![Image pour [Wordpress] Login LockDown, protégez votre blog des hackers](http://blog.websourcing.fr/files/2009/11/wordpress-securite-cadenas-150x150.png)
[Wordpress] Login LockDown, protégez votre blog des hackers
Lorsqu’on Ă©dite un blog et qu’on y met toute son Ă©nergie, l’une des choses les plus redoutĂ©es et de se faire hacker.
L’attaque la plus commune consiste Ă usurper l’identitĂ© de l’administrateur en trouvant son mot de passe par « bruteforce ». Cette technique consiste, en gros, Ă essayer toutes les combinaisons de mots de passe possibles jusqu’Ă tomber sur le bon.
Sur les blogs Wordpress, il n’existe, par dĂ©faut, aucune mĂ©thode pour empĂŞcher ce genre d’attaques. Il est possible de tenter de se loguer autant de fois qu’on le souhaite. Pire, Wordpress ne donne mĂŞme pas la possibilitĂ© d’enregistrer les adresses IP qui tentent une identification.
Login LockDown est un plugin qui permet de dĂ©finir un nombre maximum de tentatives de login avec une adresse IP donnĂ©e et dans un laps de temps donnĂ©. De plus,il enregistre toutes les adresses IP et les bloque en cas d’infraction.
Une fois installĂ©, il suffit de se rendre dans l’interface d’administration de votre blog et de cliquer que le menu Login Lockdown. LĂ , vous trouverez les options du plugins :
Dans cet exemple, une mĂŞme adresse IP pourra tenter de se loguer 3 fois dans une pĂ©riode de 60 minutes. A la troisième erreurs, l’adresse sera bannie pendant 120 minutes.
J’ai Ă©galement choisi de cacher le message d’erreur de Wordpress qui indique qu’il s’agit bien d’une erreur de mot de passe. C’est une indication supplĂ©mentaire pour le hacker, qu’il n’est pas nĂ©cessaire de lui donner 
.
Bien entendu, ce plugin ne vous protègera pas Ă 100%. Aujourd’hui, il est très facile de passer par un rĂ©seau ou un proxy publics pour se faire passer pour un autre (et donc avoir une autre adresse IP).
Le mieux est encore d’utiliser les restrictions d’accès (DENY, ALLOW) pour certaines pages dans le fichier .htaccess de votre blog, en indiquant uniquement votre adresse IP (et Ă©ventuellement une de secours en cas de dĂ©placement).
Téléchargez le plugin pour Wordpress Login LockDown (.ZIP, 12Ko)
Pour tester la sécurité de votre blog Wordpress et découvrir ses failles, lisez le billet sur WP-Scanner.
Sur le même thème :
-
[Wordpress] WP-Scanner, un plugin pour tester la sécurité de votre blog
![[Wordpress] WP-Scanner, un plugin pour tester la sécurité de votre blog](/files/2009/05/li_warning.jpg)
-
[Wordpress] Maintenance Mode, un plugin pour avertir vos lecteurs de travaux sur votre blog
![[Wordpress] Maintenance Mode, un plugin pour avertir vos lecteurs de travaux sur votre blog](/files/2009/08/li_maintenance_wordpress.png)
-
[Wordpress] WP-ClickMap, oĂą cliquent les visiteurs de votre blog ?
![[Wordpress] WP-ClickMap, oĂą cliquent les visiteurs de votre blog ?](/files/2009/12/eye-tracker-heat-map-150x150.jpg)
-
[Wordpress] Créez un service complet de newsletters pour votre blog
![[Wordpress] Créez un service complet de newsletters pour votre blog](/files/2009/11/li-newsletter.jpg)
DrG.
Red-Rabbit
casiseb
Laurie-Anne
Aline
Flav
crea-fr conception sites internet
Stéphanie (Tout Mon Immobilier)
ptitprince29
Citer #1 par Marc JESTIN axelere le 30 novembre 2009 - 15:33
Bonjour,
Et merci pour cet article très utile et très clair.
La sécurisation est un enjeu important sur ces outils et on peut espérer que WordPress intègrera ce type de fonctions en standard.
Au plaisir,
Marc
Citer #2 par Lionel Roux le 1 décembre 2009 - 17:09
Malheureusement rien de tel n’est prĂ©vu pour la version Ă venir (2.9). Peut-ĂŞtre pour la suite… on peut rĂŞver
@ bientĂ´t
Citer #3 par Darkam le 1 décembre 2009 - 15:45
Merci pour cet article.
Pour sĂ©curiser wordpress j’utilise une clĂ© USB « Yubikey » qui rend inutile cette mĂ©thode d’attaque (clĂ© unique gĂ©nĂ©rĂ©e) , assez pratique mĂŞme si cela ne protège pas vraiment une attaque directement sur la BDD…
Citer #4 par Lionel Roux le 1 décembre 2009 - 17:12
Pratique en effet.
Par contre je pense que Wordpress reste « attaquable » puisque la Yubikey n’Ă©vite que la saisie, si j’ai bien compris, mais le formulaire reste en place.
@+
Sur Les tweets qui mentionnent [Wordpress] Login LockDown, protégez votre blog des hackers - Websourcing.fr -- Topsy.com le 30 novembre 2009 - 13:30
[...] Ce billet était mentionné sur Twitter par Camille Jourdain, Simon Tripnaux. Simon Tripnaux a dit: [Wordpress] Login LockDown, protégez votre blog des hackers http://bit.ly/875vlM [...]
Sur news et lectures de début décembre | les Korrigans libres le 3 décembre 2009 - 17:19
[...] titres gratuits c’est dĂ©jĂ noĂ«l (une offre qui devrait prĂ©sente toute l’annĂ©e. – un plugin pour Ă©viter le crack de login pour wordpress -un moteur qui vous aide Ă comprendre et solutionner les messages erreurs informatiques -lecture [...]
Sur [Wordpress] La vraie bonne manière de supprimer le numéro de version - Websourcing.fr le 7 février 2010 - 12:16
[...] pas également de protéger votre blog contre les intrusions en bloquant les attaques par [...]