6 à 7 minutes Niveau : Débutant
Objectif de cette astuce
Comprendre pourquoi la page de connexion WordPress est une cible privilégiée des robots, et installer en moins de 5 minutes une protection efficace contre les attaques par force brute.
Le problème : WordPress laisse la porte grande ouverte
Par défaut, WordPress n’impose aucune limite au nombre de tentatives de connexion. Un robot peut essayer des milliers de combinaisons identifiant/mot de passe, 24h/24, sans jamais être ralenti ni bloqué. C’est ce qu’on appelle une attaque par force brute.
Par défaut, WordPress autorise un nombre illimité de tentatives de connexion, ce qui constitue une vulnérabilité permettant de déchiffrer facilement les mots de passe en utilisant des attaques par force brute. WordPress.org
La cible est toujours la même : monsite.com/wp-login.php, une URL identique sur tous les sites WordPress du monde — et donc connue de tous les robots d’attaque.
La solution : Limit Login Attempts Reloaded
Limit Login Attempts Reloaded constitue un moyen de dissuasion efficace contre les attaques par force brute. Il fonctionne en empêchant automatiquement toute nouvelle tentative de la part d’une adresse IP particulière une fois qu’une limite prédéterminée de tentatives a été dépassée. Cela s’applique non seulement à la méthode de connexion standard, mais aussi à XMLRPC, WooCommerce et aux pages de connexion individuelles. Avec plus de 2,5 millions d’utilisateurs actifs, cette extension répond à toutes vos exigences en matière de sécurité de connexion. WordPress
Installation : Tableau de bord → Extensions → Ajouter → rechercher Limit Login Attempts Reloaded → Installer → Activer.
Configuration recommandée
Une fois activé, l’extension est accessible via Réglages → Limit Login Attempts.
Voici les paramètres à configurer :
Tentatives autorisées : 4 — c’est la valeur par défaut et elle convient très bien. Un utilisateur légitime qui oublie son mot de passe a largement le temps de se corriger avant d’être bloqué.
Durée du blocage initial : 20 minutes — après 4 échecs, l’IP est mise en attente 20 minutes. Suffisant pour décourager un robot, sans bloquer longtemps un vrai utilisateur.
Blocage long après récidive : 24 heures — si une même IP insiste après plusieurs cycles de blocage, elle est bannie pendant 24 heures. La limitation est renforcée avec des intervalles de verrouillage plus longs chaque fois qu’une IP ou un identifiant malveillants tentent de se connecter sans succès.
Notification par e-mail — l’extension peut vous alerter par mail dès qu’une IP est bloquée. Réglez-le sur 3 blocages pour ne pas être submergé d’alertes, tout en restant informé.
Protéger XMLRPC — laissez cette option activée. L’API XML-RPC de WordPress est un vecteur d’attaque souvent négligé mais très exploité par les robots.
Conseil de formateur : Les valeurs par défaut du plugin sont déjà bien calibrées. En deux minutes, votre site est protégé. Inutile de sur-paramétrer.
Le résultat : l’IP est bloquée, le robot ne passe plus
Après le nombre de tentatives configuré, la page de connexion affiche un message de blocage avec un compte à rebours. Le formulaire est désactivé le temps du verrouillage.
Compléments pour aller plus loin
Limiter les tentatives est la première brique, mais elle se combine bien avec deux autres mesures simples :
Ne jamais utiliser admin comme identifiant — c’est le premier nom d’utilisateur testé par tous les robots. Si votre compte admin s’appelle admin, changez-le dès maintenant (Utilisateurs → Votre profil).
Choisir un mot de passe fort — WordPress génère des mots de passe robustes automatiquement lors de la création d’un compte. Utilisez-les, ou un gestionnaire de mots de passe.
Changer l’URL de connexion (niveau avancé) — des extensions comme WPS Hide Login permettent de remplacer /wp-login.php par une URL personnalisée. Les robots ne trouvent plus la porte d’entrée. Cette technique sera abordée dans une astuce dédiée.
Attention : si vous vous faites bloquer par erreur après avoir oublié votre mot de passe, vous pouvez débloquer votre IP depuis le tableau de bord de l’extension (onglet Journal) en étant connecté depuis une autre adresse IP, ou en contactant votre hébergeur.
Récapitulatif
| Sans protection | Avec Limit Login Attempts Reloaded | |
|---|---|---|
| Tentatives autorisées | Illimitées | 4 par IP |
| Blocage automatique | Non | Oui — 20 min, puis 24h |
| Protection XMLRPC | Non | Oui |
| Alerte admin | Non | Oui par e-mail |
| Temps d’installation | – | ~2 minutes |
Ce qu’il faut retenir
Limiter les tentatives de connexion est l’une des mesures de sécurité les plus simples et les plus efficaces sur WordPress. Deux minutes d’installation, zéro configuration complexe, et votre site résiste aux attaques automatisées les plus courantes. C’est un réflexe à adopter sur chaque nouveau site, au même titre que changer le préfixe des tables ou désactiver l’identifiant admin.