Voulez-vous protéger votre site WordPress contre les attaques par force brute ?
Une attaque par force brute peut ralentir votre site, le rendre inaccessible et même craquer vos mots de passe pour installer des logiciels malveillants sur votre site.
Dans cet article, nous allons vous afficher comment protéger votre site WordPress des attaques par force brute.
Qu’est-ce qu’une attaque par force brute ?
Une attaque par force brute est une méthode de piratage qui utilise l’essai et l’erreur pour s’introduire dans un site, un réseau ou un système informatique.
Le type d’attaque par force brute le plus courant est la devinette de mot de passe. Les pirates utilisent des logiciels automatisés pour deviner vos informations de connexion afin d’accéder à votre site.
Ces outils de piratage activés peuvent également se déguiser en utilisant différentes adresses IP et différents Emplacements, ce qui complique l’identification et le blocage des activités suspectes.
Une attaque par force brute bien réussie peut permettre à des pirates d’accéder à la zone d’administration de votre site. Ils peuvent alors installer des logiciels malveillants, voler des informations sur les utilisateurs/utilisatrices et supprimer tout ce qui se trouve sur votre site.
Même les attaques par force brute infructueuses peuvent faire des ravages en envoyant trop de demandes aux serveurs de votre hébergeur WordPress, ralentissant ou même faisant complètement échouer votre site.
Ceci étant dit, voyons comment protéger votre site WordPress contre les attaques par force brute. Voici les étapes par lesquelles nous allons passer :
1. Installer une extension de pare-feu WordPress
Les attaques par force brute pèsent lourdement sur vos serveurs. Même celles qui n’aboutissent pas peuvent ralentir votre site ou faire complètement planter le serveur. C’est pourquoi il est important de les bloquer avant qu’elles n’atteignent votre serveur.
Pour ce faire, vous aurez besoin d’une solution de pare-feu pour site web. Un pare-feu filtre le mauvais trafic et l’empêche d’accéder à votre site.
Il existe deux types de pare-feu pour sites web :
- Lespare-feu au niveau de l’application examinent le trafic une fois qu’il atteint votre serveur, mais avant de charger la plupart des scripts WordPress. Cette méthode n’est pas aussi efficace car une attaque par force brute peut encore affecter la charge de votre serveur.
- Lespare-feux de sites web de niveau DNS acheminent le trafic de votre site via leurs serveurs proxy dans le cloud. Cela leur permet d’envoyer uniquement le trafic authentique à votre serveur hébergeur principal tout en donnant un coup de pouce à la vitesse et aux performances de votre WordPress.
Nous recommandons d’utiliser Sucuri. Ils sont le leader de l’industrie en matière de sécurité des sites et le meilleur pare-feu WordPress sur le marché. Comme ils ont un pare-feu de site Web au niveau DNS, cela signifie que tout le trafic de votre site passe par leur proxy, où le mauvais trafic est filtré.
Nous utilisons Sucuri sur notre site, et vous pouvez lire notre avis complet sur Sucuri pour en savoir plus.
2. Installer les mises à jour de WordPress
Certaines attaques par force brute courantes ciblent activement des vulnérabilités connues dans des versions plus anciennes de WordPress, des extensions WordPress populaires ou des thèmes.
Le cœur de WordPress et la plupart des extensions WordPress populaires sont des logiciels libres, et les vulnérabilités sont souvent corrigées très rapidement par une mise à jour. Cependant, si vous n’installez pas les mises à jour, vous laissez votre site vulnérable à ces anciennes menaces.
Il suffit d’aller sur la page Tableau de bord » Mises à jour dans la zone d’administration de WordPress pour vérifier si des mises à jour sont disponibles. Cette page affiche toutes les mises à jour du cœur, des extensions et des thèmes de WordPress.
Pour plus de détails, consultez nos guides sur la façon de mettre à jour WordPress en toute sécurité et de mettre à jour correctement les extensions WordPress.
