Description
Limit Login Attempts Reloaded constitue un moyen de dissuasion efficace contre les attaques par force brute, renforçant les mesures de sécurité de votre site et optimisant ses performances. Il y parvient en limitant le nombre de tentatives de connexion autorisées. Cela s’applique non seulement à la méthode de connexion standard, mais aussi à XMLRPC, Woocommerce et aux pages de connexion individuelles. Avec plus de 2,5 millions d’utilisateurs actifs, cette extension répond à toutes vos exigences en matière de sécurité de connexion.
Cette extension fonctionne en empêchant automatiquement toute nouvelle tentative de la part d’une adresse de protocole IP particulière et/ou d’un identifiant, une fois qu’une limite prédéterminée de tentatives a été dépassée. Cela réduit considérablement les risques d’attaques par force brute sur votre site.
Par défaut, WordPress autorise un nombre illimité de tentatives de connexion, ce qui constitue une vulnérabilité permettant de déchiffrer facilement les mots de passe en utilisant des attaques par force brute.
Limit Login Attempts Reloaded Premium (Essai gratuit avec Micro Cloud)
Mettez à niveau vers Limit Login Attempts Reloaded Premium pour étendre la protection basée sur le cloud à l’extension Limit Login Attempts Reloaded, renforçant ainsi votre sécurité de connexion. La version premium comprend une série de fonctionnalités très avantageuses, notamment l’intelligence IP pour détecter, contrer et refuser les tentatives de connexion malveillantes. Vos tentatives de connexion échouées seront neutralisées en toute sécurité dans le cloud afin que votre site puisse fonctionner de manière optimale en cas d’attaque.
Fonctionnalités (version gratuite) :
- Limiter les connexions – Limiter le nombre de tentatives de connexion (pour chaque IP).
- Temps de verrouillage configurables – Modifiez le temps d’attente d’un utilisateur/utilisatrice ou d’une IP après un verrouillage.
- Tentatives restantes – Informe l’utilisateur/utilisatrice du nombre de tentatives restantes ou du temps de verrouillage sur la page de connexion.
- Notifications de blocage par e-mail – Informe l’administrateur/administratrice par e-mail des blocages.
- Journal des tentatives refusées – Voir un journal de toutes les tentatives refusées et de tous les blocages.
- Liste d’autorisation et de refus des IP et des identifiants – Contrôlez les accès des identifiants et des IP.
- Compatibilité avec Sucuri.
- Compatibilité avec Wordfence.
- Compatibilité avec Ultimate Member.
- WPS Hide Login compatibility.
- Protection de la passerelle XMLRPC.
- Protection de la page de connexion de Woocommerce.
- Compatibilité multisite avec des réglages MU supplémentaires.
- Conformité RGPD.
- Prise en charge des IP personnalisées (Cloudflare, Sucuri, etc.).
- llar_admin own capability.
Fonctionnalités (version Premium) :
- Optimiseur de performance – Libérez votre serveur du fardeau que représente le nombre excessif d’échecs de connexion afin de protéger vos ressources sur le serveur, ce qui se traduit par une amélioration de la vitesse et de l’efficacité de votre site.
- Intelligence IP améliorée – Identifiez les tentatives de connexion répétées et suspectes afin de détecter les attaques potentielles par force brute. Les adresses IP dont l’activité malveillante est connue sont stockées et utilisées pour prévenir et contrer de futures attaques.
- Limitation renforcée – Intervalles de verrouillage plus longs chaque fois qu’une IP ou un identifiant malveillants tentent de se connecter sans succès.
- Blocage par pays – Bloquez les connexions par pays en sélectionnant simplement les pays que vous souhaitez bloquer.
- Liste de refus automatisée des adresses IP – Ajoutez automatiquement à votre liste de refus active du cloud les adresses IP dont les tentatives de connexion échouent de façon répétée.
- Protection via une liste de refus globale – Utilisez nos données IP actives dans le cloud à partir de milliers de sites dans le réseau LLAR.
