Avez-vous déjà entendu parler des voleurs qui essaient d'entrer dans une maison fermée à clé en essayant plusieurs clés différentes ? C'est à peu près ce à quoi ressemble une attaque par force brute sur les sites Web WordPress. Les attaquants visent à cibler les utilisateurs dont les mots de passe d'administrateur sont faibles afin d'y pénétrer par force brute. Si vous vous demandez comment vous en êtes arrivé là, nous allons le décomposer pour vous. Il y a plusieurs versions, WordPress utilisait un nom d'utilisateur par défaut appelé "admin" pour ses utilisateurs. Les attaquants exploitent ces comptes en essayant différents mots de passe avec le même nom d'utilisateur et s'introduisent dans tout ce qui leur donne accès.
Comment prévenir les attaques par force brute contre WordPress ?
- La première chose à faire est de changer votre nom d'utilisateur si vous utilisez toujours "admin" et d'utiliser quelque chose de plus unique à la place. Cela élimine la possibilité que vous soyez dans la catégorie vulnérable que les attaquants essaient de regarder automatiquement. C'est également la mesure la plus efficace que vous puissiez prendre pour vous protéger de cette attaque.
- N'utilisez pas de mots de passe faibles ! Bien sûr, "123456" est facile à retenir, mais il ressemble aussi à l'idée de donner ses clés de maison à un voleur connu. Si vous n'arrivez pas à trouver un mot de passe difficile, utilisez des générateurs de mots de passe pour trouver un mot de passe fort qui ne soit pas facile à deviner. WordPress simplifie également la compréhension de la force de vos mots de passe grâce à un compteur qui s'affiche lorsque vous essayez d'en créer un.
- Mettez à jour les versions de WordPress et de votre logiciel informatique et veillez à activer l'"authentification à deux facteurs" si vous utilisez WP.com. Cela vous signalerait si une tentative provient d'un appareil/région différent(e) du vôtre.
- Appelez votre hébergeur si vous avez l'impression qu'il est devenu difficile de se connecter à vos pages d'administration et que celles-ci semblent lentes. Il devrait être en mesure de vous guider dans la bonne direction.
- Utilisez un outil supplémentaire ou un plugin qui limite le nombre de tentatives de connexion effectuées. Si votre site Web ne nécessite pas la connexion de plusieurs personnes, vous pouvez même ajouter des plugins qui bloquent toute tentative (autre que la vôtre) d'accès à wp-admin.
- Si vous avez été victime d'attaques de ce type dans le passé et que vous avez remarqué un modèle d'adresses IP ou de régions d'où proviennent les attaques, vous pouvez ajouter une couche supplémentaire de protection. Pour ce faire, vous pouvez créer une "liste de blocage" des adresses IP qui tentent d'accéder à votre site Web depuis ces régions. Malheureusement, ce faisant, vous bloquez également certains utilisateurs authentiques qui souhaitent accéder à votre site Web.
