Sécurité de connexion renforcée avec WP Cerber
English version: Strong login security with WP Cerber
Ce n'est un secret pour personne que de mauvais acteurs peuvent s'introduire dans un WordPress nouvellement installé en quelques minutes en lançant une attaque par force brute. C'est possible car WordPress n'a pas de mécanismes intégrés d'atténuation des attaques, l'URL de connexion par défaut est bien connue et le nom d'utilisateur de l'administrateur d'un site Web peut être découvert facilement. WP Cerber apporte tous les outils nécessaires pour atténuer les attaques par force brute et protéger les comptes des utilisateurs.
Configuration des paramètres de sécurité de connexion de WP Cerber
Les paramètres de sécurité de connexion se trouvent dans l'onglet Paramètres principaux. Ici, vous pouvez configurer les limites des tentatives de connexion, restreindre l'accès à wp-login.php et configurer les messages d'erreur pour empêcher la découverte de noms d'utilisateur et d'e-mails lorsque vous utilisez des noms d'utilisateur et des e-mails inexistants.
Limiter les tentatives de connexion pour atténuer les attaques par force brute
Les paramètres par défaut et recommandés pour limiter les tentatives de connexion sont mis en surbrillance comme #1 sur la capture d'écran. Ces paramètres ont été définis lorsque vous avez activé WP Cerber. Si vous avez de nombreux clients sur le site Web, par exemple si vous gérez une boutique WooCommerce, il est logique d'augmenter la limite des tentatives de connexion.
WordPress Login Security – WP Cerber Settings
Traitement des demandes d'authentification wp-login.php
Voir la sélection #2. Par défaut, WordPress utilise wp-login.php comme page de connexion au site Web qui traite toutes les connexions des utilisateurs et fournit le formulaire d'inscription et le formulaire de réinitialisation du mot de passe. Si vous avez configuré l' URL de connexion personnalisée , il est recommandé de désactiver wp-login.php. Vous avez deux options. Vous pouvez bloquer complètement l'accès à wp-login.php et rendre le fichier inaccessible à quiconque, ou vous pouvez désactiver l'authentification de l'utilisateur via wp-login.php sans bloquer l'accès au fichier. Vous pouvez choisir n'importe laquelle des options. Les deux empêchent l'authentification de l'utilisateur via wp-login.php.
Lorsque la première option est activée, WP Cerber rend et renvoie la page d'erreur "404 Page Not Found" comme s'il n'y avait pas un tel fichier sur le site Web. Ainsi, les mauvais acteurs n'ont rien à attaquer.
Lorsque la deuxième option est activée, WP Cerber empêche toute authentification d'utilisateur même avec des noms d'utilisateur et des mots de passe corrects. Cela signifie que personne ne peut se connecter en utilisant wp-login.php. Après une tentative de connexion via wp-login.php, WP Cerber affiche le message d'erreur de mot de passe incorrect par défaut imitant le processus d'authentification WordPress standard. L'utilisation de cette approche aide WP Cerber à détecter les attaques lentes par force brute en utilisant wp-login.php comme pot de miel de détection. Toutes les tentatives de connexion via wp-login.php sont enregistrées dans le journal d'activité de WP Cerber, comme indiqué sur la capture d'écran ci-dessous.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Empêchez les mauvais acteurs de découvrir les vrais noms d'utilisateur et les e-mails des clients
Les messages d'erreur de connexion et de réinitialisation de mot de passe par défaut générés par WordPress sont assez verbeux et aident les pirates à détecter de vrais noms d'utilisateur et e-mails pour les utiliser pour monter des attaques par force brute ou d'ingénierie sociale.
Désactiver le message d'erreur de connexion par défaut
Lorsqu'il est activé, les messages d'erreur de connexion n'indiquent pas les noms d'utilisateur et les e-mails non valides lors de la tentative de connexion avec des noms inexistants . Au lieu de cela, WP Cerber affiche le message d'erreur WordPress par défaut utilisé lorsqu'un utilisateur entre un mot de passe incorrect. Cela aide à empêcher les mauvais acteurs de deviner des noms d'utilisateur et des e-mails valides. Cette approche est également connue sous le nom de désactivation des indices de connexion.
La version professionnelle de WP Cerber vous permet de spécifier votre propre message d'erreur de connexion à l'aide du champ de paramètre de message d'erreur de connexion personnalisé .
Désactiver le message d'erreur de réinitialisation du mot de passe par défaut
Lorsqu'il est activé, les messages d'erreur de réinitialisation du mot de passe n'indiquent pas les noms d'utilisateur et les e-mails non valides lors de la tentative de réinitialisation du mot de passe pour un nom d'utilisateur ou un e-mail inexistant. Au lieu de cela, WP Cerber imite le processus par défaut de réinitialisation des mots de passe et affiche le message suivant chaque fois que les utilisateurs saisissent des noms d'utilisateur et des e-mails valides ou inexistants.
The new WordPress password reset message generated by WP Cerber Security
Cette approche aide à empêcher les mauvais acteurs de deviner des noms d'utilisateur valides et est connue sous le nom de désactivation des indices de réinitialisation de mot de passe.
La version professionnelle de WP Cerber vous permet de spécifier votre propre message d'erreur de réinitialisation de mot de passe à l'aide du champ de réglage du message d'erreur de connexion personnalisé .
Notez que toutes les fonctionnalités décrites ci-dessus ne s'appliquent pas aux adresses IP de la liste d'accès IP blanche .
WordPress 5.4.1. Une mise à jour de sécurité corrige sept vulnérabilités XSS
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.