- Synchronisation des verrouillages – Les données IP de verrouillage peuvent être partagées entre plusieurs domaines pour une meilleure protection de votre réseau.
- Synchronisation de la liste d’autorisation/de refus – Les informations concernant l’adresse IP et l’identifiant de la liste d’autorisation/de refus peuvent être partagées entre plusieurs domaines.
- Support Premium – Support par e-mail avec un technicien spécialisé dans la sécurité.
- Sauvegardes automatiques de toutes les données IP – Stockez vos données IP actives dans le cloud.
- Journal des connexions réussies – Stockez les connexions réussies dans le cloud, y compris les informations relatives à l’IP, la ville, l’état et la lat/long.
- Journal de verrouillage améliorés – Obtenez des informations intéressantes sur l’origine des adresses IP qui tentent de se connecter.
- Téléchargement au format CSV des données IP – Téléchargez les données IP directement à partir du cloud.
- Prise en charge des plages IPV6 pour les listes d’autorisation et les listes de refus.
- Déverrouiller un administrateur bloqué – Déverrouillez facilement un administrateur bloqué via le cloud.
*Certaines fonctionnalités nécessitent des offres supérieures.
Mise à jour de l’ancienne extension « Limit Login Attempts » ?
- Allez dans la section « Extensions » dans l’interface d’administration de votre site.
- Retirer l’extension « Limit Login Attempts ».
- Installez l’extension « Limit Login Attempts Reloaded ».
Tous vos réglages seront conservés !
De nombreuses langues sont actuellement prises en charge par l’extension Limit Login Attempts Reloaded, mais nous sommes intéressés par toute nouvelle langue.
Aidez-nous à diffuser Limit Login Attempts Reloaded dans davantage de pays.
Traductions : Bulgare, Allemand, Catalan, Chinois (traditionnel), Espagnol, Finnois, Français, Hongrois, Norvégien, Persan, Portugais brésilien, Roumain, Russe, Suédois, Tchèque, Turc.
L’extension utilise uniquement des actions et des filtres standards.
Basé sur le code original de l’extension Limit Login Attempts de Johan Eenfeldt.
Lignes directrices relatives à l’image de marque
Limit Login Attempts Reloaded™ est une marque déposée d’Atlantic Silicon Inc. Lorsque vous écrivez à propos de cette extension, assurez-vous d’utiliser Reloaded après Limit Login Attempts. Limit Login Attempts est l’ancienne extension.
- Limit Login Attempts Reloaded (correct)
- Limit Login Attempts (incorrect)
Captures d’écran
FAQ
-
Que faire si tous les utilisateurs/utilisatrices sont bloqués ?
-
Si vous utilisez un hébergeur contemporain, il est probable que votre site utilise un service de domaine proxy comme CloudFlare, Sucuri, Nginx, etc. Ils remplacent l’adresse IP de votre utilisateur/utilisatrice par la leur. Si votre serveur n’est pas configuré correctement, tous les utilisateurs/utilisatrices recevront la même adresse IP. Cela s’applique également aux robots et aux pirates informatiques. Par conséquent, le verrouillage d’un utilisateur/utilisatrice entraînera le verrouillage de tous les autres. Dans la version gratuite de l’extension, ce réglage peut être ajusté à l’aide de l’option liste d’autorisation IP. Dans la version premium, le service cloud reconnaît intelligemment les origines IP non standard et les traite correctement, même si votre fournisseur d’hébergement ne le fait pas.
-
Comment puis-je savoir si je suis attaqué ?
-
Un moyen facile de vérifier si l’attaque est fondée consiste à copier l’adresse IP figurant dans la notification de verrouillage et à vérifier sa localisation à l’aide d’un outil de localisation d’adresses IP. Si la localisation n’est pas un endroit que vous connaissez et que vous avez reçu plusieurs tentatives de connexion échouées, il est probable que vous soyez victime d’une attaque. Vous pouvez remarquer des dizaines ou des centaines d’adresses IP chaque jour. Visitez notre site web pour apprendre comment empêcher les attaques par force brute sur votre site.
