Avez-vous déjà entendu parler de voleurs essayant de pénétrer dans une maison verrouillée en essayant un trousseau de clés différentes ? C’est à peu près à cela que fonctionne une attaque par force brute sur les sites Web WordPress. Les attaquants visent à cibler les utilisateurs dotés de mots de passe administrateur faibles pour se frayer un chemin par force. Si vous vous demandez comment vous en êtes arrivé à ce point, expliquons-le pour vous. Il y a plusieurs versions, WordPress utilisait un nom d'utilisateur par défaut appelé « admin » pour ses utilisateurs. Les attaquants s'attaquent à ces comptes en essayant différents mots de passe pour utiliser le même nom d'utilisateur et accéder à tout ce qui leur donne accès.
Comment prévenir les attaques par force brute contre WordPress ?
- La première étape à suivre serait de changer votre nom d'utilisateur si vous utilisez toujours « admin » et d'utiliser plutôt quelque chose de plus unique. Cela élimine la possibilité que vous apparteniez à la catégorie vulnérable que les attaquants tentent d’examiner automatiquement. C’est également la mesure la plus efficace que vous puissiez prendre pour vous protéger de cette attaque.
- N'utilisez pas de mots de passe faibles ! Bien sûr, « 123456 » est facile à retenir, mais cela ressemble aussi à l'idée de donner les clés de votre maison à un voleur connu. Si vous ne parvenez pas à penser à quelque chose de difficile, utilisez des générateurs de mots de passe pour créer quelque chose de solide et difficile à deviner. WordPress permet également de comprendre plus facilement la force de vos mots de passe grâce à un compteur qui apparaît lorsque vous essayez d'en créer un.
- Gardez vos versions de WordPress et de vos logiciels informatiques à jour et assurez-vous d'activer « l'authentification à deux facteurs » si vous utilisez WP.com. Cela vous signalerait si une tentative provient d’un appareil/d’une région différent du vôtre.
- Appelez votre fournisseur d'hébergement si vous avez l'impression que vos pages d'administration sont devenues difficiles à connecter et semblent lentes. Ils devraient être capables de vous guider dans la bonne direction.
- Utilisez un outil supplémentaire ou un plugin qui limite le nombre de tentatives de connexion effectuées. Si votre site Web ne nécessite pas la connexion de plusieurs personnes, vous pouvez même ajouter des plugins qui bloquent toute tentative (autre que la vôtre) d'accès à wp-admin.
- Si vous avez été victime d'attaques de ce type dans le passé et avez remarqué un modèle d'adresses IP ou de régions d'où proviennent les attaques, vous pouvez ajouter une couche de protection supplémentaire. Cela peut être fait en créant une « liste de blocage » d'adresses IP qui tentent d'accéder à votre site Web depuis ces régions. Malheureusement, ce faisant, vous bloqueriez également certains utilisateurs authentiques qui souhaitent accéder à votre site Web.
