X

Comment arrêter les attaques par force brute sur un site Web WordPress ?

Last updated on by Editorial Team
LinkedInPinShares0
comment arrêter les attaques par force brute

Voulez-vous arrêter et prévenir les attaques par force brute sur votre site ?

Lors d'une attaque par force brute, les pirates essaient simplement des milliers de combinaisons de noms d'utilisateur et de mots de passe jusqu'à ce qu'ils trouvent la bonne.

Une fois qu'ils ont pénétré sur votre site, ils peuvent faire toutes sortes de choses comme ajouter des publicités malveillantes, escroquer vos utilisateurs, et même mettre votre site hors service.

Ce tutoriel vous montrera comment arrêter et prévenir les attaques par force brute afin que les pirates n'aient aucune chance de pénétrer sur votre site.

Mais avant de passer aux étapes, clarifions ce qu'est une attaque par force brute afin que vous ayez une meilleure compréhension pendant le tutoriel.

Qu'est-ce qu'une attaque par force brute ?

Quand nous disons que les pirates essaient différentes combinaisons de mots de passe sur votre site pour se connecter, vous imaginez peut-être une personne réelle assise devant un ordinateur et tapant des mots de passe, n'est-ce pas ?

Les pirates sont bien plus avancés que cela. Ils programment des bots pour scanner Internet et trouver des sites Web fonctionnant sous WordPress. Ensuite, ils ciblent la page de connexion qui est généralement www.example.com/wp-admin.

exemple de mot de passe wordpress

Une fois sur la page de connexion, ces bots utilisent une énorme base de données de noms d'utilisateur et de mots de passe couramment utilisés.

  • Les noms d'utilisateur courants incluent "admin" ou le nom de la personne qui possède le site.
  • Les mots de passe courants incluent password1234, 12345678 et qwerty1.

Ces bots pirates sont capables d'effectuer des milliers de tentatives de connexion par minute. Et ils continuent d'essayer encore et encore jusqu'à ce qu'ils réussissent ou épuisent leur base de données. D'où le nom d'attaque par "force brute".

Maintenant, vous pensez peut-être que tout ce que vous avez à faire est de définir un mot de passe très fort et le problème est résolu. Mais ce n'est pas suffisant.

Des milliers de tentatives de connexion peuvent ralentir votre site et même le faire planter. Cela peut perturber l'expérience de vos utilisateurs, ce qui signifie que les visiteurs quitteront votre site car il ne se chargera pas assez rapidement.

Une meilleure façon de protéger votre site serait d'empêcher le pirate de faire ces tentatives. C'est ce que nous allons vous montrer comment faire ensuite. Plongeons directement dedans.

Comment arrêter les attaques par force brute dans WordPress

Ci-dessous, nous détaillerons 6 étapes importantes que vous devez suivre pour protéger votre site contre les pirates. Nous nous concentrerons sur la prévention des attaques par force brute, mais gardez à l'esprit que ces étapes aideront également à arrêter d'autres attaques de logiciels malveillants.

Vous allez construire un système de sécurité robuste qui garantira que les pirates n'auront aucun moyen d'endommager votre site de l'intérieur ou de l'extérieur.

Voici une liste des 6 étapes que nous allons couvrir :

  1. Installer un plugin de pare-feu
  2. Limiter les tentatives de connexion
  3. Restreindre l'accès à la page de connexion
  4. Expirer les mots de passe régulièrement
  5. Ajouter l'authentification à 2 facteurs
  6. Ajouter l'authentification HTTP

Étape 1 : Installer un plugin de pare-feu

Un pare-feu sert de première ligne de défense. Il analysera chaque visiteur arrivant sur votre site et bloquera les mauvais bots. Cela signifie que seul le bon trafic sera autorisé à consulter votre site.

Il existe deux types de pare-feu de site Web que vous pouvez utiliser.

  • Pare-feu d'application Web : Ces pare-feu se placent devant votre site WordPress pour analyser le trafic entrant. Ils sont très efficaces mais ne vous offrent pas de protection au niveau du serveur. Cela signifie que les pirates peuvent toujours cibler votre serveur et endommager votre site.
  • Pare-feu au niveau DNS du site Web : Ce pare-feu vous offre une meilleure protection contre les pirates car il se trouve devant votre serveur. Il analysera donc tout le trafic avant qu'il n'atteigne le serveur principal de votre site Web.

Nous vous recommandons vivement d'investir dans un pare-feu DNS pour protéger votre site. Sucuri propose l'un des meilleurs pare-feux DNS du secteur.

Sucuri

Sucuri est doté de fonctionnalités intégrées pour bloquer les attaques par force brute sans affecter les utilisateurs de votre site Web.