-
Après la mise à niveau vers notre version premium, vous trouverez un nouveau tableau de bord dans votre administration WordPress qui affiche toutes les attaques qui seront désormais relayées par notre service cloud. Sur le graphique, vous verrez les demandes et les tentatives de connexion échouées. Chaque demande représente la validation d’une IP par l’application cloud, ce qui inclut également les tentatives de connexion échouées.
Dans certains cas, vous pouvez constater une augmentation de la vitesse et de l’efficacité de votre site. Vous constaterez également une réduction des notifications de verrouillage par e-mail.
-
Les tentatives de connexion qui ont échoué pourraient-elles être fausses ?
-
Pour certains utilisateurs, il est difficile de croire qu’ils puissent subir de nombreuses tentatives de connexion échouées, en particulier lorsque leur site vient d’être créé ou n’a qu’un trafic humain minime. Cette extension n’est pas responsable de la génération de ces tentatives de connexion échouées. Des sites web nouvellement créés sont souvent hébergés sur des adresses IP partagées, ce qui permet aux cyberpirates de les repérer facilement. De plus, les noms de domaine nouvellement enregistrés sont fréquemment explorés peu de temps après leur création, ce qui rend un site web WordPress vulnérable aux attaques. Ces sites sont des cibles attrayantes, car la sécurité n’est pas une préoccupation majeure pour leurs propriétaires. Nous avons créé un article qui approfondit la question des tentatives de connexion frauduleuses sur WordPress.
-
Que se passe-t-il si mon site dépasse les demandes de requêtes prévues par l’offre ?
-
Les limites de ressources de l’offre premium commencent à 100 000 requêtes par mois, ce qui devrait permettre d’accepter presque toutes les attaques lourdes par force brute. Nous surveillons tous nos sites et alertons le client s’il apparaît qu’il dépasse ses limites. Si les limites sont atteintes, nous suggérons au client de passer à l’offre suivante. Si vous utilisez la version gratuite, la charge causée par les attaques par force brute sera absorbée par la bande passante de votre hébergement actuel, ce qui pourrait entraîner une augmentation de vos frais d’hébergement.
-
Quels sont les URL attaqués et protégés ?
-
Les URL protégées sont la page de connexion (wp-login.php, wp-admin), xmlrpc.php, la page de connexion de WooCommerce, et toute page de connexion personnalisée que vous avez qui utilise les crochets de connexion de WordPress.
-
Pourquoi LLAR est-il plus populaire que d’autres extensions de protection par force brute ?
-
Notre objectif principal est de protéger votre site contre les attaques par force brute. Ceci permet à notre extension d’être très légère et efficace. Il ne nécessite pas beaucoup de ressources de votre hébergeur et permet à votre site d’être bien protégé. Le plus important, c’est qu’il fait tout cela automatiquement, car notre service apprend de lui-même à connaître chaque IP qu’il rencontre. À l’inverse, un pare-feu nécessiterait l’ajout ou la suppression manuelle d’IP. Nous avons publié un article à ce sujet ici.
-
Que faire lorsqu’un administrateur/administratrice est bloqué ?
-
Ouvrez le site à partir d’une autre adresse IP. Vous pouvez le faire à partir de votre téléphone portable ou en utilisant le navigateur Opera et en activant le VPN gratuit. Vous pouvez également essayer de déconnecter votre routeur pendant quelques minutes et voir si vous obtenez une adresse IP différente. Cela fonctionnera si votre serveur d’hébergement est configuré correctement. Si cela ne fonctionne pas, connectez-vous au site en utilisant le FTP ou le gestionnaire de fichiers de votre panneau de contrôle d’hébergement. Naviguez jusqu’à wp-content/plugins/ et renommez le dossier limit-login-attempts-reloaded. Connectez-vous au site, puis renommez à nouveau ce dossier et mettez votre IP sur liste blanche. En passant à notre application premium, vous aurez la fonctionnalité de déverrouillage directement à partir du cloud et vous n’aurez donc plus jamais à faire face à ce problème.
