En visitant notre site, vous acceptez notre politique de confidentialité concernant les cookies, les statistiques de suivi, etc.

opportunites digitales logo

Comment protéger votre site WordPress contre les attaques de type « Brute Force » ?

Comment protéger votre site WordPress contre les attaques de type « Brute Force » ?
Attaques Force brute WP

Une attaque par force brute peut ralentir votre site Web, le rendre inaccessible, et même craquer vos mots de passe pour installer des logiciels malveillants sur votre site Web et en prendre le contrôle.

Dans cet article, nous allons vous montrer comment protéger votre site WordPress contre les attaques  de type « Brute Force ».

Comprendre les attaques par force brute

Qu’est-ce qu’une attaque par force brute ?

Une attaque par force brute est une méthode d’essai et d’erreur (« trial-and-error » en anglais) utilisée pour obtenir un mot de passe ou un code PIN.

Dans une attaque par force brute, un logiciel automatisé est utilisé pour générer un grand nombre de suppositions consécutives quant à la valeur des données souhaitées.

Les attaques par force brute peuvent être utilisées par des criminels pour déchiffrer des données cryptées ou par des analystes de la sécurité pour tester la sécurité du réseau d’une organisation. Une attaque par force brute est également connue sous le nom de craquage par force brute ou simplement de force brute.

Un exemple d’attaque par force brute est connu sous le nom d’attaque par dictionnaire, qui peut essayer tous les mots d’un dictionnaire.

D’autres formes d’attaques par force brute peuvent essayer des mots de passe couramment utilisés ou des combinaisons de lettres et de chiffres.

Une attaque de cette nature peut nécessiter beaucoup de temps et de ressources. D’où le nom d' »attaque par force brute » : le succès repose généralement sur la puissance de calcul et le nombre de combinaisons essayées plutôt que sur un algorithme ingénieux.

Ceci étant dit, voyons comment protéger votre site WordPress contre les attaques par force brute.

Nous recommandons bien entendu de vous engager seulement auprès d’une société d’hébergement WP reconnue pour ses pratiques de sécurité !

5 étapes pour prévenir les attaques par force brute

1. Créez un mot de passe fort

La première étape pour prévenir les attaques par force brute consiste à créer un mot de passe fort. Assurez-vous qu’aucune donnée personnelle n’est incorporée dans votre mot de passe, comme le nom de votre entreprise ou votre date de naissance. 

Vous ne devez pas non plus inclure de mots du dictionnaire, mais plutôt un mélange de chiffres et de lettres (majuscules et minuscules) ainsi que des caractères spéciaux.

N’utilisez jamais « admin » comme nom d’utilisateur, car presque tous les logiciels de piratage devinent les mots de passe pour ce nom. L’utilisation d’un nom de connexion unique est un excellent moyen d’arrêter les pirates.

2. Utilisez l’authentification à deux facteurs

Une autre bonne technique préventive est l’authentification à deux facteurs (2FA), que nous avons abordée en détail dans un précédent article de blog. 

3. Renommez la page de connexion de WordPress

Une technique populaire pour empêcher les pirates d’accéder à la page de connexion de WordPress est de renommer wp-login.php en utilisant l’un des nombreux plugins de ce type. Nous recommandons de passer par le plugin mis à disposition gratuitement par l’hébergeur WPServeur !

Cela empêche les pirates d’essayer de deviner le mot de passe puisqu’ils ne peuvent pas trouver la page de connexion et permet également d’éviter que le serveur soit saturé en raison d’une utilisation excessive de PHP.

de type « bRUTE FO

4. Limitez les tentatives de connexion

Les « limiteurs de connexion » sont une autre excellente mesure de sécurité pour empêcher les attaques par force brute. Ils font en sorte qu’un utilisateur ne puisse deviner un mot de passe qu’un nombre déterminé de fois, par exemple 3 ou 5 tentatives, avant d’être bloqué. 

Il existe de nombreux plugins de sécurité qui permettent de limiter les tentatives de connexion sur un site donné.

5. Restreindre l’accès à d’autres IP

Une mesure puissante mais très restrictive consiste à protéger la page de connexion par numéro d’IP. Pour les serveurs Apache, la façon la plus simple de le faire est d’ajouter cette ligne à votre fichier .htaccess :

# Bloquer l’accès à wp-login.php.

ordre deny,allow
allow from 203.0.113.15
deny from all

Cette mesure de sécurité signifie que vous ne pouvez vous connecter à WordPress qu’à partir du numéro d’IP que vous indiquez ci-dessus. Ceci n’est pas recommandé si vous utilisez une IP dynamique (qui change). Si nécessaire, vous pouvez toujours autoriser plus d’une IP en utilisant la méthode suivante.

# Bloquer l’accès à wp-login.php.

ordre deny,allow
autoriser à partir de 203.0.113.15
autoriser à partir de 203.0.113.16
allow from 203.0.113.17
deny from all

Pour les serveurs Nginx, la mise en œuvre d’un bloc de localisation fonctionne de manière similaire à l’exemple d’Apache :

error_page 403 http://example.com/forbidden.html ;
location /wp-login.php {
allow 203.0.113.15
# ou pour l’ensemble du réseau :
# allow 203.0.113.0/24 ;
refuser tout ;
}

Marie Fournier
Marie Fournier
Marie est une blogueuse passionnée et une grande voyageuse qui aime partager sa connaissance du digital sur de nombreux sujets comme le streaming, le torrenting, les VPN ou la sécurité en ligne. Elle travaille actuellement pour un grand groupe qui développe une solution de diffusion de contenu en ligne parmi les plus utilisées au monde.
Actu WordPress

Plus d'actu WordPress

Opportunités Digitales est le site de référence sur l’univers du digital en France

Facebook-f Youtube Twitter

Navigation Optimisée et Sécurisée

Compatibilité Du Site.png
Site Sécurisé Par Ssl.png
Navigation
WordPress
Tests et Avis

© Copyright Opportunités Digitales 2024

opportunites-digitales.com
Logo
Compare items
  • VPN (0)
Compare