iTheme security est un très bon plugin de sécurité, qui fait bien son taf, quand on le configure comme il faut. Il permet, entre autre, de bannir (avec une erreur 403) les utilisateurs qui essaient d’accéder au back-office avec une attaque de type Brute-force (tentative de connexion avec toutes les combinaisons de mot de passe possible). Seulement, il a le défaut de ses qualités : il ne laisse rien passer. Et parfois, ça peut tomber sur vous. Comment s’en sort-on quand on ne peut plus accéder à son espace d’administration, parce qu’on s’est trompé à plusieurs reprises de mot de passe ? On voit ça tout de suite…
Protéger son accès au back-office en le cachant
Pour protéger l’accès à votre back-office WordPress, iTheme Security vous offre plusieurs outils. Le premier, et à mon sens le plus efficace, c’est de vous permettre de modifier l’adresse de connexion. En effet, les robots qui recherchent des failles de sécurité connaissent très bien wordpress, et vont tenter d’accéder à wp-login.php ou wp-admin.php. Si la page est trouvée, ils vont ensuite tenter de se connecter avec le nom d’utilisateur « admin », qui est le login par défaut sur WP.
Si le serveur indique, lors d’un essaie infructueux et automatisé, que le mot de passe renseigné n’est pas le bon, alors le robot sait que « admin » est un nom d’utilisateur valable, et il va s’inscruster sur la page pour tenter un très grand nombre de mot de passe, jusqu’à rentrer. De là, tout est possible (mais, très probablement, ça va être « injection de contenu » pour faire du netlinking).
En modifiant l’adresse de connexion au back-office, vous coupez l’herbe sous le pied des robots : pas de formulaire de connexion, pas d’attaque Brute-force.
La protection contre les attaques Brute-force
Si vous n’avez pas caché l’accès au formulaire de connexion, il reste toutefois une sécurité supplémentaire, offerte par iTheme Security :
En effet, le module vous permet de limiter le nombre de tentatives de connexion au back office. Pour cela, il suffit simplement de configurer le module, et, au-delà de N tentatives de connexion manquées, l’utilisateur ou l’adresse IP incriminée est temporairement banni. Le serveur renvoie alors une erreur 403.
Pour mettre cela en place, je vous renvoie au tutoriel précédent sur iTheme security, disponible ici.
Mais qu’est-ce qui se passe si c’est vous qui êtes bannis, parce que vous avez utilisé un mauvais mot de passe à plusieurs reprises ? Contrairement aux idées reçues, c’est assez simple de se sortir de là, pourvu que vous ayez un accès au serveur FTP, ou un accès à PhpMyAdmin.
Tout d’abord, il faut savoir qu’iTheme security ne vous bannit pas comme ça. Si vous avez pu vous connecter au back-office à un instant T, le plug-in l’enregistre et « whiteliste » votre adresse IP pendant 24 heures. Ici, c’est temporaire. Si vous essayez de vous connecter depuis un autre endroit, avec une adresse IP différente, et que vous vous trompez de mot de passe à plusieurs reprises, vous serez banni tout pareil.
En clair : connexion réussie = whitelistage de votre IP pendant 24h.
Mais vous pouvez également « whitelister » votre IP de manière définitive, en vous rendant dans la rubrique « règlages généraux », et en cliquant sur le bouton « add my current IP to the whitelist ».
Si vous n’avez pas configuré cette fonction, et que vous êtes bloqué hors de l’espace d’administration, parce que vous ne vous êtes pas connecté depuis plus de 24 h et que vous vous êtes trompé de mot de passe plusieurs fois, alors utilisez une des deux méthodes ci-dessous…
Désactiver le plug-in via ftp
La méthode un peu cracra, mais qui fonctionne bien : connectez-vous à votre serveur ftp, rendez-vous dans wp-content/plugins, et renommez le dossier qui s’appelle wp-better-security (nommez-le par exemple : wp-better-securityOLD). Cela aura pour effet de désactiver le module, et vous ne serez plus banni du back-office.
Via PhpMyAdmin
Ici, c’est un peu plus propre : il faut simplement vous rendre sur PhpMyAdmin, localiser la table wp_itsec_lockouts, et trouver là ou les lignes mentionnant soit votre adresse IP, soit l’identifiant de votre profil utilisateur, et de les effacer.
Ainsi, vous ne serez plus blacklisté, et pourrez récupérer l’accès à votre interface d’administration.
Une fois que vous avez pu vous reconnecter, n’oubliez pas d’ajouter votre adresse IP à la liste blanche (un simple clic sur le bouton suffit) !
