WP Limit Login Attempts Reloaded

WP Limit Login Attempts Reloaded est une extension qui vous empêchera de subir des attaques par brute force.
Si vous vous posez la question « qu’est ce qu’une attaque par brute force », imaginez que quelqu’un tente de se connecter à votre site WordPress en entrant des millions de combinaisons d’identifiants et mots de passe par minutes. C’est ça les brute force attacks !

Pour vous prémunir de ce danger, vous pouvez changer vos URLs de connexion au back office de votre site WordPress.
Il ne peut être que bénéfique pour votre site de consolider ces bases.

INSTALLATION ET CONFIGURATION

Pour l’installation, rendez-vous dans votre back office WordPress puis via le menu latéral gauche, survolez Extensions et cliquez sur Ajouter.
Vous pouvez ensuite rechercher « WP Limit Login Attempts Reloaded ».

Rendez-vous sur Extension > Extensions installées et recherchez « WP Limit Login Attempts Reloaded » pour l’activer en cliquant sur le bouton « Activer ».

Comment l'utiliser ?

Vous pouvez ensuite ouvrir les réglages de WP Limit Login Attempts Reloaded et vous rendre dans l’onglet « Paramètres ».

« Conformité RGPD », comme son nom l’indique, rendra l’extension conforme à la norme RGPD.
Avec « Notifier au verrouillage » vous pourrez recevoir une notification par mail suite à un nombre défini de tentatives de connexions échouées.

Vous pourrez définir un nombre de tentatives de connexions autorisées avec les paramètres « Local Worker ».

La première case correspond, avant verrouillage, le nombre de tentatives de connexions autorisées.
Pour des questions de sécurité, il est préférable de ne pas autoriser un nombre trop élevé de tentatives, car si un utilisateur a oublié son mot de passe, il faudra toujours qu’il ait la possibilité, depuis son interface de connexion, d’en demander un nouveau.

La seconde case va déterminer la durée pendant laquelle l’utilisateur voit ses tentatives de connexions bloquées.

La troisième va augmenter la durée de gel des tentatives après un nouveau nombre définit de tentatives échouées.
Par exemple, si le nombre de tentatives autorisé est de 3, vos utilisateurs auront droit à 3 tentatives de connexion avant de voir leurs prochaines tentatives bloquées pour 20 minutes (durée que vous avez défini en case 2).
Les 20 minutes de blocage passent, l’utilisateur, après 2 nouvelles tentatives, ne parvient toujours pas à se connecter. Alors, cette fois-ci, le blocage durera 24 heures.

N’oubliez pas d’enregistrer vos modifications une fois tous vos paramètres définis.

Le conseil de votre formateur

Si WP Limit Login Attempts Reloaded permet de limiter les brute force attacks, il ne faut pas oublier ses utilisateurs pour autant.
Si ces derniers font quelques fautes de frappe, oublient leurs identifiants, ou mot de passe, voir leur possibilité de se connecter bloquée pendant un temps, cela pourra provoquer un sentiment de frustration.
Vous devrez trouver l’équilibre entre limitation et protection.
Laisser 50 tentatives de connexion à vos utilisateurs est à éviter, ne leur en offrez pas non plus qu’une seule.