WordPress Brute Force Attacks, et ce que vous devez faire à ce sujet
Plusieurs sources importantes ont confirmé que des attaques par force brute massives étaient ciblées sur les sites WordPress et Joomla, comme nous le parlons en ce moment. HostGator, InMotion Hosting, LiquidWeb et bien d’autres ont informé leurs clients de ce problème. Le botnet des hackers contient plus de 90 000 adresses IP différentes et s'attaque aux débutants de WordPress qui commettent des erreurs très courantes. Oui, tout cela semble effrayant, alors voici ce que vous devez faire pour diminuer vos chances d'être piraté.
1. Arrêtez d'utiliser le nom d'utilisateur admin
Les débutants utilisent souvent des noms d’utilisateurs très répandus, tels que admin, administrateur, test, root, etc. Nos amis à Sucuri ont signalé que ces noms sont fortement ciblés en ce moment. Si vous avez un nom d'utilisateur WordPress générique tel que admin, vous devez le changer dès maintenant..
Nous avons un tutoriel facile à suivre qui vous montrera comment changer votre nom d'utilisateur dans WordPress.
2. Utilisez un mot de passe fort
S'il vous plaît, s'il vous plaît, veuillez utiliser un mot de passe très fort. Ces attaques par force brute tentent de cibler tous les mots de passe les plus courants utilisés par les utilisateurs. Un mot de passe fort contient des lettres, des chiffres et des symboles en majuscules et en minuscules. N'utilisez pas le même mot de passe à plus d'un endroit. Il n’est jamais trop tard pour commencer à utiliser une solution de gestion de mots de passe telle que 1Password ou LastPass.
3. Gardez de bonnes sauvegardes
La meilleure sécurité que vous puissiez avoir pour votre site Web est une excellente solution de sauvegarde. Nous utilisons VaultPress qui est un service mensuel. Cependant, si vous n'aimez pas payer tous les mois, nous vous recommandons vivement de vous procurer BackupBuddy..
Veuillez conserver de bonnes sauvegardes de votre site car la plupart des hébergeurs ne le font pas..
4. Utiliser l'authentification à deux facteurs
Commencez à utiliser une authentification à deux facteurs. Ainsi, même si quelqu'un devine votre mot de passe, il ne pourra pas accéder à votre site car il ne dispose pas du code de sécurité. Nous vous recommandons vivement de le faire maintenant.
5. Protéger par mot de passe WP-Admin et limiter les tentatives de connexion
Nous recommandons toujours à nos utilisateurs de limiter les tentatives de connexion. Cependant, cela seul ne peut pas protéger toutes les attaques, car ce réseau de robots contient 90 000 adresses IP. Une autre chose que vous pouvez faire est de protéger votre répertoire WP-admin par un mot de passe. Vous pouvez également limiter votre fichier wp-login.php à une adresse IP spécifique..
6. Commencez à utiliser Sucuri
Si vous n'utilisez pas Sucuri, nous vous recommandons vivement de commencer à utiliser Sucuri. Ils sont toujours au fait des choses, et il n’ya personne d’autre que nous ferions davantage confiance en ce qui concerne notre sécurité WordPress. Voir 5 raisons pour lesquelles nous utilisons Sucuri.
Nous ne savons pas quel est le but ultime de ces attaques, mais nous détesterions quoi que ce soit de voir nos utilisateurs en devenir la proie. Veuillez garder vos sites à jour et suivez tous les conseils ci-dessus..