X

Comment arrêter les attaques par force brute sur un site WordPress ?

how to stop brute force attacks

Voulez-vous arrêter et prévenir les attaques par force brute sur votre site ?

Dans une attaque par force brute, les pirates essaient simplement des milliers de combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce qu’ils trouvent la bonne.

Une fois qu’ils se sont introduits sur votre site, ils peuvent faire toutes sortes de choses, comme ajouter des publicités malveillantes, escroquer vos utilisateurs et même mettre votre site hors service.

Ce tutoriel vous montrera comment arrêter et prévenir les attaques par force brute afin que les pirates n’aient aucune chance de s’introduire sur votre site.

Mais avant d’aborder les étapes, il convient de préciser ce qu’est une attaque par force brute afin que vous puissiez mieux la comprendre au cours du tutoriel.

Qu’est-ce qu’une attaque par force brute ?

Lorsque nous disons que les pirates essaient différentes combinaisons de mots de passe sur votre site pour se connecter, vous imaginez peut-être une personne assise devant un ordinateur et tapant des mots de passe, n’est-ce pas ?

Les pirates sont bien plus avancés que cela. Ils programment des robots pour scanner l’internet et trouver des sites web fonctionnant avec WordPress. Ils ciblent ensuite la page de connexion, qui se trouve généralement à l’adresse www.example.com/wp-admin.

password example wordpress

Une fois sur la page de connexion, ces bots exploitent une énorme base de données de noms d’utilisateur et de mots de passe couramment utilisés.

  • Les noms d’utilisateur les plus courants sont “admin” ou le nom de la personne qui possède le site.
  • Les mots de passe les plus courants sont password1234, 12345678 et qwerty1.

Ces robots pirates sont capables d’effectuer des milliers de tentatives de connexion par minute. Et ils continuent d’essayer encore et encore jusqu’à ce qu’ils réussissent ou qu’ils épuisent leur base de données. D’où le nom d’attaque par force brute.

Vous vous dites peut-être qu’il suffit de définir un mot de passe très fort pour résoudre le problème. Mais cela ne suffit pas.

Des milliers de tentatives de connexion peuvent ralentir votre site, voire le faire planter. Cela peut perturber l’expérience de l’utilisateur, ce qui signifie que les visiteurs quitteront votre site parce qu’il ne se chargera pas assez rapidement.

Une meilleure façon de protéger votre site serait d’empêcher le pirate de faire ces tentatives. C’est ce que nous allons vous montrer maintenant. Plongeons dans le vif du sujet.

Comment stopper les attaques par force brute sur WordPress

Ci-dessous, nous allons détailler 6 mesures importantes que vous devez prendre pour protéger votre site contre les pirates informatiques. Nous nous concentrerons sur la prévention des attaques par force brute, mais gardez à l’esprit que ces étapes vous aideront également à arrêter d’autres attaques de logiciels malveillants.

Vous mettrez en place un système de sécurité robuste qui garantira que les pirates n’auront aucun moyen d’endommager votre site, que ce soit de l’intérieur ou de l’extérieur.

Voici une liste des six étapes que nous allons aborder :

  1. Installer un plugin de pare-feu
  2. Limiter les tentatives de connexion
  3. Restreindre l’accès à la page de connexion
  4. Expirer régulièrement les mots de passe
  5. Ajouter l’authentification à 2 facteurs
  6. Ajouter l’authentification HTTP

Étape 1 : Installer un plugin de pare-feu

Un pare-feu constitue votre première ligne de défense. Il analyse chaque visiteur arrivant sur votre site et bloque les robots malveillants. Ainsi, seul le bon trafic est autorisé à consulter votre site.

Il existe deux types de pare-feu pour sites web.

  • Le pare-feu d’application Web : Ces pare-feu se placent devant votre site WordPress pour analyser le trafic entrant. Ils sont assez efficaces mais ne vous offrent pas de protection au niveau du serveur. Cela signifie que les pirates peuvent toujours cibler votre serveur et endommager votre site.
  • Pare-feu de site web au niveau DNS : Ce pare-feu vous offre une meilleure protection contre les pirates, car il se trouve devant votre serveur. Il analyse donc tout le trafic avant qu’il n’atteigne le serveur principal de votre site web.

