Vous êtes ici : Accueil | Plugins WordPress | Restreindre l’accès à l’administration de WordPress avec Login Lockdown

Restreindre l’accès à l’administration de WordPress avec Login Lockdown

login-lockdown

Qu’avez-vous mis en place en matière de sécurité sur votre site ?

J’imagine que vous avez mis en place un moyen de sauvegarder votre site régulièrement pour remettre votre site en ligne le plus vite possible en cas de problème mais que pouvez-vous faire de plus ?

Dans cette nouvelle recette, vous allez découvrir Login Lockdown : un plugin destiné à bloquer les personnes qui tentent de deviner votre mot de passe (et donc accéder au coeur de votre site pour mettre le bazar).

Par défaut, WordPress ne limite pas le nombre d’essais pour se connecter à l’administration.

Cela signifie que si quelqu’un (ou un robot) tente de se connecter à votre site, cet assaillant aura tout son temps pour essayer des dizaines de mots de passe (et peut-être trouver le bon).

Pas cool n’est-ce pas ?

Bien sûr, étant donné que vous avez déjà pris soin de ne pas utiliser l’identifiant « admin » pour votre site, vous vous sentez peut-être à l’abri.

Quoi ?! Vous utilisez encore « admin » en identifiant ?

Grave erreur, car cela facilite la tâche d’éventuels pirates.

Grave erreur camarade

En utilisant l’identifiant « admin », des personnes mal intentionnées n’auront juste qu’à deviner votre mot de passe.

Avec un identifiant différent d' »admin », vous allez leur compliquer la tâche et c’est exactement ce que nous voulons 🙂

Nous allons donc faire une petite digression pour expliquer comment…

Changer l’identifiant administrateur de votre site

Si vous n’utilisez pas « admin » en tant qu’identifiant, passez directement à l’étape suivante.

Pour procéder à cette modification, il vous suffit simplement de créer un nouvel administrateur.

Cliquez sur Utilisateurs > Ajouter, entrez un identifiant compliqué ainsi que d’autres informations vous concernant :

Choisissez un identifiant compliqué

Par identifiant compliqué, j’entends une chaîne de 8 à 12 caractères avec des lettres et chiffres. Par exemple : tb7w63a5.

Poursuivez la création de ce nouvel administrateur avec un mot de passe encore plus compliqué que l’identifiant.

Jetez un oeil à cet article pour voir quels sont les mots de passe les plus utilisés et évitez-les car ils seront testés en premier par les pirates.

Personnellement j’ai l’habitude d’utiliser ce site pour générer de bons mots de passe.

Spécifiez ensuite le rôle « Administrateur » et cliquez sur « Ajouter un utilisateur ».

Nouvel administrateur WordPress

Et bien voilà, nous y sommes presque.

Il ne vous reste plus qu’à vous connecter avec ce nouveau compte et supprimer le compte doté de l’identifiant « admin ».

Pour finir, il vous sera proposé d’attribuer les articles créé par l’ancien compte à un nouveau compte :

Suppression du compte administrateur par défaut

Choisissez bien votre nouveau compte et validez l’opération en cliquant sur Confirmer la suppression.

Refermons cette parenthèse sur l’identifiant du compte administrateur et revenons à la …

Configuration de Login Lockdown

Une fois que vous aurez recherché et installé ce plugin, rendez-vous dans Réglages > Login Lockdown.

À mon plus grand regret, ce plugin n’est pas traduisible en l’état. J’ai envoyé un email à l’auteur pour lui demander de mettre à jour son plugin pour qu’il puisse être traduit.

Nous allons donc devoir nous contenter d’une version anglaise pour cette recette. Bien entendu, je mettrai à jour l’article en cas de traduction de ce plugin.

Voici ce que vous trouverez sur la page de configuration de cette extension :

Options de Login Lockdown

Examinons chacune des options présentes.

Max Login Retries

Entrez dans ce champ le nombre d’essais maximum autorisés pour tenter de se connecter. À mon sens, 3 essais est un bon compromis.

Si vous êtes seul à vous connecter sur votre site et que vous connaissez vos identifiants par coeur, vous pouvez mettre 1.

Retry Time Period Restriction (minutes)

Durée en minutes pendant laquelle les tentatives seront comptabilisées par le plugin.

Par exemple si vous conservez la durée par défaut de 5 minutes et définissez 3 tentatives pour le paramètre précédent, si une personne essaie de se connecter 3 fois en 5 minutes, elle sera bloquée.

