Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Coupe WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Attaques par force brute sur WordPress, et ce qu’il faut faire pour y remédier

Plusieurs sources importantes ont confirmé que des attaques massives par force brute visent les sites WordPress et Joomla en ce moment même. Outil de personnalisation, InMotion Hosting, LiquidWeb et bien d’autres ont informé leurs clients/clientes de ce problème. Le botnet des pirates contient plus de 90 000 adresses IP différentes, et ils s’attaquent aux débutants WordPress qui commettent des erreurs très courantes. Oui, tout cela semble effrayant, alors voici ce que vous devez faire pour réduire vos chances d’être piraté.

1. Arrêtez d’utiliser l’identifiant de l’administrateur

Souvent, les débutants utilisent des identifiants très courants tels que admin, administrateur/administratrices, test, root, etc. Nos amis de Sucuri ont signalé que ces identifiants sont fortement ciblés en ce moment. Si vous avez un identifiant WordPress générique tel que admin, vous devriez le modifier dès maintenant.

Nous avons un tutoriel facile à suivre qui vous affichera comment modifier votre identifiant sur WordPress.

2. Utiliser un mot de passe fort

Veuillez utiliser un mot de passe très fort. Ces attaques par force brute tentent de cibler tous les mots de passe les plus courants que les gens utilisent. Un mot de passe fort contient des lettres majuscules et minuscules, des chiffres et des symboles. N’utilisez pas le même mot de passe à plusieurs Emplacements. Il n’est jamais trop tard pour commencer à utiliser une solution de gestion des mots de passe comme 1Password ou LastPass.

3. Conservez de bonnes sauvegardes

La meilleure sécurité que vous puissiez avoir pour votre site est une excellente solution de sauvegarde. Nous utilisons VaultPress qui est un service mensuel. Cependant, si vous n’aimez pas payer mensuellement, nous vous recommandons vivement d’utiliser BackupBuddy.

Veuillez conserver de bonnes sauvegardes de votre site car la plupart des entreprises d’hébergement ne le font pas.

4. Utilisez une authentification à deux facteurs

Commencez à utiliser l’authentification à deux facteurs. De cette façon, même si quelqu’un devine votre mot de passe, il ne peut pas accéder à votre site car il n’a pas le code de sécurité. Nous vous recommandons vivement de le faire dès maintenant.

5. Protéger WP-Admin par un mot de passe et limiter les tentatives de connexion

Nous recommandons toujours à nos utilisateurs/utilisatrices de limiter les tentatives de connexion. Cependant, cela ne suffit pas à protéger toutes les attaques car ce botnet contient 90 000 IP. Une autre chose que vous pouvez faire est de protéger par un mot de passe votre répertoire WP-admin. Vous pouvez également limiter votre fichier wp-login.php à une IP spécifique.

6. Commencez à utiliser Sucuri

Si vous n’utilisez pas Sucuri, nous vous recommandons vivement de le faire. Ils sont toujours au top des choses, et il n’y a personne d’autre à qui nous ferions plus confiance quand il s’agit de notre sécurité WordPress. Voir 5 raisons pour lesquelles nous utilisons Sucuri.

Nous ne sommes pas sûrs de l’objectif final de ces attaques, mais quel qu’il soit, nous ne voudrions pas que nos utilisateurs/utilisatrices en soient les victimes. Veuillez maintenir vos sites à jour et suivre toutes les astuces ci-dessus.

Divulgation : Notre contenu est soutenu par les lecteurs. Cela signifie que si vous cliquez sur certains de nos liens, nous pouvons gagner une commission. Consultez comment WPBeginner est financé, pourquoi cela compte et comment vous pouvez nous soutenir. Voici notre processus éditorial.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

L'ultime WordPress Toolkit

Accédez GRATUITEMENT à notre boîte à outils - une collection de produits et de ressources liés à WordPress que tous les professionnels devraient avoir !

Reader Interactions

14 commentairesLaisser une réponse

  1. Syed Balkhi

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Janet

    I am working at securing sites for my clients, and need to password-protect their wp-admin folder. I am having a problem and hope someone can help. When I go to cPanel to pw-protect that folder, I get an error about Frontpage Extensions being installed, which prevents pw-protecting. When I go to uninstalled the extensions, I get this message:

    Warning: Installing or uninstalling FrontPage extensions will result in the loss of all « .htaccess » files. Any changes you have made to your « .htaccess » files will be lost.

    If I made a .htacess backup as instructed on this page https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ , would that be enough?

    Thanks for your help and all your VERY helpful information!

      • Janet

        Thank you! I ended up having some problems with the .htacess, but our web host fixed everything for us. Thanks so much for the help!

  3. Sarah B R

    Hello,
    I followed your guidelines for two steps authentication and it worked fine the first time a few days ago.
    I wanted to log in today and went to the app on my phone and the wordpress account I had added is nowhere to be found. So now I can’t log in.
    Thanks for the help.

    • Editorial Staff

      That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in :)

      Administrateur

  4. Edwin Lynch

    I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam :)

  5. Ratnesh

    Login lock down is the best plugin to secure Wordpresss blog by brute force attack

  6. Robert Connor

    Some good advice my site admin panel is getting bombarded daily with login attemps!

  7. Jane

    How do you know when you’ve been Brute-Force attacked? My client has been having issues with his WP site recently, so I’m wondering if this has to do with it.

  8. Jennifer

    I have a site that is currently getting hit with a brute force attack. It is RELENTLESS. The site uses SUCURI (thank goodness!) and they have already done one clean-up for us.

    Thank you, Syed & team, for all of the great information. I just added the two factor authentication and will put the rest of your suggestions in place ASAP.

  9. Esther

    Thank you for the link to the free video, I just started my WP site yesterday, after running a Blogger site, and it is, kicking, my, butt! I am fairly tech savvy, so I have no idea what my problem is, only that I have one! lol

  10. Keith Davis

    Hi guys
    Read the article over on the Sucuri website – I’m with those guys and I use a few other security measures.

    Just given you a callout on #WordPress

  11. Scott Hack

    Would love to see a limit to logins added to core for 3.6

Laisser une réponse

Merci d'avoir choisi de laisser un commentaire. Veuillez garder à l'esprit que tous les commentaires sont modérés selon notre politique de commentaires, et votre adresse e-mail ne sera PAS publiée. Veuillez NE PAS utiliser de mots-clés dans le champ du nom. Ayons une conversation personnelle et significative.