Vous avez déjà entendu parler de voleurs essayant d'entrer dans une maison fermée à clé en testant plusieurs clés différentes ? C'est à peu près le principe d'une attaque par force brute sur un site WordPress. Les attaquants ciblent les utilisateurs ayant des mots de passe d'administrateur faibles afin de forcer l'accès. Si vous vous demandez comment on en arrive là, voici quelques explications. Il y a quelques versions, WordPress utilisait un nom d'utilisateur par défaut appelé « admin ». Les attaquants exploitent ces comptes en essayant différents mots de passe associés à ce même nom d'utilisateur pour accéder à tout ce qui leur en donne l'accès.
Comment prévenir les attaques par force brute contre WordPress ?
- La première chose à faire est de changer votre nom d'utilisateur si vous utilisez encore « admin » et d'opter pour un nom plus unique. Cela vous évitera de figurer parmi les profils vulnérables que les attaquants recherchent automatiquement. C'est également la mesure la plus efficace pour vous protéger contre cette attaque.
- N'utilisez pas de mots de passe faibles ! Certes, « 123456 » est facile à retenir, mais cela revient à confier ses clés à un voleur. Si vous manquez d'inspiration, utilisez un générateur de mots de passe pour en créer un robuste et difficile à deviner. WordPress facilite également l'évaluation de la force de vos mots de passe grâce à un indicateur qui s'affiche lors de leur création.
- Assurez-vous que vos versions de WordPress et de vos logiciels informatiques sont à jour et activez l'authentification à deux facteurs si vous utilisez WP.com. Cela vous avertira si une tentative d'accès provient d'un appareil ou d'une région différente de la vôtre.
- Contactez votre hébergeur si vous rencontrez des difficultés d'accès à vos pages d'administration et si celles-ci semblent lentes. Il pourra vous aider à résoudre le problème.
- Utilisez un outil ou une extension supplémentaire qui limite le nombre de tentatives de connexion. Si votre site web ne nécessite pas la connexion de plusieurs personnes, vous pouvez même ajouter des extensions qui bloquent toute tentative d'accès à wp-admin (autre que la vôtre).
- Si vous avez déjà été victime d'attaques de ce type et que vous avez identifié des schémas d'adresses IP ou de régions d'origine, vous pouvez renforcer votre protection. Pour ce faire, créez une liste noire d'adresses IP tentant d'accéder à votre site web depuis ces régions. Malheureusement, cette action bloquerait également l'accès à votre site pour certains utilisateurs légitimes.
