Limiter les tentatives de connexion sans plugin ?
Comment protéger la page de connexion de WordPress sans utiliser de plugin
English version: Limit login attempts without a plugin?
Vous pouvez trouver de nombreux commentaires et conseils à ce sujet sur Internet. Mais est-ce réel ?
Par défaut, WordPress autorise un nombre illimité de tentatives de connexion via le formulaire de connexion, l'envoi de cookies spéciaux, l'utilisation d'appels XML-RPC et les appels d'API REST. Cela permet de casser les mots de passe avec une relative facilité via une attaque par force brute. De nos jours, les pirates et les robots essaient constamment de se connecter à votre site WordPress en devinant votre mot de passe administrateur et les mots de passe des autres utilisateurs enregistrés sur le site. Donc, si vous voulez protéger votre site sans utiliser de plugin, vous avez besoin :
- Bien connaître PHP .
- En savoir assez sur le filtre d'authentification et l'action (intégrés à WordPress) pour les accrocher. Je recommande de commencer par des crochets comme 'authenticate' et 'wp_login_failed'.
- Suivez le formulaire de post-connexion, les demandes d'autorisation XML RPC et REST API, et oui, n'oubliez pas les cookies d'autorisation (sont-ils valides ?).
- Stockez quelque part toutes les tentatives avec toutes les tentatives de connexion et toutes les adresses IP pour calculer quand et quelle adresse IP vous devez bloquer. Je recommande d'utiliser l'API transitoire. Sérieusement. C'est le moyen le plus simple. Bien sûr, vous ne pouvez pas le contrôler, mais l'utiliser vous permet de faire quelque chose sans connaître SQL.
- Calculez le temps entre les tentatives de connexion infructueuses pour une adresse IP particulière.
- Disposez d'un outil ou d'un code PHP pour réinitialiser l'un de ces compteurs et bloquer l'adresse IP du client. Et si un client légitime était bloqué par hasard ?
Ça a l'air fou ? Vous avez une deuxième option. Vous pouvez google et récupérer des extraits de code d'un blog sur Internet sans aucune garantie ni assistance.
Conclusion : Vous pouvez trouver de nombreux conseils pour limiter les tentatives de connexion sans plugin sur Internet. Mais tous les conseils sont donnés par des personnes qui ne savent même pas comment fonctionne exactement l'algorithme d'authentification WordPress, y compris ces gentils gars de stackoverflow. Mais, de toute façon, vous pouvez le faire, si vous ne vous inquiétez vraiment pas de la sécurité de votre site car il n'y a aucune option pour le faire correctement sans les compétences en codage PHP et la connaissance du mécanisme d'authentification WordPress.
S'il y a quelque chose d'étrange sur votre site, qui allez-vous appeler ?
WP Cerber Security 8.7
Gérer les mots de passe des applications WordPress en toute simplicité
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.