-
Quels réglages dois-je utiliser dans l’extension ?
-
Les réglages sont expliqués en détail dans l’extension. Si vous n’êtes pas sûr, utilisez les réglages par défaut qui sont les réglages recommandés.
-
Par défaut, vous devrez copier et coller manuellement les listes sur chaque site. Pour le service premium, les sites sont regroupés au sein d’un même compte cloud privé. Chaque site au sein de ce groupe peut être configuré pour partager ses verrouillages et ses listes d’accès avec les autres membres du groupe. Le réglage se trouve dans l’interface de l’extension. Les options par défaut sont recommandées.
Avis
Contributeurs/contributrices & développeurs/développeuses
« Limit Login Attempts Reloaded » est un logiciel libre. Les personnes suivantes ont contribué à cette extension.
Contributeurs“Limit Login Attempts Reloaded” a été traduit dans 34 locales. Remerciez l’équipe de traduction pour ses contributions.
Traduisez « Limit Login Attempts Reloaded » dans votre langue.
Le développement vous intéresse ?
Parcourir le code, consulter le SVN dépôt, ou s’inscrire au journal de développement par RSS.
Journal
2.26.13
- New « llar_admin » capability added to let other roles access the plugin.
- CSS fixes.
- Sticky headers added to the log tables.
- Small interface changes.
2.26.12
- Better displaying IPv6 in successful login attempts block.
- Possible intersections in tabs with other plugins fixed.
- PHP 8, 9 compatibility updates.
- Refactoring.
2.26.11
- Fixed possible style conflicts related to tables.
- Fixed possible PHP warnings.
- Fixed some I18N issues, thanks to alexclassroom!
- Better displaying multiple roles in login logs.
2.26.10
- Log of successful login attempts implemented for Micro Cloud (Free) and Premium users.
- Checklist of recommended actions implemented.
- Settings page reorganized.
2.26.9
- Chart library updated.
2.26.8
- Fixed possible WooCommerce conflict.
2.26.7
- Better informing on Micro Cloud.
2.26.6
- Micro Cloud API url fix.
2.26.5
- Better informing on cloud status.
2.26.4
- Added country translation.
- Better Micro Cloud API response handling.
- A link fixed.
2.26.3
- CSS issue fixed on Logs tab.
2.26.2
- CSS issue fixed.
2.26.1
- Micro Cloud link fixed.
2.26.0
- New design.
- Free Micro Cloud plan introduced.
2.25.29
- A link fixed.
2.25.28
- Improved cloud charts.
2.25.27
- Security improvement: Better shortcode escaping.
- Fixed date formatting on the logs page.
- Fixed top menu links on the front-end.
- Badge added to the top menu.
2.25.26
- Security improvement: Different nonce for each AJAX action.
- Security improvement: The toggle_auto_update_callback checks for the update_plugins cap.
2.25.25
- PHP 8.2/9 compatibility improved, thanks to Jer Turowetz!
- Button size and text typo fixed.
2.25.24
- Better loading of translations.
- Fixed PHP warning related to menu.
2.25.23
- Better side menu.
- Fixed I18N issues, thanks to alexclassroom!
2.25.22
- Interface changes.
- Tested with WP 6.3.
2.25.21
- Optimization: autoload for large options turned off.
- Interface changes.
2.25.20
- Fix against network requests caching removed b/c some misconfigured servers can’t handle it.
2.25.19
- Better handling of network connection issues.
- Fixed responsive formatting on dashboard.
- Added fix against network requests caching.
2.25.18
- Fixed errors occurring in situations where two versions of the plugin are installed (which should not normally happen).
2.25.17
- Refactoring.
- Server load reducing optimization.
2.25.16
- Double slashes in paths removed.
- Better handling of cloud response codes.
2.25.15
- Error messages logic fixed.
2.25.14
- Multisite support improved.
- CSS outside of the plugin issue fixed.
- Better number formatting on the dashboard.
- Lockout email template updated.
2.25.13
- Ultimate Member compatibility.