Il bloque également les outils automatisés utilisés pour scanner votre site Web. Cela permet de garder votre site Web hors de portée de tout attaquant.

Ensuite, il surveille constamment votre site, de sorte que si des robots malveillants arrivent sur votre site, ils seront automatiquement bloqués.

Si vous souhaitez connaître plus de détails, lisez notre examen de Sucuri.

Étape 2 : Limiter les tentatives de connexion

Si vous souhaitez spécifiquement bloquer les attaques par force brute, l'un des meilleurs moyens d'y parvenir est de limiter le nombre de tentatives de connexion qu'un utilisateur peut effectuer.

Par exemple, vous pouvez leur accorder un maximum de 3 tentatives pour saisir le nom d'utilisateur et le mot de passe corrects. S'ils ne parviennent pas à les saisir correctement, ils peuvent utiliser l'option « Mot de passe oublié » et récupérer leurs identifiants.

Mot de passe perdu dans WordPress

Tout utilisateur ou bot qui tente d'attaquer votre site par force brute abandonnera après 3 tentatives et passera à la cible suivante.

Vous pouvez ajouter un plugin de limitation des tentatives de connexion sur votre site WordPress pour ajouter cette fonctionnalité. Si vous utilisez un plugin de sécurité comme Sucuri, alors vous devriez déjà avoir la limitation des tentatives de connexion ajoutée automatiquement à votre site.

Étape 2 : Restreindre l'accès à la page de connexion

Une autre excellente façon de protéger votre site contre les attaques par force brute est d'accorder l'accès à l'URL de la page de connexion uniquement aux personnes de confiance.

Chaque appareil qui utilise Internet possède une adresse IP unique. Vous pouvez utiliser un plugin de sécurité pour bloquer universellement toutes les adresses IP de l'accès à la page de connexion et n'autoriser que celles que vous souhaitez.

De cette façon, seuls les utilisateurs autorisés peuvent ouvrir la page de connexion. Cette méthode s'appelle la liste blanche et est très efficace pour empêcher les pirates informatiques d'entrer.

Si vous utilisez Sucuri, sous l'onglet Contrôle d'accès de votre tableau de bord, vous pouvez ajouter des adresses IP autorisées.

Liste blanche Sucuri

Ensuite, passez à l'onglet Sécurité.

Vous verrez une option pour activer 'Panneau d'administration restreint aux seules adresses IP sur liste blanche'.

liste blanche dans sucuri

En cochant cette case, Sucuri autorisera automatiquement uniquement vos utilisateurs de confiance à accéder à la page de connexion.

Étape 4 : Faites expirer les mots de passe régulièrement

Il va sans dire que la meilleure façon de protéger tout compte ou site Web sur Internet est d'utiliser des noms d'utilisateur et des mots de passe forts.

En dehors de cela, vous devez également changer votre mot de passe régulièrement. Si vous suspectez une attaque, vous devez le changer immédiatement.

Maintenant, si vous avez plusieurs utilisateurs qui ont accès à wp-admin, ils pourraient ne pas se souvenir de changer leur mot de passe régulièrement.

Pour surmonter cela, vous pouvez définir des rappels et les forcer à réinitialiser leur mot de passe à intervalles réguliers.

exemple d'expiration de mot de passe

Vous pouvez utiliser un plugin comme Expire User Passwords pour vous aider à faire expirer les mots de passe périodiquement, forçant l'utilisateur à changer son mot de passe avant de pouvoir se reconnecter.

Étape 5 : Ajoutez l'authentification à deux facteurs

Vous avez très probablement déjà vu ou utilisé l'authentification à deux facteurs sur vos applications, en particulier votre e-mail.

En plus de saisir votre mot de passe, vous devez fournir un code d'accès unique envoyé à votre téléphone portable ou à votre e-mail.

code-2fa-sucuri

Vous pouvez recevoir ce code par SMS ou via une application d'authentification.

Cela signifie qu'un utilisateur devra se vérifier en temps réel, ce qui rend extrêmement difficile pour les pirates informatiques d'obtenir un accès.

Même s'ils parviennent à déchiffrer votre mot de passe, ils auront également besoin du code d'accès en temps réel.

Tous les plugins de sécurité populaires comme Sucuri et MalCare vous permettent d'activer l'authentification à deux facteurs dans le tableau de bord.

Ainsi, vous n'aurez pas besoin de toucher au code pour ajouter cette mesure à votre site.

Étape 6 : Ajouter l'authentification HTTP

La dernière étape que vous pouvez prendre pour protéger votre site contre les attaques par force brute est d'ajouter une page de connexion à votre page de connexion.