Lockout Lenght (minutes)

Durée de blocage en minute. Entrez la durée pendant laquelle votre assaillant sera bloqué.

Par défaut, la durée est de 60 minutes mais vous pouvez être plus dur en mettant 1440 soit 24 heures.

Lockout Invalid Usernames ?

Par défaut, Login Lockdown ne se déclenchera pas si quelqu’un tente de se connecter avec un identifiant qui n’existe pas. Je vous recommande vivement de cliquer sur Yes pour activer le plugin dans ce cas.

Étant donné que votre identifiant est différent de « admin », les petits malins qui tenteront de se connecter avec « admin » seront automatiquement mis sur la touche.

Mask Login Errors ?

Lorsqu’une tentative de connexion échoue, WordPress affiche un message pour indiquer que l’identifiant n’existe pas et un autre message si l’identifiant existe mais que le mot de passe est erroné.

L’inconvénient avec ces messages est que cela donne des informations précieuses aux personnes mal intentionnées.

Notre but est donc de leur compliquer la tâche en cochant Yes pour masquer ces messages.

Show Credit Link ?

La dernière option proposée par cette extension est purement esthétique. Elle permet d’afficher un lien de promotion pour montrer que le site est protégé par Login Lockdown.

3 possibilités vous sont offertes :

  1. Afficher le lien
  2. Afficher le lien avec une balise nofollow (pour indiquer aux moteurs de recherche de ne pas suivre ce lien)
  3. Ne pas afficher le lien

Personnellement je vous recommande d’opter pour le 3ème choix, c’est à dire de ne pas mentionner le plugin.

La première raison est de ne pas montrer que vous utilisez ce plugin. Si un jour une faille est découverte à l’intérieur, votre site aura l’équivalent une pancarte géante sur laquelle il sera indiqué : Attaquez-moi !

La seconde raison est que cela ne sert à rien. Qui est censé visiter la page de connexion à par vous et éventuellement vos collègues ?


Pour valider votre configuration, il ne vous reste plus qu’à cliquer sur Update Settings et le tour sera joué 🙂

Conclusion

Protéger son site n’est pas une mince affaire. Toutefois des plugins comme Login Lockdown peuvent contribuer à éviter que des pirates s’invitent chez vous.

Il va sans dire qu’utiliser ce plugin sans avoir d’identifiant ni de mot de passe complexes ne sert à rien. Il faut mettre un maximum de bâtons dans les roues des pirates n’est-ce pas ?

Connaissiez-vous le plugin Login Lockdown ? L’utilisez-vous déjà pour votre site ? Allez-vous le faire ?

Si vous avez apprécié cet article, inscrivez-vous à la newsletter

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 10000 personnes l'ont fait, pourquoi pas vous ?

C'est parti, je m'inscris !

60 commentaires Ajoutez le vôtre

  1. Parfait, ce sera installé d’ici peu. Merci !

    Répondre
    • Il n’y a pas de quoi Yohann 🙂

  2. Hello,
    pour ma part j’utilise Limit Login Attempts sur mes site et il fonctionne très bien.
    Au préalable j’opte bien sûr systématiquement pour un login d’admin « original » avec un mot de passe compliqué. Quand je manque d’inspiration pour le choix du mot de passe, je vais sur le site http://www.generateurdemotdepasse.com/ 🙂
    Il faut dire que je me suis fait pirater 2-3 fois des sites et ça pousse à prendre ce genre de précaution.
    Quand on a passé quelques week ends à remonter des sites bousillés par des pirates de pacotille, on finit par chercher des parades !
    Bonne continuation !

    Répondre
    • Bonjour Béatrice,

      En fait sur certains de mes sites j’utilise aussi Limit Login Attempts, il va falloir que j’en fasse également une recette.

      Merci pour ton commentaire et à bientôt
      Alex

  3. Bonjour,

    j’utilise aussi Limit Login Attempts qui est très efficace, il m’est arrivé de me retrouver moi même bloqué ! :o)<

    Mais je me pose une question comment protéger l’accès à son ftp ?

    Car en passant par là on peut désactiver facilement n'importe quel plugin….

    bien à vous,

    Christophe.

    Répondre
    • Bonjour Christophe,

      Pour le FTP, je ne vois qu’un très bon mot de passe (toujours avec le site mentionné dans l’article).