3. Protéger le répertoire d’administration de WordPress
La plupart des attaques par force brute sur un site WordPress tentent d’obtenir l’accès à la zone d’administration de WordPress. Vous pouvez ajouter une protection par mot de passe à votre répertoire d’administration WordPress au niveau du serveur. Cela bloquera l’accès non autorisé à la zone d’administration de WordPress.
Il vous suffit de vous connecter au panneau de contrôle de votre hébergeur WordPress (cPanel) et de cliquer sur l’icône « Confidentialité du répertoire » dans la section Fichiers.
Note : Nous utilisons Bluehost dans notre capture d’écran, mais des réglages similaires sont disponibles sur d’autres entreprises d’hébergement de premier plan comme HostGator.
Ensuite, vous devez localiser le dossier wp-admin.
Une fois que vous l’avez trouvé, cliquez sur le bouton « Modifier ».
Sur la page suivante, vous pouvez définir les Réglages de sécurité pour le dossier.
Tout d’abord, vous devez cocher la case « Protéger ce répertoire par un mot de passe ». Saisissez ensuite un nom pour le répertoire protégé.
Ensuite, il vous sera demandé de fournir un identifiant et un mot de passe.
Ces informations vous seront demandées chaque fois que vous tenterez d’accéder à ce répertoire.
Après avoir saisi/saisie ces informations, cliquez sur le bouton « Enregistrer » pour stocker vos Réglages.
Votre répertoire d’administration WordPress est désormais protégé par un mot de passe.
Vous verrez une nouvelle invite de connexion lorsque vous visiterez votre zone d’administration WordPress.
Si vous rencontrez un message d’erreur 404 ou de trop grand nombre de redirections, vous devez alors ajouter la ligne suivante à votre fichier WordPress .htaccess:
ErrorDocument 401 default
Pour plus de détails, consultez notre article sur la protection par mot de passe du répertoire d’administration de WordPress.
4. Ajouter l’authentification à deux facteurs dans WordPress
L’authentification à deux facteurs ajoute une calque de sécurité supplémentaire à votre écran de connexion WordPress. Les utilisateurs/utilisatrices auront besoin de leur téléphone pour générer un code à usage unique en même temps que leurs info connexions pour accéder à la zone d’administration de WordPress.
L’ajout d’une authentification à deux facteurs rendra plus difficile l’accès des pirates, même s’ils parviennent à craquer votre mot de passe WordPress.
Pour des instructions détaillées étape par étape, consultez notre guide sur l’ajout de l’authentification à deux facteurs dans WordPress.
5. Utiliser des mots de passe uniques et forts
Les mots de passe sont les clés qui permettent d’accéder à votre site WordPress ou à votre stock d’e-commerce. Vous devez utiliser des mots de passe uniques et forts pour tous vos comptes. Un mot de passe fort est une combinaison de chiffres, de lettres et de caractères spéciaux.
Il est important que vous utilisiez des mots de passe forts non seulement pour vos comptes utilisateurs/utilisatrices WordPress, mais aussi pour votre client FTP, le panneau de contrôle de votre hébergeur et votre base de données WordPress.
De nombreux débutants nous demandent comment se souvenir de tous ces mots de passe uniques. Eh bien, ce n’est pas nécessaire. Il existe d’excellentes applis de gestion de mots de passe qui stockeront vos mots de passe en toute sécurité et les rempliront automatiquement pour vous.
Pour en savoir plus, consultez notre guide du débutant sur les meilleures façons de gérer les mots de passe pour WordPress.
6. Désactiver la navigation dans les répertoires
Par défaut, lorsque votre serveur web ne trouve pas de fichier d’index (tel que index.php ou index.html), il affiche automatiquement une page d’index affichant le contenu du répertoire.
Lors d’une attaque par force brute, les pirates peuvent utiliser la navigation dans les répertoires comme celle-ci pour rechercher des fichiers vulnérables. Pour corriger ce problème, vous devez ajouter la ligne suivante au bas de votre fichier WordPress .htaccess à l’aide d’un service FTP:
Options -Indexes
Pour plus de détails, consultez notre article sur la désactivation de la navigation dans les répertoires sur WordPress.
