Les attaques de force brute sur WordPress sont accablantes, même avant qu’une attaque réussisse.
De nombreux administrateurs de sites constatent une diminution rapide des ressources de leur serveur, leurs sites deviennent non réactifs ou même tombent en panne, ce qui empêche les utilisateurs réels d’y accéder. Le problème est que vous pouvez vous sentir impuissant alors que des bots de force brute martèlent la page de connexion, essayant de s’introduire dans votre espace d’administration (wp-admin).
Mais vous n’êtes pas impuissant. Si vous constatez plusieurs tentatives de connexion infructueuses pour un seul utilisateur, peut-être provenant de plusieurs adresses IP, vous êtes au bon endroit.
Dans cet article, nous vous expliquerons ce à quoi ressemble une attaque de force brute sur WordPress et comment protéger votre site contre ces attaques.
Table des matières:
Qu’est-ce qu’une attaque de force brute sur WordPress ?
Les attaques de force brute sur WordPress sont des tentatives d’accès non autorisé à votre espace d’administration (wp-admin) en essayant différentes combinaisons de noms d’utilisateur et de mots de passe. Les pirates informatiques ont développé des bots pour bombarder en continu une page de connexion avec des informations d’identification, en utilisant la méthode de l’essai-erreur.
Souvent, les bots essaient une série de mots de passe issus d’un dictionnaire, c’est pourquoi on les appelle également des attaques par dictionnaire ou des attaques de devinette de mot de passe. Les attaques peuvent être configurées pour venir de différentes adresses IP, contournant ainsi les mesures de sécurité de base. Il existe d’autres types d’attaques de force brute, que nous aborderons plus tard dans l’article.
L’objectif d’une attaque de force brute est de prendre le contrôle de votre espace d’administration (wp-admin), puis d’installer généralement un logiciel malveillant sur votre site.
Comment protéger votre site contre les attaques de force brute sur WordPress (9 méthodes)
Subir une attaque de force brute est effrayant, surtout parce qu’on a l’impression de ne rien pouvoir faire pour l’arrêter. De plus, les effets d’une attaque sont immédiatement visibles. La plupart des sites disposent de ressources limitées sur leur serveur, qui sont rapidement utilisées, et un site attaqué peut souvent planter complètement.
Heureusement, il y a beaucoup de choses que vous pouvez faire pour prévenir les attaques de force brute sur WordPress. Voici une liste d’étapes de protection contre les attaques de force brute sur WordPress qui bloqueront la plupart des attaques et atténueront les effets les plus graves pour plus de sécurité.
1. Limiter les tentatives de connexion
La meilleure façon de stopper les attaques de force brute sur WordPress est de limiter les tentatives de connexion. Si un mot de passe incorrect est entré trop de fois sur la page de connexion, le compte est temporairement bloqué. Cela rend l’efficacité du bot de force brute inutile, car il repose sur la méthode d’essai-erreur pour deviner les informations d’identification. De plus, comme le bot ne peut pas essayer plusieurs milliers de combinaisons, les demandes ne sont pas envoyées au serveur et les ressources ne sont pas utilisées par l’activité du bot.
Par défaut, WordPress autorise un nombre illimité de tentatives de connexion, ce qui le rend vulnérable aux attaques de force brute. Avec MalCare, la protection contre les tentatives de connexion limitées est automatiquement activée. En fait, si un utilisateur a oublié son mot de passe, il peut résoudre un captcha pour contourner facilement le blocage. Ainsi, la limitation des tentatives de connexion bloque les bots de force brute sans affecter négativement les utilisateurs réels.
Pour plus de détails, consultez notre guide sur la limitation des tentatives de connexion sur WordPress.
2. Bloquer les bots malveillants
Les attaques de force brute sont presque toujours effectuées par des bots. Les bots sont de petits programmes conçus pour effectuer une tâche simple de manière répétitive, ce qui en fait un outil idéal pour les attaques de force brute. Le bot essaie une série d’informations d’identification sur une page de connexion jusqu’à ce qu’il trouve une correspondance.
De plus, plus de 25 % de tout le trafic des sites web est constitué de bots, il est donc essentiel d’avoir une protection contre les bots malveillants. Cependant, il est important de faire une distinction importante : tous les bots ne sont pas malveillants. Il existe des bons bots, tels que les robots d’exploration des moteurs de recherche et les bots de surveillance du temps de disponibilité. Vous souhaitez que ceux-ci aient accès à votre site, il est donc important d’obtenir une protection contre les bots qui bloque intelligemment uniquement les bots malveillants, comme MalCare. Il existe également d’autres plugins de protection contre les bots, tels que All in One, mais ils bloquent tous les bots par défaut, y compris Googlebot.
Source: Malcare