      Au plaisir
      Alex

  4. Bonjour Alex,

    Je ne connaissais pas ce module !

    Généralement j’utilise WordFence qui propose aussi ces fonctionnalités ainsi que bien d’autres. Mais plus lourd !
    Pourquoi pas un futur article sur WordFence ?

    J’utilise aussi :
    SX User Name Security qui masque l’ID et le login des utilisateurs dans le code source de la page.
    SF Author URL Control qui permet de changer l’url pour masquer le login (faire une redirection 301 si appliqué sur un site déjà existant).

    Nicolas

    Répondre
    • Bonjour Nicolas,

      En effet, un article sur WordFence serait intéressant. Toutefois cet article viendra décrire ce que propose le plugin WordFence car n’étant pas expert en sécurité je ne peux pas certifier qu’il accompli bien ce qu’il prétend faire.

      Merci pour les autres plugins de sécurité, je ne les connaissais pas 🙂
      Au plaisir
      Alex

  5. Bonjour Alex,
    Le plugin Wordfence Security offre aussi des options pour bloquer les assaillants sur le login et énormément plus en matière de sécurité.

    De fait, Login Lockdown devient inutile, d’autant que si l’on se bloque par erreur, avec ce plugin il n’y a pas de solution autre que passer par ftp pour le supprimer dans le dossier wp-content/plugin de son wp.

    A noter que ceux qui recherche une protection encore +efficace, le plugin Stealth Login Page permet quand à lui d’adjoindre un second mot de passe sur la page de login.

    Bien cordialement,
    José

    Répondre
    • Merci pour ton commentaire José.

      Perso, je ne suis pas super fan des plugins de sécurité tout en un. Après, il en faut pour tout le monde 🙂

      Il y a aussi le plugin Clef pour accéder à ton site grâce à son téléphone.
      A bientôt
      Alex

  6. Bonjour Alex

    Merci pour cet outil vraiment bien, pour ma part, j’utilise iThemes Security, j’aimerais que tu nous donnes des commentaires sur ce plugin également si possible
    Salutations

    Répondre
  7. Rebonjour,

    j’utilise aussi Ithèmes, il a une fonctionnalité intéressante, on peut choisir un créneau horaire durant lequel il n’y a plus d’accès admin.

    Je dors ainsi mieux la nuit :o)<

    Répondre
    • Bonjour

      J’utilise en plus le plugin de Sucuri security avec abonnement Sucuri protection pour mon site et mes sites que je gère, avec en plus d’avoir un site avec HTTPS…et avec un super mot de passe dont moi-même j’ai de la difficulté à retenir, j’espère de bien dormir aussi …
      Daniel

  8. Rerebonjour ;o)<

    j'utilise SiteGuarding comme Antivirus et pour ce qui est des mots de passe j'en ai plus de deux cents différents en fonction des sites où je vais et ils sont enregistrés et cryptés par le logiciel Dashlane…depuis je ronfle !

    Répondre
    • Merci Christophe des informations ! Vous venez de me simplifier la vie avec ces outils 🙂
      Daniel

  9. Bon tutoriel. Du courage Monsieur le Cuistot

    Répondre
    • Merci Willy 🙂

  10. rererebonjour….Daniel

    heureux de vous avoir aidé !

    ;o)<

    Répondre
  11. Bonjour Alex

    Merci mille fois pour cet article clair. J’ai suivi toutes les instructions, d’une facilité déconcertante. Bravo

    Meilleurs vœux à tous les cuistots. Roger

    Répondre
    • Ravi d’avoir pu être utile Roger 🙂

  12. Bonsoir,
    Merci pour cet article très clair. Avant de l’installer je me posais juste la question : alourdit-il fortement le site ?

    Répondre
    • Bonjour Nath,
      Etant donné que le plugin ne se charge que sur la page de connexion, je ne pense pas que la vitesse du site soit fortement impactée.

      Au plaisir
      Alex

  13. Bonjour,

    J’utilise aussi Wordfence qui possède en lui-même plusieurs étages de protection, si vous avez fait une bêtise, on peut se faire envoyer un email de déblocage. Pour des blogs plus sensibles, j’ai protégé wp-login avec un htaccess, cela me fait deux login et mot de passe à mettre mais au moins je complique la tâche des pirates mais attention, quand ils veulent vraiment, tous nos moyens de protection ne servent à rien !