Nous vous recommandons vivement d’investir dans un pare-feu DNS pour protéger votre site. Sucuri possède l’un des meilleurs pare-feu DNS du secteur.

Sucuri

Sucuri est doté de fonctions intégrées permettant de bloquer les attaques par force brute sans affecter les utilisateurs de votre site web.

Il bloque également les outils automatisés utilisés pour scanner votre site web. Cela permet de garder votre site Web hors du radar de tout attaquant.

Sucuri surveille votre site en permanence, de sorte que si des robots malveillants arrivent sur votre site, ils sont automatiquement bloqués.

Si vous voulez en savoir plus, lisez notre évaluation de Sucuri.

Étape 2 : Limiter les tentatives de connexion

Si vous souhaitez bloquer spécifiquement les attaques par force brute, l’une des meilleures façons de le faire est de limiter le nombre de tentatives de connexion d’un utilisateur.

Par exemple, vous pouvez lui accorder un maximum de trois tentatives pour saisir le nom d’utilisateur et le mot de passe corrects. S’il n’y parvient pas, il peut utiliser l’option “Perte du mot de passe” et récupérer ses informations d’identification.

Lost password in WordPress

Tout utilisateur ou robot qui tente de forcer votre site abandonnera après 3 tentatives et passera à la cible suivante.

Vous pouvez ajouter un plugin de limitation des tentatives de connexion sur votre site WordPress pour ajouter cette fonctionnalité. Si vous utilisez un plugin de sécurité comme Sucuri, vous devriez déjà avoir une limite de tentatives de connexion automatiquement ajoutée à votre site.

Étape 2 : Restreindre l’accès à la page de connexion

Un autre excellent moyen de protéger votre site contre les attaques par force brute consiste à n’autoriser l’accès à l’URL de la page de connexion qu’aux personnes en qui vous avez confiance.

Chaque appareil qui utilise l’internet a une adresse IP unique. Vous pouvez utiliser un plugin de sécurité pour bloquer universellement l’accès de toutes les adresses IP à la page de connexion et mettre sur liste blanche uniquement celles que vous souhaitez.

Ainsi, seuls les utilisateurs autorisés peuvent ouvrir la page de connexion. Cette méthode, appelée “allowlisting”, est très efficace pour empêcher les pirates d’accéder au site.

Si vous utilisez Sucuri, vous pouvez ajouter des adresses IP sur liste blanche dans l’onglet Contrôle d’accès de votre tableau de bord.

Sucuri whitelist

Passez ensuite à l’onglet Sécurité.

Vous verrez une option permettant d’activer l’option “Panneau d’administration limité aux adresses IP figurant sur la liste blanche”.

whitelist in sucuri

En cochant cette case, Sucuri n’autorisera automatiquement que vos utilisateurs de confiance à accéder à la page de connexion.

Étape 4 : Expirer régulièrement les mots de passe

Il va sans dire que la meilleure façon de protéger un compte ou un site web sur l’internet est d’utiliser des noms d’utilisateur et des mots de passe forts.

En outre, vous devez également changer votre mot de passe régulièrement. Si vous soupçonnez une attaque, vous devez le changer immédiatement.

Si vous avez plusieurs utilisateurs qui ont accès à wp-admin, il se peut qu’ils ne se souviennent pas de changer leur mot de passe régulièrement.

Pour y remédier, vous pouvez définir des rappels et les obliger à réinitialiser leur mot de passe à intervalles réguliers.

expire password example

Vous pouvez utiliser un plugin comme Expire User Passwords pour vous aider à faire expirer les mots de passe périodiquement, ce qui oblige l’utilisateur à modifier son mot de passe avant de pouvoir se connecter à nouveau.

Étape 5 : Ajouter l’authentification à 2 facteurs

Vous avez probablement déjà vu ou utilisé l’authentification à deux facteurs dans vos applications, en particulier dans votre messagerie électronique.

Outre la saisie de votre mot de passe, vous devez fournir un code d’authentification à usage unique qui est envoyé sur votre téléphone portable ou dans votre boîte aux lettres électronique.