7. Désactiver l’exécution de fichiers PHP dans des dossiers spécifiques de WordPress
Des pirates peuvent vouloir installer et exécuter un script PHP dans vos dossiers WordPress. WordPress est principalement écrit en PHP, ce qui signifie que vous ne pouvez pas le désactiver dans tous les dossiers WordPress.
Cependant, certains dossiers n’ont pas besoin de scripts PHP, comme le dossier des téléversements de WordPress situé dans /wp-content/uploads
.
Vous pouvez désactiver en toute sécurité l’exécution de PHP dans le dossier Téléversés, qui est un endroit couramment utilisé par les pirates pour masquer des fichiers de portes dérobées.
Tout d’abord, vous devez ouvrir un éditeur de texte tel que Notepad sur votre ordinateur et coller le code suivant :
<Files *.php>
deny from all
</Files>
Enregistrez maintenant ce fichier en tant que .htaccess
et téléversez-le dans les dossiers /wp-content/uploads/
de votre site à l’aide d’un client FTP.
8. Installer et configurer une extension de sauvegarde WordPress
Les sauvegardes sont l’outil le plus important de votre arsenal de sécurité WordPress. Si tout le reste échoue, alors les sauvegardes vous permettront de restaurer facilement votre site.
La plupart des entreprises d’hébergement WordPress proposent des options de sauvegarde limitées. Cependant, ces sauvegardes ne sont pas garanties, et vous êtes seul responsable de la réalisation de vos propres sauvegardes.
Il existe plusieurs excellents plugins de sauvegarde WordPress qui vous permettent de planifier des sauvegardes automatiques.
Nous vous recommandons d’utiliser Duplicator. Il est convivial pour les débutants et vous permet de configurer rapidement des sauvegardes automatiques et de les stocker sur des emplacements distants tels que Google Drive, Dropbox, Amazon S3, One Drive, etc.
Il existe également une version gratuite de Duplicator que vous pouvez utiliser pour Premiers pas.
Pour des instructions étape par étape, vous pouvez suivre ce guide sur la façon de sauvegarder votre site WordPress avec Duplicator.
Toutes les astuces mentionnées ci-dessus vous aideront à protéger votre site WordPress contre les attaques par force brute. Pour une configuration de sécurité plus complète, vous devriez suivre les instructions de notre guide ultime de sécurité WordPress pour les débutants.
Nous espérons que cet article vous a aidé à apprendre comment protéger votre site WordPress contre les attaques par force brute. Vous pouvez également consulter notre guide sur la façon de corriger un site WordPress piraté et nos choix d’experts pour les meilleurs constructeurs de pages WordPress par glisser-déposer.
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Moinuddin Waheed
This is very common problem for wordpress users. most of the times we give little to no concern to protect our website or blog and then complain when something of this kind happens.
I have been a victim of this brute force attack back in 2017 and since then I have ensured to use backup of my full website and two factor authentication to log in.
Is there a way we can identify if any malicious software has been installed or our dashboard has been compromised?
WPBeginner Support
You can use some of the scanner options that we recommend in our article below!
https://www.wpbeginner.com/plugins/how-to-scan-your-wordpress-site-for-potentially-malicious-code/
Administrateur
Moinuddin Waheed
Thanks for the reply and tutorial recommendation.
I am exploring these guides so as to make a successful wordpress websites agency.
I want to make sure that the websites that I make for my clients should be foolproof of security.
Renuga
HI,
For step-3 admin protection, we need to show the login in WP-admin only but its showing in site also. So, please help us how to show only in WP-admin.
WPBeginner Support
If you mean it is in your widget area you may want to check for a meta widget under Appearance>Widgets
Administrateur
Dreamandu
I am under the brute force attack right now from different IPs. What can I do to protect my site right now?
WPBeginner Support
You can use any of the methods in this article to start combating the brute force attack
Administrateur
Chidubem Ezenwa
Yet another helpful guide. Thanks guys.