    Il leur suffit de profiter d’une faille d’un thème ou d’un plugin pour déposer un script qui prend le contrôle de tout votre hébergement sans devoir passer par wordpress, a solution est d’avoir un bon backup avec une restauration aisée !

    J’ai cité dans mon cas UpdraftPlus en mode gratuit.

    Patrick

    Répondre
    • Merci pour ton commentaire Patrick. En te lisant je me dis qu’il faut vraiment que je fasse un article sur WordFence ^^

  14. Bonsoir,

    Intéressant si on est plusieurs à partager l’admin. Mais comme la plupart du temps il n’y a qu’un admin, le plus radical c’est de limiter l’accès à wp-login.php à grand coup de htaccess…

    Répondre
    • Très bonne remarque 🙂

  15. Et encore merci pour vos recherches !

    Répondre
    • De rien 🙂

  16. Merci pour cette article Alex,

    J’étais un utilisateur de ithemes security, mais qui est trop gourmand à mon goût.
    Du coup je vais scinder en petits plugins en fonction des besoins, et je vais donc donner sa chance à celui-ci.

    Répondre
  17. Login Lockdown ne semble pas à jour pour WP 4.1, est-il compatible ? Je suppose qu’il ne fonctionne pas en localhost si on souhaite le tester ?

    Répondre
    • Bonjour Dominique,
      Il fonctionne, c’est juste que personne ne l’a indiqué sur la page du plugin 🙂

  18. Bonjour,
    Le plugin a l’air bien, mais il n’est plus maintenu à jour, de mon point de vue, cela augmente les risques de failles de sécurité, un hacker a plus de temps de chercher dans un plugin non à jour la faille.
    Par prudence, peut être trop de prudence, je préfères les plugins qui indiquent soit compatible avec la dernière version de WordPress ou dernière mise à jour de 2015.

    Répondre
  19. Un grand merci pour cet article <3 Peu de temps après avoir fait toutes les manips (shame on me, je n'avais même pas changé l'identifiant admin), je viens de subir une méchante attaque, qui a été évitée, heureusement 🙂

    Répondre
    • Ouf, tu l’as échappé belle ^^

  20. Bonjour,
    J’utilise Limit Login Attempts d’après des conseils sur tes pages je crois.
    Est-il moins bien que Login Lockdown ?

    Merci pour toutes ces infos de qualité

    Répondre
    • Bonjour Alice,
      Il faut que je teste mais ils sont équivalents à mon sens 🙂

  21. Bonjour
    Merci pour cet article très complet
    Les sites worpress hébergé chez OVH rencontre un problème de compatibilité avec l extension de sécurité Acumix …
    Je vous recommande d utiliser soit Itheme sécurité soit Wordfence afin de sécuriser facilement votre site WordPress.
    Certain plugins WordPress comportent des failles de sécurité …et ces extensions sont parfois incompatibles entrent elle…
    Si votre site wordpress plante suite à l installation d un de ces plugin pas de panique …Connectez vous via le ftp …. allez dans le dossier wp-content ….puis plugins et renommez l extension qui pose problème exemple :itheme security deviendra ithemesecurity1 et voila ca remarche !

    Répondre
  22. Merci pour cet article.

    WordPress → me fait peur de plus en plus.

    Répondre
    • Avec plaisir !
      De nouveaux articles viendront pour continuer de démystifier WordPress 😉

  23. Bonjour Alex,

    Je te lis depuis maintenant pas mal de temps et j’aime à la fois le ton et la qualité de ton blog.

    J’installe actuellement mon premier wordpress pro et j’aurai aimé savoir quel plugin de sécurité tu me conseillerais en plus de login lockdown, pour bien protéger le site.

    Je lis ça et là que wordfence pèse assez lourd dans la balance !! Que penser de Sucuri en version gratuite ? Efficace ? Pas trop lourd ?

    Enfin, sur tes conseils, j’ai installé udraftplus !

    Merci par avance,

    Stéphane

    Répondre
    • Bonjour Stéphane,

      Merci pour ton message 🙂
      Personnellement, j’ai opté pour Sucuri (en version premium) mais j’ai entendu beaucoup de bien de iThemes Security. Il y a aussi SecuPress de WPMédia qui va bientôt sortir (il risque de faire beaucoup de bruit !).

      Bonne continuation

  24. Re,

    Merci d’avoir répondu aussi vite.

    Je pense en effet tester iThemes Security et tu confirmes la bonne impression que je m’en suis fait à la lecture de plusieurs ressources.
    Je n’ai pas encore entendu parler de Secupress mais je vais aller y jeter un coup d’oeil avant sa sortie.

