Aller directement au contenu principalAller directement au pied de page
reportedIP
Communiqués

Hive Light sur WordPress.org : protection gratuite de la connexion pour WordPress

Patrick Schlesinger
Fiche de lancement ReportedIP Light — Répertoire des plugins de WordPress.org, deux modes de fonctionnement, configuration requise : WP 6.0+ et PHP 8.1+, licence GPL-2.0+

ReportedIP Light figure désormais dans le répertoire officiel des plugins de WordPress.org. Une seule installation, un seul bouton, et c'est tout wp-login.php comprend un compteur par adresse IP, un système de blocage progressif par échelons et, si vous le souhaitez, une vérification de la réputation au sein de la communauté.

C'est la version allégée de Hive Full: réduite à une seule fonctionnalité, gratuite sous licence GPL-2.0+, sans obligation de création de compte, et distribuée via le même canal que les mises à jour du cœur de WordPress.

Ce que fait réellement Hive Light

Le plugin s'intègre à deux actions WordPress bien connues :

  • wp_login_failed incrémente un compteur atomique par adresse IP (aucune condition de concurrence en cas d'attaque par pulvérisation de mots de passe en parallèle).
  • wp_authenticate_user contourne les adresses IP connues pour être malveillantes avant même que l'authentification du cœur de WordPress ne soit lancée — l'attaquant n'atteint jamais l'étape de vérification du mot de passe.

Lorsque le compteur dépasse le seuil que vous avez défini, l'adresse IP est bloquée selon un barème progressif : 5 minutes, puis 15, puis 30, puis 24 heures, puis 48, puis 7 jours complets. La réponse de blocage est un code HTTP 403 standard accompagné d'en-têtes « no-cache » explicites — WP Rocket, W3 Total Cache, WP Super Cache et LiteSpeed affichent tous correctement la page de blocage au lieu d'un formulaire de connexion mis en cache.

C'est tout ce que propose le produit. Il n'y a pas de tableau de bord à maîtriser, pas de moteur de règles, pas de système de notation par IA, ni d'écran de vente incitative.

Allégée ou entière : laquelle vous convient le mieux ?

Les deux éditions intègrent le même noyau de protection contre les attaques par force brute. Le choix dépend de la surface d'attaque et des exigences opérationnelles. Voici un petit tableau décisionnel :

Si votre site a besoin de…Utilisez cette édition
Juste une protection par mot de passe, rien d'autre.Lumière de la ruche
Onglet « Mises à jour » de WordPress.org et aucune configuration requise.Lumière de la ruche
Un site qui, pour des raisons juridiques, ne doit en principe appeler aucun point de terminaison externe.Hive Light (le bouclier local est sélectionné par défaut)
Authentification à deux facteurs (TOTP, e-mail, SMS, WebAuthn).Ruche pleine
Protection contre les attaques XML-RPC, les rafales REST, le spam dans les commentaires, les scanners de pages 404 ou l'énumération des utilisateurs.Ruche complète (12 capteurs)
Activation du réseau multisite ou authentification à deux facteurs (2FA) dans l'interface publique de WooCommerce.Ruche pleine
Service de messagerie ou de relais SMS géré avec forfaits prépayés.Ruche pleine (abonnement PRO et supérieurs)
Mode de renforcement et détection des attaques coordonnées sur plusieurs adresses IP.Ruche pleine

Si vous ne savez pas quelle version choisir, commencez par la version « Light ». Elle s'exécute dès que vous l'activez, et vous pourrez passer à la version « Full » plus tard sans perdre votre tableau de blocs — les deux versions partagent le même wp_reportedip_hive_* schéma de base de données. La liste complète des fonctionnalités se trouve sur le Page de documentation sur Hive Light.

Pourquoi le mode privé est activé par défaut

Dès son installation, Hive Light fonctionne en mode Local Shield. Chaque compteur, chaque décision de blocage, chaque écriture de métadonnées s'effectue sur votre propre serveur. Il n'y a aucune requête HTTP sortante : le plugin ignore littéralement l'existence de reportedip.de, à moins que vous ne lui demandiez de le faire.

Si vous choisissez de Réseau communautaire mode avec un Clé d'accès à la communauté, le plugin effectue en outre deux opérations supplémentaires : il vérifie l'adresse IP source par rapport à la base de données de réputation de la communauté lors des tentatives de connexion, et il met en file d'attente les adresses IP bloquées afin de les signaler au réseau lors d'un balayage cron toutes les 15 minutes. La charge utile se limite strictement à l'adresse IP, une SHA-256 hachage du nom d'utilisateur saumuré avec wp_salt(), une catégorie d'événement de type entier et l'horodatage. Les noms d'utilisateur, mots de passe, noms de domaine, en-têtes et données de trafic en texte clair ne quittent jamais votre serveur.

La base juridique du traitement des adresses IP est l'article 6, paragraphe 1, point f), du RGPD — intérêt légitime en matière de sécurité des réseaux et de l'information. Les onglets « Connexion », « Protection » et « Confidentialité » dans les paramètres du plugin répertorient tous les appels externes et vous permettent de désactiver chacun d'entre eux individuellement.

Installez-le

  1. Dans WP-Admin, rendez-vous dans Plugins → Ajouter, puis recherchez « ReportedIP Light ».
  2. Cliquez sur « Installer maintenant », puis sur « Activer ».
  3. Ouvrez ReportedIP Light → Paramètres et consultez les onglets Connexion / Protection / Confidentialité. À ce stade, Local Shield protège déjà le formulaire de connexion ; vous n'avez rien d'autre à faire dans le cas de base.

Les mises à jour sont disponibles via le canal standard de WordPress.org. La distribution complète se trouve à l'adresse wordpress.reportedip.

Pour les développeurs

Hive Light est compatible avec les filtres. Les quatre crochets dont vous aurez probablement besoin sont :

  • reportedip_hive_is_whitelisted — bloquez immédiatement toute adresse IP à laquelle vous faites entièrement confiance (serveurs CI, sondes de surveillance, réseau de votre bureau).
  • reportedip_hive_get_client_ip — Contournez le résolveur d'adresses IP si vous vous trouvez derrière un proxy inverse qui ne prend pas en charge les en-têtes requis.
  • reportedip_hive_event_category_map — remapper les catégories d'événements avant de les transmettre au point de terminaison de la communauté.
  • reportedip_hive_api_endpoint — pointer vers une instance auto-hébergée reportedip au lieu de reportedip.de.

Le code source est disponible sur GitHub à l'adresse github.reportedip. N'hésitez pas à signaler des problèmes ou à envoyer des demandes de modification.

Vous utilisez déjà Hive Full ?

Skip Light — Full est un sur-ensemble strict et utilise les mêmes tables de base de données. Si vous arrivez ici depuis les notes de mise à jour de Hive 2.0.15, c'est cette version qu'il vous faut. La version Light s'adresse aux utilisateurs de WordPress.org qui ont besoin d'une protection par connexion et rien d'autre : un plugin plus léger, moins d'efforts cognitifs.

Téléchargez Hive Light sur WordPress.org →

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués d'un *

Remplissez ce champ
Remplissez ce champ
Veuillez saisir une adresse e-mail valide.
Vous devez accepter les conditions pour continuer