Cette rubrique regroupe un certain nombre d'éléments importants pour sécuriser la connexion au site : les visiteurs du site sans compte ne sont pas concernés par ces paramètres.
Le panneau de connexion s'obtient en cliquant sur les icônes proposées, soit dans la barre de menu ou dans le pied de page :
Le cas échéant, il est envisageable de ne pas l'afficher en désactivant son affichage (voir la configuration du menu et du pied de page). Dans ce cas, la connexion s'effectue par URL en saisissant cette adresse https://www.monsite.fr/user/login ou https://www.monsite.fr/?user/login
Le captcha propose de résoudre une addition entre nombres de 0 à 10. Cette case cochée par défaut active la demande de captcha à la connexion. C'est un élément important de sécurité, surtout si vous constatez dans le fichier "liste noire" de nombreuses tentatives de connexion.
Cette option permet de proposer à l'utilisateur, si il est considéré humain, une captcha très simplifiée où il suffit de cocher une case. Une analyse comportementale qualifie le type de visiteur, suivant son comportement un captcha classique de type addition peut lui être proposé. Cette analyse ne fait appel à aucun service externe. Cette option ne concerne pas la connexion, elle s'applique pour tous les autres usages du captcha (commentaires de page, commentaires de blog, formulaire, questionnaire, livre d'or).
Lorsque la visibilité du mot de passe est activée, une icône placée au dessus du mot de passe permet, au survol, de l'afficher en clair pour contrôler la saisie.
Lorsque la déconnexion automatique est activé, il n'est plus possible de maintenir deux sessions actives avec le même login. C'est une mesure de sécurité supplémentaire avec les comptes administrateurs.
Ce panneau déroulant réglé par défaut sur 3 tentatives permet de sélectionner le nombre d'échecs de connexion au bout duquel le blocage de la connexion est mis en place.
C'est dans ce panneau déroulant réglé par défaut sur 10 minutes qu'est sélectionné le temps de blocage avant de pouvoir tenter à nouveau de se reconnecter après le nombre d'échecs paramétré à la rubrique ci-dessus.
Les tentatives infructueuses de connexions sont enregistrées dans un fichier avec la date, l'heure, l'identifiant et l'adresse IP utilisés.
En fonction des paramètres définis précédemment, nombre de tentatives et temps de blocage, l'adresse IP et l'identifiant sont éventuellement bloqués en conséquences.
Une tentative est inscrite quand l'identifiant, le mot de passe ou le captcha est faux : un seul élément erroné implique l'enregistrement d'une tentative.
En cliquant sur le bouton bleu "Télécharger liste noire" un fichier site_tmp_blacklist.log est téléchargé et permet ainsi de prendre connaissance de toutes les tentatives.
Cela permet d'identifier des adresses IP malveillantes et de pouvoir les bloquer définitivement via l'interface d'administration de l'hébergeur : le blocage de Deltacms n'est au maximum que de 15 minutes.
Un clic sur le bouton rouge "Réinitialiser liste" efface toutes les tentatives de connexion infructueuses.
Activer ce paramètre permet d'enregistrer tout ce qui se passe sur le site : c'est un élément à ne pas négliger s'il est constaté des anomalies sur le site.
Un clic sur le bouton bleu "Télécharger journal" télécharge un fichier site_data_journal.log et permet ainsi d'examiner toute l'activité du site.
Un clic sur le bouton rouge "Réinitialiser journal" efface tous les enregistrements du journal.
Attention, la réglementation française impose le masquage de niveau 2 des adresses IP. vous êtes évidemment responsable et libre de sélectionner n'importe quelle option.