2fa-code-sucuri

Vous pouvez recevoir ce code par SMS ou par l’intermédiaire d’une application d’authentification.

Cela signifie qu’un utilisateur devra s’authentifier en temps réel, ce qui rendra l’accès extrêmement difficile pour les pirates.

Même s’ils parviennent à déchiffrer votre mot de passe, ils auront également besoin du code en temps réel.

Tous les plugins de sécurité populaires comme Sucuri et MalCare vous permettent d’activer l’authentification à deux facteurs dans le tableau de bord.

Vous n’aurez donc pas besoin de toucher au codage pour ajouter cette mesure à votre site.

Étape 6 : Ajouter l’authentification HTTP

La dernière mesure que vous pouvez prendre pour protéger votre site contre les attaques par force brute consiste à ajouter une page d’identification à votre page de connexion.

Cela peut sembler un peu exagéré, mais cela constitue une couche de protection supplémentaire et un moyen sûr d’empêcher les pirates de pénétrer sur votre site par le biais d’attaques par force brute.

L’authentification HTTP consiste à masquer votre page de connexion et à afficher une page vierge avec une boîte de connexion.

Une fois que vous avez saisi vos informations d’identification HTTP, votre page de connexion WordPress s’affiche.

http authentication

Vous pouvez ajouter cette mesure dans le cPanel de votre hébergement. Si vous n’avez jamais utilisé cPanel auparavant, ne vous inquiétez pas. Nous vous montrerons comment procéder en quelques étapes simples.

Connectez-vous à votre compte d’hébergement, accédez à cPanel et trouvez ‘Directory Privacy’.

Directory privacy

Dans la liste des dossiers, localisez le dossier wp-admin et modifiez-le.

edit wpadmin privacy

Sur la page suivante, activez d’abord l’option “Protéger ce répertoire par un mot de passe”. Maintenant, cPanel vous demandera d’ajouter un nom d’utilisateur et un mot de passe.

add password to directory

Assurez-vous de sauvegarder vos paramètres avant de quitter cette page. Votre répertoire d’administration WordPress est maintenant protégé par un mot de passe.

Lorsque vous ouvrirez votre page wp-admin, vous verrez une invite à entrer le nom d’utilisateur et le mot de passe que vous venez de créer.

Si vous rencontrez une erreur 404 ou trop de messages de redirection, vous devez ajouter la ligne suivante à votre fichier WordPress .htaccess.

ErreurDocument 401 default

Votre site web est ainsi protégé contre les attaques par force brute.

Nous vous recommandons également de sauvegarder régulièrement votre site. En cas de problème, qu’il s’agisse d’un piratage ou d’une simple erreur humaine, vous pouvez rapidement restaurer votre site et le ramener à la normale. Cela vous permet de minimiser les dommages causés à votre site et à l’expérience des utilisateurs.

Vous pouvez utiliser UpdraftPlus pour planifier des sauvegardes automatisées qui sont stockées en toute sécurité.

Pour plus d’options de sauvegarde, consultez notre sélection des meilleurs plugins de sauvegarde WordPress.

Nous espérons que cet article sur la prévention des attaques par force brute vous a été utile. Maintenant que votre site web est sécurisé, vous pouvez vous concentrer sur son développement et l’augmentation de son trafic. Voici quelques ressources que nous avons sélectionnées pour vous :

Ces posts vous aideront à améliorer le trafic, l’engagement et l’expérience utilisateur. Le dernier billet vous donnera les meilleurs plugins et outils pour fluidifier les flux de travail et faire croître votre entreprise de manière exponentielle.

Commentaires   laisser une réponse

Ajouter un commentaire

Nous sommes heureux que vous ayez choisi de laisser un commentaire. N'oubliez pas que tous les commentaires sont modérés conformément à notre privacy policy, et que tous les liens sont en nofollow. N'utilisez PAS de mots-clés dans le champ du nom. Engageons une conversation personnelle et constructive.

WordPress Launch Checklist

L'ultime liste de contrôle pour le lancement de WordPress

Nous avons rassemblé tous les éléments essentiels de la liste de contrôle pour le lancement de votre prochain site Web WordPress dans un ebook pratique.
Oui, envoyez-moi le gratuit !