- Fixed conflicting URL parameters in some rare cases.
- Updated attempts counter logic.
2.25.12
- Fixed IPv4 validation when passed with a port number.
- Fixed texts and translations.
2.25.11
- PHP 8 compatibility fixed.
- Logs loading issue fixed.
- Help and Extensions tabs added.
- Notification about auto updates added.
- Displaying of plugin version added.
- Text changes made.
2.25.10
- Tested with PHP 8.
- Small styles refactoring.
- Fixed a rare issue with events log not being displayed correctly.
- Chart library updated.
2.25.9
- Welcome page replaced with a modal.
2.25.8
- Email text, links updated.
2.25.7
- Country flags added to log.
- Refresh button added to log.
- Email text updated.
2.25.6
- Email links updated.
2.25.5
- Fixed Woocommerce integration.
- Updated some interface links.
2.25.4
- Fixed session error in rare cases.
- Access rules explained.
- Improved session behavior on the login page.
- Fixed warning on some GoDaddy installations.
2.25.3
- Improved compatibility with WordFence.
- Better handling of HTTP_X_FORWARDED_FOR on Debug tab.
- Added option to hide warning badge.
2.25.2
- Security indicator fixed for multisite.
2.25.1
- Added setting to turn the dashboard widged off.
- The widget is visible to admins only.
2.25.0
- Dashboard widged added.
- Security indicator added.
2.24.1
- Fixed E_ERROR occurring in rare cases when the log table is corrupted.
2.24.0
- Protection increased: bots can’t parse lockout messages anymore.
2.23.2
- Cloud: better unlock UX.
- Litle cleanup.
2.23.1
- Added infinite scroll for cloud logs.
2.23.0
- Reduced plugin size by removing obsolete translations.
- Cleaned up the dashboard.
- Cloud: added information about auto/manually-blocked IPs.
- GDPR: added an option to insert a link to a Privacy Policy page via a shortcode, clarified GDPR compliance.
2.22.1
- IP added to the email subject.
2.22.0
- Added support of CIDR notation for specifying IP ranges.
- Texts updated.
- Refactoring.
2.21.1
- Fixed: Uncaught Error: Call to a member function stats()
- Cloud API: added block by country.
- Refactoring.
2.21.0
- GDPR compliance: IPs obfuscation replaced with a customizable consent message on the login page.
- Cloud API: fixed removing of blocked IPs from the access lists under certain conditions.
- Cloud API: domain for Setup Code is taken from the WordPress settings now.
2.20.6
- Multisite tab links fixed.
2.20.5
- Option to show and hide the top-level menu item.
2.20.4
- Sucuri compatibility verified.
- Wordfence compatibility verified.
- Better menu navigation.
- Timezones fixed for the global chart.
2.20.3
- More clear wording.
- Cloud API: fixed double submit in the settings form.
- Better displaying of stats.
2.20.2
- Updated email text.
2.20.1
- New dashboard more clear stats.
2.20.0
- New dashboard with simple stats.
2.19.2
- Texts and links updated.
2.19.1
- Welcome page.
- Image and text updates.
2.19.0
- Refactoring.
- Feedback message location fixed.
- Text changes.
2.18.0
- Cloud API: usage chart added.
- Text changes.
2.17.4
- Missing jQuery images added.
- PHP 5 compatibility fixed.
- Custom App setup link replaced with setup code.
2.17.3
- Plugin pages message.
2.17.2
- Lockout notification refactored.
2.17.1
- CSS cache issue fixed.
- Notification text updated.
2.17.0
- Refactoring.
- Email text and notification updated.
- New links in the list of plugins.
2.16.0
- Custom Apps functionality implemented. More details: https://limitloginattempts.com/app/
2.15.2
- Alternative method of closing the feedback message.
2.15.1
- Refactoring.
2.15.0
- Reset password feature has been removed as unwanted.
- Small refactoring.
2.14.0
- BuddyPress login error compatibility implemented.
- UltimateMember compatibility implemented.
- A PHP warning fixed.
