Publié par le janvier 12, 2015 • 75 Commentaires

Qu’avez-vous mis en place en matière de sécurité sur votre site ?

J’imagine que vous avez mis en place un moyen de sauvegarder votre site régulièrement pour remettre votre site en ligne le plus vite possible en cas de problème mais que pouvez-vous faire de plus ?

Dans cette nouvelle recette, vous allez découvrir Login Lockdown : un plugin destiné à bloquer les personnes qui tentent de deviner votre mot de passe (et donc accéder au coeur de votre site pour mettre le bazar).

Par défaut, WordPress ne limite pas le nombre d’essais pour se connecter à l’administration.

Cela signifie que si quelqu’un (ou un robot) tente de se connecter à votre site, cet assaillant aura tout son temps pour essayer des dizaines de mots de passe (et peut-être trouver le bon).

Pas cool n’est-ce pas ?

Bien sûr, étant donné que vous avez déjà pris soin de ne pas utiliser l’identifiant « admin » pour votre site, vous vous sentez peut-être à l’abri.

Quoi ?! Vous utilisez encore « admin » en identifiant ?

Grave erreur, car cela facilite la tâche d’éventuels pirates.

Grave erreur camarade

En utilisant l’identifiant « admin », des personnes mal intentionnées n’auront juste qu’à deviner votre mot de passe.

Avec un identifiant différent d' »admin », vous allez leur compliquer la tâche et c’est exactement ce que nous voulons 🙂

Nous allons donc faire une petite digression pour expliquer comment…

Changer l’identifiant administrateur de votre site

Si vous n’utilisez pas « admin » en tant qu’identifiant, passez directement à l’étape suivante.

Pour procéder à cette modification, il vous suffit simplement de créer un nouvel administrateur.

Cliquez sur Utilisateurs > Ajouter, entrez un identifiant compliqué ainsi que d’autres informations vous concernant :

Choisissez un identifiant compliqué

Par identifiant compliqué, j’entends une chaîne de 8 à 12 caractères avec des lettres et chiffres. Par exemple : tb7w63a5.

Poursuivez la création de ce nouvel administrateur avec un mot de passe encore plus compliqué que l’identifiant.

Jetez un oeil à cet article pour voir quels sont les mots de passe les plus utilisés et évitez-les car ils seront testés en premier par les pirates.

Personnellement j’ai l’habitude d’utiliser ce site pour générer de bons mots de passe.

Spécifiez ensuite le rôle « Administrateur » et cliquez sur « Ajouter un utilisateur ».

Nouvel administrateur WordPress

Eh bien voilà, nous y sommes presque.

Il ne vous reste plus qu’à vous connecter avec ce nouveau compte et supprimer le compte doté de l’identifiant « admin ».

Pour finir, il vous sera proposé d’attribuer les articles créé par l’ancien compte à un nouveau compte :

Suppression du compte administrateur par défaut

Choisissez bien votre nouveau compte et validez l’opération en cliquant sur Confirmer la suppression.

Refermons cette parenthèse sur l’identifiant du compte administrateur et revenons à la …

Configuration de Login Lockdown

Une fois que vous aurez recherché et installé ce plugin, rendez-vous dans Réglages > Login Lockdown.

À mon plus grand regret, ce plugin n’est pas traduisible en l’état. J’ai envoyé un email à l’auteur pour lui demander de mettre à jour son plugin pour qu’il puisse être traduit.

Nous allons donc devoir nous contenter d’une version anglaise pour cette recette. Bien entendu, je mettrai à jour l’article en cas de traduction de ce plugin.

Voici ce que vous trouverez sur la page de configuration de cette extension :

Options de Login Lockdown

Examinons chacune des options présentes.

Max Login Retries

Entrez dans ce champ le nombre d’essais maximum autorisés pour tenter de se connecter. À mon sens, 3 essais est un bon compromis.

Si vous êtes seul à vous connecter sur votre site et que vous connaissez vos identifiants par coeur, vous pouvez mettre 1.

Retry Time Period Restriction (minutes)

Durée en minutes pendant laquelle les tentatives seront comptabilisées par le plugin.

Par exemple si vous conservez la durée par défaut de 5 minutes et définissez 3 tentatives pour le paramètre précédent, si une personne essaie de se connecter 3 fois en 5 minutes, elle sera bloquée.

Lockout Lenght (minutes)

Durée de blocage en minute. Entrez la durée pendant laquelle votre assaillant sera bloqué.

Par défaut, la durée est de 60 minutes mais vous pouvez être plus dur en mettant 1440 soit 24 heures.

Lockout Invalid Usernames ?

Par défaut, Login Lockdown ne se déclenchera pas si quelqu’un tente de se connecter avec un identifiant qui n’existe pas. Je vous recommande vivement de cliquer sur Yes pour activer le plugin dans ce cas.

Étant donné que votre identifiant est différent de « admin », les petits malins qui tenteront de se connecter avec « admin » seront automatiquement mis sur la touche.

Mask Login Errors ?

Lorsqu’une tentative de connexion échoue, WordPress affiche un message pour indiquer que l’identifiant n’existe pas et un autre message si l’identifiant existe mais que le mot de passe est erroné.

L’inconvénient avec ces messages est que cela donne des informations précieuses aux personnes mal intentionnées.

Notre but est donc de leur compliquer la tâche en cochant Yes pour masquer ces messages.

Show Credit Link ?

La dernière option proposée par cette extension est purement esthétique. Elle permet d’afficher un lien de promotion pour montrer que le site est protégé par Login Lockdown.

3 possibilités vous sont offertes :

  1. Afficher le lien
  2. Afficher le lien avec une balise nofollow (pour indiquer aux moteurs de recherche de ne pas suivre ce lien)
  3. Ne pas afficher le lien

Personnellement je vous recommande d’opter pour le 3ème choix, c’est à dire de ne pas mentionner le plugin.

La première raison est de ne pas montrer que vous utilisez ce plugin. Si un jour une faille est découverte à l’intérieur, votre site aura l’équivalent d’une pancarte géante sur laquelle il sera indiqué : Attaquez-moi !

La seconde raison est que cela ne sert à rien. Qui est censé visiter la page de connexion à part vous et éventuellement vos collègues ?


Pour valider votre configuration, il ne vous reste plus qu’à cliquer sur Update Settings et le tour sera joué 🙂

Conclusion

Protéger son site n’est pas une mince affaire. Toutefois des plugins comme Login Lockdown peuvent contribuer à éviter que des pirates s’invitent chez vous.

Il va sans dire qu’utiliser ce plugin sans avoir d’identifiant ni de mot de passe complexes ne sert à rien. Il faut mettre un maximum de bâtons dans les roues des pirates n’est-ce pas ?

Connaissiez-vous le plugin Login Lockdown ? L’utilisez-vous déjà pour votre site ? Allez-vous le faire ?