Configuration du site › Connexion

Cette rubrique regroupe un certain nombre d'éléments importants pour sécuriser la connexion au site : les visiteurs du site sans compte ne sont pas concernés par ces paramètres.

Gestion du panneau de connexion

Le panneau de connexion s'obtient en cliquant sur les icônes proposées, soit dans la barre de menu ou dans le pied de page :

Il est conseillé de ne pas l’afficher en désactivant son affichage (voir la configuration du menu et du pied de page). Dans ce cas, la connexion s'effectue par URL en saisissant cette adresse https://www.monsite.fr/user/login ou https://www.monsite.fr/?user/login

Captcha à la connexion

Le captcha propose de résoudre une addition entre nombres de 0 à 10. Cette case cochée par défaut active la demande de captcha à la connexion, mais aussi au niveau des modules (formulaire et blog). C'est un élément important de sécurité, surtout si vous constatez dans le fichier "liste noire" de nombreuses tentatives de connexion. Dans ce cas, il est alors judicieux d'activer le captcha complexe. 

Captcha complexe

Cette option offre une meilleure protection contre les robots qui tentent une attaque par brute force. Les opérations à résoudre sont plus complexes, elles mettent en œuvre les 4 opérateurs arithmétiques sur des nombres plus grands de 0 à 20.

Type de captcha

Vous pouvez choisir un captcha exprimé avec des lettres (un + onze) ou avec des chiffres arabes (1 + 11). Dans les 2 cas, la présentation des vignettes rend la tâche des robots difficile.

Déconnexion automatique

Lorsque la déconnexion automatique est activée, il n'est plus possible de maintenir deux sessions actives avec le même login. C'est une mesure de sécurité supplémentaire avec les comptes administrateurs. 

Dévoiler le mot de passe

L'activation de cette option affiche un œil au-dessus du masque de saisie du mot de passe, le survol de la souris dévoilera le mot de passe. Cette option est utile pour vérifier la saisie d'un mot de passe après un échec.

Redirection vers la connexion

Cette option, si elle est activée, redirige vers le formulaire de connexion les tentatives d'accès direct à une page d'administration sans être connecté.
Elle évite également une erreur 404 (page non trouvée) lorsqu'un membre administrateur se reconnecte.

Blocage et journalisation

Connexions successives

Ce panneau déroulant réglé par défaut sur 3 tentatives permet de sélectionner le nombre d'échecs de connexion au bout duquel le blocage de la connexion est mis en place.

Blocage après échecs

C'est dans ce panneau déroulant réglé par défaut sur 10 minutes qu'est sélectionné le temps de blocage avant de pouvoir tenter à nouveau de se reconnecter après le nombre d'échecs paramétré à la rubrique ci-dessus.

Si votre site subit des attaques répétitives d’une même origine, il est conseillé d’allonger le temps de blocage au maximum (15 minutes), un moyen supplémentaire de dissuader les robots.

Comptes inexistants

Les tentatives infructueuses de connexions sont enregistrées dans un fichier avec la date, l'heure, l'identifiant et l'adresse IP utilisés.
En fonction des paramètres définis précédemment, nombre de tentatives et temps de blocage, l'adresse IP et l'identifiant sont éventuellement bloqués en conséquence.

Une tentative est inscrite quand l'identifiant, le mot de passe ou le captcha est faux : un seul élément erroné implique l'enregistrement d'une tentative.

En cliquant sur le bouton, bleu par défaut, "Télécharger liste noire" un fichier site_tmp_blacklist.log est téléchargé et permet ainsi de prendre connaissance de toutes les tentatives.

Cela permet d'identifier des adresses IP malveillantes et de pouvoir les bloquer définitivement via l'interface d'administration de l'hébergeur : le blocage de ZwiiCMS dure au maximum 15 minutes.

Un clic sur le bouton, rouge par défaut, "Réinitialiser liste" efface toutes les tentatives de connexion infructueuses.

 

Gérer les cookies

Ce site utilise des cookies nécessaires à son fonctionnement, ils permettent de fluidifier son fonctionnement par exemple en mémorisant les données de connexion, la langue que vous avez choisie ou la validation de ce message.



Lire les mentions légales