Aller au contenu
  • 0

Wordpress : Attaque Brute Force


Pascal

Question

Bonjour à tous,

Ce petit mot sans prétention pour vous aider à protéger vos sites sous Wordpress.

Inutile d'inventer la roue.... cet article résume assez bien la situation : https://codex.wordpress.org/fr:Attaques_par_Force_Brute

Une attaque par force brute est le type de méthode la plus simple pour accéder à un site : il essaye des noms d'utilisateur et des mots de passe, encore et encore, jusqu'à ce qu'il arrive à entrer. Cette méthode fonctionne très souvent lorsque les gens utilisent des mots de passe simple et les noms d'utilisateur comme « admin ». Ce type d'attaque provoque des problèmes de performance dû au nombre de requêtes HTTP (c'est le nombre de fois que quelqu'un visite votre site) qui est tellement élevé que les serveurs sont à cours de mémoire.

Comment diminuer l'impact assez facilement ?

  1. Vu que les attaques ciblent la page d'administration de Wordpress qui se présente sous la forme votresite.com/wp-admin, une méthode est de modifier l'adresse de cette page. Des plugins existent pour le faire simplement (https://www.wpnormandie.fr/changer-lurl-de-votre-page-de-login-wordpress/).
  2. Compliquer la tache en n'utilisant par admin comme nom d'utilisateur et utiliser un mot de passe "compliqué" mélangeant lettres, chiffres et symboles. Il est également possible d'utiliser une authentification à deux facteurs. C'est d'autant plus vrai si vous n'êtes pas beaucoup à accéder à la partie administration du site, ce qui est bien souvent le cas.
  3. Installer un plugin "firewall" peut être bien pratique pour identifier et limiter les connexions.

Un exemple d'utilisation :

J'utilise régulièrement un plugin (ce n'est bien sûr pas le seul et je ne suis pas là pour en faire de la publicité...) pour la sécurité sur mes sites : Wordfence dans sa version gratuite. Avec ce plugin, vous pouvez gérer l'authentification à deux facteurs, bloquer les IP et il possède une protection Brute Force proposant quelques réglages (onglet Firewall). Pour ma part, étant souvent le seul à accéder à la partie administration de mes sites. Je n'utilise pas le nom d'administrateur "admin" ce qui me permet de bloquer immédiatement l'adresse IP d'un utilisateur qui tente de se connecter de cette manière.

Dans la partie "Brute Force Protection", voici mes réglages que vous pouvez bien sûr modifier selon vos besoins ;)

  • Activer la protection contre la force brute, "on", c'est logique.

  • Verrouiller après le nombre d'échecs de connexion : 3

  • Verrouiller après le nombre de tentatives de mot de passe oublié : 3

  • Compter les échecs sur quelle période : 5 minutes

  • Durée pendant laquelle un utilisateur est verrouillé : 1 jour

  • Verrouiller immédiatement les noms d'utilisateur non valides : admin. Attention, il est impératif de ne pas utiliser vous même ce nom d'utilisateur, sinon...

Vous recevrez régulièrement des mails vous informant des tentatives de connexion et des IP bloquées.

Modifié par Pascal
ajout lien
Lien vers le commentaire
Partager sur d’autres sites

0 réponse à cette question

Recommended Posts

Il n’y a pas encore eu de réponse à cette question

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
×
×
  • Créer...