Protéger WordPress contre les « Brute Force Attacks »

Protéger WordPress contre les « Brute Force Attacks »

Niveau: Débutant / Intermédiaire

WordPress étant la plateforme préférée de millions de blogueurs du Web, elle est aussi une cible de choix pour les pirates et les hackers.

Le code-source de WordPress étant disponible à tous (car WordPress est un logiciel Open Source) et ses thèmes et extensions pouvant être développés par n’importe qui, la sécurité de WordPress peut s’en voir compromise rapidement.

Les « Brute Force Attacks »

Une des techniques les plus couramment utilisées pour infiltrer un blog WordPress est le « Brute Force Attack » (ou Attaque par Force Brute). Cette technique consiste à essayer de s’authentifier comme administrateur d’un blog en testant une immense variété de combinaisons de noms d’utilisateur et de mots de passe.

Bien sûr, ces attaques sont générées par des scripts (ou des bots) qui sont en mesure de générer un grand nombre de noms d’utilisateur et de mots de passe en peu de temps.

Une des faiblesses de WordPress est l’utilisation d’un compte administrateur nommé « admin » par défaut au moment de l’installation. Et il y a peu de temps encore, WordPress ne permettait pas de spécifier un autre nom d’utilisateur que « admin » pour le compte d’administrateur. Hors, plusieurs blogues WordPress continue d’utiliser ce compte depuis ce temps. Par conséquent, lorsqu’une Brute Force Attacks survient, c’est le compte « admin » qui est éprouvé en premier.

Comment protéger WordPress contre les Brute Force Attacks

1. Changer le compte d’utilisateur « admin »

Dans un premier temps, si votre compte d’administrateur est « admin », il est fortement recommandé de modifier ce dernier. Il n’est toutefois pas possible de faire cela avec les fonctions de base de WordPress, il faut donc le faire manuellement (à l’aide de phpMyAdmin) ou bien en utilisant une extension développée à cet effet.

Pour la plupart des blogueurs en herbe, changer manuellement le compte « admin » peut s’avérer un peu complexe. C’est pourquoi je recommande plutôt l’utilisation d’une extension nommée Change Admin Username. Une fois installée, cette extension ajoute un item « Change Username » au menu « Utilisateurs » du module administratif de WordPress. Il suffit alors d’y entrer le nouveau d’utilisateur qui remplacera « admin » et le tour est joué!

2. Installer « Login Lockdown »

En second lieu, installer l’extension Login Lockdown protégera votre blogue contre les Brute Force Attacks en bloquant l’accès au formulaire d’authentification après un certain nombre de tentatives d’accès infructueuses. Une fois l’extension activée, il suffit de cliquer sur « Login Lockdown » du menu « Réglages » de WordPress afin de la configurer. Personnellement, voici comment je configure cette extension:

  • Max Login Retries: 3
  • Retry Time Period Restriction (minutes): 15
  • Lockout Length (minutes): 60
  • Lockout Invalid Usernames: no
  • Mask Login Errors: no

Ainsi configurée, Login Lockdown bloquera l’accès à toutes sources d’intrusion suffisamment longtemps pour que l’attaque soit abandonnée.

Hébergement Web WordPress avec Hostgator
1er mois pour seulement $0.01
Profitez de cette offre exclusive maintenant!

One Response to “Protéger WordPress contre les « Brute Force Attacks »”

  1. Jean Marc dit :

    Merci beaucoup pour ce tutoriel

    Jean – Marc
    Ile de la Réunion

Trackbacks/Pingbacks


Laisser un commentaire