    Tu conseilles de l’installer en ftp ou directement depuis le dashboard?

    Concernant Sucuri (et d’après ce que j’ai pu en lire), il est très limité en gratuit alors que puissant en premium.

    Tout comme en cuisine, je vais donc suivre ta recette (Ithemes Security) en espérant qu’il ne va pas mettre trop de chaos sur ma config.

    A bientôt

    Répondre
  25. Question qui semblera peut-être idiote mais tant pis. Je comprends l’application de ce plugin sur ce site par exemple, mais sur un thème LMS donc avec des connexions d’étudiants, serait-il pertinent de l’installer ?

    Merci
    (et mille merci, grâce WP Marmite j’ai réussi à faire seule un site tout à fait convenable de formations en ligne).

    Répondre
    • Salut Julie,

      Oui c’est tout à fait possible. Il faut juste que tes étudiants arrivent à se connecter au bout du nombre de fois que tu auras spécifié.
      En complément, je te conseille ce plugin pour éviter que plusieurs personnes se connectent avec le même compte 😉

      Bonne continuation et merci de suivre la Marmite !

  26. Bonjour,

    Actuellement en train de mettre en place un site web, je fais le tour des plugins indispensables pour un WordPress, Login LockDown en fait partie et grâce à votre article j’ai pu le configurer correctement.

    Merci

    Répondre
    • Ravi d’avoir pu être utile 🙂

  27. Bon a savoir : dans mon entreprise mes collègues ont un compte « abonné » et si l’un d’eux se trompe plusieurs fois et bloque la connexion, étant moi-même sur la même adresse ip je ne peux plus ne connecteur pendant le temps défini dans le plugin. C’est le seul défaut que je reproche a cet outil précieux.

    Répondre
    • En effet, Login Lockdown se sert de l’IP pour identifier un utilisateur.

      Merci pour votre retour !

  28. Bonjour et merci pour votre article.
    ce plugin est parfait mais les message d’erreurs en anglais , lorsqu’un utilisateur essaye de se logger, sont insupportables.
    Impossible de traduire avec loco translate !
    Comment fait-on ???

    Répondre
    • Bonjour johanna, je pense que vous devriez contacter un freelance spécialisé wordpress pour corriger cette étape

  29. Bonjour tout le monde,

    J’ai contacté plusieurs fois sans succès le développeur après avoir entièrement traduit son extension.
    https://wordpress.org/support/topic/translation-plugin-pull-request/

    Si quelqu’un est intéressé d’utiliser la dernière version de login lock down avec le support des langues notamment le français, j’ai créé un fork ici : https://github.com/rvola/login-lockdown

    Répondre
    • Merci pour le partage Nicolas

  30. un freelance pour changer 2 phrases… ?
    J’aurais juste trouver l’endroit (le fichier) où sont stocké ces 2 phrases…

    Répondre
    • Si vous posiez la question, c’est que je pensais que vous ne souhaitiez pas mettre les mains dans le code.

    • Sinon il existe deja la version traduite ici :
      https://github.com/rvola/login-lockdown 😄

    • Eh bien voilà 🙂
      Merci pour l’info Nicolas

  31. Merci Nicolas
    pouvez vous juste me donner la marche à suivre pour mettre à jour ces fichiers : https://github.com/rvola/login-lockdown
    J’ai essayé plusieurs fois en ftp puis avec locotranslate pour qu’il retrouve ces fichiers mais locotranslate ne voit pas la version FR

    Répondre
    • Bonjour johanna, je vais regarder ça

  32. Bonjour
    Je viens d’avoir un gros problème avec jetpack Protect :page administration inaccessible par blocage adresse IP ( je suis hébergé chez OVH ).Puis-je utiliser Login lock down sans avoir le même problème
    Merci
    Guy

    Répondre
    • Bonjour Guy, je n’ai pas eu d’expérience similaire mais je ne vois pas pourquoi cela poserait problème.
      Tous mes sites utilises login lock down (hébergés chez O2 switch par contre) et je n’ai jamais eu de blocage d’adresse IP

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

La Marmite ne peut malheureusement pas fournir de support. Merci d'en tenir compte dans votre commentaire 😉

Si vous ne lui en voulez pas, donnez-lui un j'aime sur Facebook :



142 Shares
Share75
Tweet41
Share26