Cela peut sembler excessif, mais cela agit comme une couche de protection supplémentaire et est un moyen infaillible d'empêcher les pirates d'accéder à votre site par des attaques par force brute.

L'authentification HTTP fonctionne en masquant votre page de connexion et en affichant une page vierge avec une boîte de connexion.

Une fois que vous aurez saisi vos identifiants HTTP, votre page de connexion WordPress apparaîtra.

authentification http

Vous pouvez ajouter cette mesure dans le cPanel de votre hébergement. Si vous n'avez jamais utilisé cPanel auparavant, ne vous inquiétez pas. Nous vous montrerons comment faire en quelques étapes simples.

Connectez-vous à votre compte d'hébergement web, accédez à cPanel et recherchez 'Confidentialité du répertoire'.

confidentialité du répertoire

À l'intérieur, dans la liste des dossiers, localisez le dossier wp-admin et modifiez-le.

modifier la confidentialité de wpadmin

Sur la page suivante, activez d'abord l'option 'Protéger ce répertoire par mot de passe'. cPanel vous demandera alors d'ajouter un nom d'utilisateur et un mot de passe.

ajouter un mot de passe au répertoire

Assurez-vous de sauvegarder vos paramètres avant de quitter cette page. Votre répertoire d'administration WordPress est maintenant protégé par mot de passe.

Lorsque vous ouvrirez votre page wp-admin, vous verrez une invite de connexion pour entrer le nom d'utilisateur et le mot de passe que vous venez de créer.

Si vous rencontrez une erreur 404 ou trop de messages de redirection, vous devez ajouter la ligne suivante à votre fichier .htaccess WordPress.

ErrorDocument 401 default

Avec cela, votre site web est protégé contre les attaques par force brute.

Nous vous recommandons également de sauvegarder régulièrement votre site. Lorsque les choses tournent mal, qu'il s'agisse d'un piratage ou d'une simple erreur humaine, vous pouvez rapidement restaurer votre site et le remettre en état. Cela vous permet de minimiser les dommages à votre site et à l'expérience utilisateur.

Vous pouvez utiliser UpdraftPlus pour planifier des sauvegardes automatisées qui sont stockées en toute sécurité.

Pour plus d'options de sauvegarde, consultez notre sélection des 9 meilleurs plugins de sauvegarde WordPress comparés (2021).

Nous espérons que cet article sur la prévention des attaques par force brute vous a été utile. Et maintenant que votre site web est sécurisé, vous pouvez vous concentrer sur la croissance de votre site et l'augmentation du trafic. Voici quelques ressources que nous avons sélectionnées pour vous :

Ces articles vous aideront à améliorer le trafic, l'engagement et l'expérience utilisateur. Le dernier article vous donnera les meilleurs plugins et outils pour fluidifier les flux de travail et développer votre entreprise de manière exponentielle.

LinkedInPinShares0

Commentaires   Laisser une réponse

Ajouter un commentaire

Nous sommes ravis que vous ayez choisi de laisser un commentaire. Veuillez garder à l'esprit que tous les commentaires sont modérés conformément à notre politique de confidentialité, et tous les liens sont nofollow. N'utilisez PAS de mots-clés dans le champ du nom. Ayons une conversation personnelle et significative.

Liste de contrôle de lancement WordPress

La checklist ultime pour lancer un WordPress

Nous avons compilé tous les éléments essentiels de la liste de contrôle pour le lancement de votre prochain site Web WordPress dans un ebook pratique.
Oui, envoyez-moi l'eBook gratuit !
Copyright © 2015 - 2025 WPBeginner LLC. All Rights Reserved. Managed by Awesome Motive Inc.

NOTE ÉDITORIALE : Les opinions exprimées ici sont celles de l'auteur seul, et non de toute société d'hébergement, fournisseur de plugins, société de thèmes, Syed Balkhi ou de la Fondation WordPress, et n'ont pas été examinées, approuvées ou autrement cautionnées par l'une de ces entités.

AVIS DE NON-RESPONSABILITÉ : Nous déployons de grands efforts pour maintenir des données fiables sur toutes les offres présentées. Cependant, ces données sont fournies sans garantie. Les utilisateurs doivent toujours vérifier le site Web officiel du fournisseur pour connaître les conditions et les détails actuels. Les offres de produits qui apparaissent sur le site Web proviennent des sociétés d'hébergement, des sociétés de plugins et des sociétés de thèmes respectives auprès desquelles IsItWP reçoit une compensation. Cette compensation peut avoir un impact sur la manière et l'endroit où les produits apparaissent sur ce site (y compris, par exemple, l'ordre dans lequel ils apparaissent). Ce site n'inclut pas tous les produits WordPress ni toutes les offres de produits disponibles.