Jump to content
  • 0

Wordpress : Attaque Brute Force


Pascal

Question

Bonjour à tous,

Ce petit mot sans prétention pour vous aider à protéger vos sites sous Wordpress.

Inutile d'inventer la roue.... cet article résume assez bien la situation : https://codex.wordpress.org/fr:Attaques_par_Force_Brute

Une attaque par force brute est le type de méthode la plus simple pour accéder à un site : il essaye des noms d'utilisateur et des mots de passe, encore et encore, jusqu'à ce qu'il arrive à entrer. Cette méthode fonctionne très souvent lorsque les gens utilisent des mots de passe simple et les noms d'utilisateur comme « admin ». Ce type d'attaque provoque des problèmes de performance dû au nombre de requêtes HTTP (c'est le nombre de fois que quelqu'un visite votre site) qui est tellement élevé que les serveurs sont à cours de mémoire.

Comment diminuer l'impact assez facilement ?

  1. Vu que les attaques ciblent la page d'administration de Wordpress qui se présente sous la forme votresite.com/wp-admin, une méthode est de modifier l'adresse de cette page. Des plugins existent pour le faire simplement (https://www.wpnormandie.fr/changer-lurl-de-votre-page-de-login-wordpress/).
  2. Compliquer la tache en n'utilisant par admin comme nom d'utilisateur et utiliser un mot de passe "compliqué" mélangeant lettres, chiffres et symboles. Il est également possible d'utiliser une authentification à deux facteurs. C'est d'autant plus vrai si vous n'êtes pas beaucoup à accéder à la partie administration du site, ce qui est bien souvent le cas.
  3. Installer un plugin "firewall" peut être bien pratique pour identifier et limiter les connexions.

Un exemple d'utilisation :

J'utilise régulièrement un plugin (ce n'est bien sûr pas le seul et je ne suis pas là pour en faire de la publicité...) pour la sécurité sur mes sites : Wordfence dans sa version gratuite. Avec ce plugin, vous pouvez gérer l'authentification à deux facteurs, bloquer les IP et il possède une protection Brute Force proposant quelques réglages (onglet Firewall). Pour ma part, étant souvent le seul à accéder à la partie administration de mes sites. Je n'utilise pas le nom d'administrateur "admin" ce qui me permet de bloquer immédiatement l'adresse IP d'un utilisateur qui tente de se connecter de cette manière.

Dans la partie "Brute Force Protection", voici mes réglages que vous pouvez bien sûr modifier selon vos besoins ;)

  • Activer la protection contre la force brute, "on", c'est logique.

  • Verrouiller après le nombre d'échecs de connexion : 3

  • Verrouiller après le nombre de tentatives de mot de passe oublié : 3

  • Compter les échecs sur quelle période : 5 minutes

  • Durée pendant laquelle un utilisateur est verrouillé : 1 jour

  • Verrouiller immédiatement les noms d'utilisateur non valides : admin. Attention, il est impératif de ne pas utiliser vous même ce nom d'utilisateur, sinon...

Vous recevrez régulièrement des mails vous informant des tentatives de connexion et des IP bloquées.

Edited by Pascal
ajout lien
Link to comment
Share on other sites

0 answers to this question

Recommended Posts

There have been no answers to this question yet

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...