouveau en mesure d’essayer de vous connecter à votre site.

Une fois sur votre tableau de bord WordPress, pensez à installer puis à activer de nouveau Limit Login Attempts Reloaded afin qu’il protège votre site.

Pour être sûr de ne jamais perdre votre identifiant et votre mot de passe, servez-vous d’un gestionnaire de mots de passe en ligne comme Dashlane ou LastPass. Vous pourrez les conserver dans un coffre-fort sécurisé en ligne et vous connecter automatiquement à votre site grâce à l’un ou l’autre. 

Aller plus loin pour sécuriser votre site

Dans cet article, vous avez découvert l’importance de limiter les tentatives de connexion à votre site WordPress grâce à l’extension Limit Login Attempts Reloaded.

Vous l’avez compris, il est indispensable d’appliquer cette bonne pratique pour renforcer la sécurité de votre site.

Grâce à elle, vous limiterez les attaques par force brute et le risque que votre serveur d’hébergement tombe en panne (dès qu’une attaque par force brute est effectuée, une requête est envoyée au serveur). 

En matière de sécurité, ne vous limitez pas seulement à limiter les tentatives de connexion. Pour protéger au maximum votre installation, appliquez aussi les conseils suivants : 

• sauvegardez votre site fréquemment. Vous pouvez le faire via un plugin de sauvegarde (lisez notre comparatif), ou grâce à un outil de maintenance tout-en-un comme WP Umbrella (lien aff) ;
• installez une extension de sécurité généraliste comme SecuPress pour doter votre site de fonctionnalités majeures telles qu’un pare-feu, l’authentification à double-facteur, ou le blocage des robots et logiciels malveillants ;
• activez l’extension Akismet, pour limiter le spam ;
• adoptez un mot de passe fort, par exemple grâce à l’outil Dashlane dont je viens de vous parler, ou grâce à un générateur en ligne gratuit comme motdepasse.xyz ;
• consultez la série de vidéos Le Point Sécu sur la chaîne YouTube de WPMarmite.

Alors, prêt à repousser les méchants bots hors de votre site ? À votre tour de passer à l’action chez vous, ne tardez pas.

Au passage, profitez-en pour nous laisser un commentaire ou un retour d’expérience, qui profitera aussi aux autres lecteurs de WPMarmite.