2.13.0
- Fixed incompatibility with PHP < 5.6.
- Settings page layout refactored.
2.12.3
- The feedback message is shown for admins only now, and it can also be closed even if the site has issues with AJAX.
2.12.2
- Fixed the feedback message not being shown, again.
2.12.1
- Fixed the feedback message not being shown.
2.12.0
- Small refactoring.
- get_message() – fixed error notices.
- This is the first time we are asking you for a feedback.
2.11.0
- Blacklisted usernames can’t be registered anymore.
2.10.1
- Fixed: GDPR compliance option could not be selected on the multisite installations.
2.10.0
- Debug information has been added for better support.
2.9.0
- Trusted IP origins option has been added.
2.8.1
- Extra lockout options are back.
2.8.0
- The plugin doesn’t trust any IP addresses other than _SERVER[« REMOTE_ADDR »] anymore. Trusting other IP origins make protection useless b/c they can be easily faked. This new version provides a way of secure IP unlocking for those sites that use a reverse proxy coupled with misconfigurated servers that populate _SERVER[« REMOTE_ADDR »] with wrong IPs which leads to mass blocking of users.
2.7.4
- The lockout alerts can be sent to a configurable email address now.
2.7.3
- Settings page is moved back to « Settings ».
2.7.2
- Settings are moved to a separate page.
- Fixed: login error message. https://wordpress.org/support/topic/how-to-change-login-error-message/
2.7.1
- A security issue inherited from the ancestor plugin Limit Login Attempts has been fixed.
2.7.0
-
GDPR compliance implemented.
-
Fixed: ip_in_range() loop $ip overrides itself causing invalid results.
https://wordpress.org/support/topic/ip_in_range-loop-ip-overrides-itself-causing-invalid-results/ -
Fixed: the plugin was locking out the same IP address multiple times, each with a different port.
https://wordpress.org/support/topic/same-ip-different-port/
2.6.3
- Added support of Sucuri Website Firewall.
2.6.2
- Fixed the issue with backslashes in usernames.
2.6.1
-
Plugin returns the 403 Forbidden header after the limit of login attempts via XMLRPC is reached.
-
Added support of IP ranges in white/black lists.
-
Lockouts now can be released selectively.
-
Fixed the issue with encoding of special symbols in email notifications.
2.5.0
- Added Multi-site Compatibility and additional MU settings. https://wordpress.org/support/topic/multisite-compatibility-47/
2.4.0
- Usernames and IP addresses can be white-listed and black-listed now. https://wordpress.org/support/topic/banning-specific-usernames/ https://wordpress.org/support/topic/good-831/
- The lockouts log has been inversed. https://wordpress.org/support/topic/inverse-log/
2.3.0
- IP addresses can be white-listed now. https://wordpress.org/support/topic/legal-user/
- A « Gateway » column is added to the lockouts log. It shows what endpoint an attacker was blocked from. https://wordpress.org/support/topic/xmlrpc-7/
- The « Undefined index: client_type » error is fixed. https://wordpress.org/support/topic/php-notice-when-updating-settings-page/
2.2.0
- Removed the « Handle cookie login » setting as they are now obsolete.
- Added bruteforce protection against Woocommerce login page attacks. https://wordpress.org/support/topic/how-to-integrate-with-woocommerce-2/
- Added bruteforce protection against XMLRPC attacks. https://wordpress.org/support/topic/xmlrpc-7/
2.1.0
- The site connection settings are now applied automatically and therefore have been removed from the admin interface.
- Now compatible with PHP 5.2 to support some older WP installations.
2.0.0
- fixed PHP Warning: Illegal offset type in isset or empty https://wordpress.org/support/topic/limit-login-attempts-generating-php-errors
- fixed the deprecated functions issue
https://wordpress.org/support/topic/using-deprecated-function - Fixed error with function arguments: https://wordpress.org/support/topic/warning-missing-argument-2-5
- added time stamp to unsuccessful tries on the plugin configuration page.
- fixed .po translation files issue.
- code refactoring and optimization.