ReCaptcha dans le formulaire de connexion WP

Afin d’éviter une attaque par brute force, c’est-à-dire la soumission de multitudes combinaisons login/mot de passe, il peut être utile de protéger le formulaire de connexion de wordPress avec le reCaptcha de Google pour détecter que la soumission du formulaire est d’origine humaine. Afin d’obliger l’utilisateur à cocher une case, j’utilise le reCaptcha v2. La technique reste valable pour la version 3.

Le formulaire de connexion avec un reCaptcha
Le formulaire de connexion avec un reCaptcha

On programme dans une classe. On ajoute les actions et le filtre dans le constructeur :

On ajoute ensuite les méthodes :

Le script reCaptcha

L’ajout au formulaire de connexion :

Le traitement de la réponse au formulaire :

Si la réponse au reCaptcha n’est pas définie, il y a de fortes chances que le javaScript ne soit pas activé. Si la réponse est correct, on retourne le login.

Il ne faut pas sous-estimer ce genre d’attaque. Une fois une combinaison login/mot de passe trouvée, le hacker publie par exemple des articles de pubs ou autre sur votre site qui peuvent ainsi être référencés dans les moteurs de recherche.

Relevé d'une brute force attack
Relevé d’une brute force attack

 

Et hop, un moyen simple d’éviter ce genre d’attaque.

Soumettre un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.