Comment protéger votre site WordPress des attaques par force brute (étape par étape)
Voulez-vous protéger votre site WordPress des attaques par force brute? Ces attaques peuvent ralentir votre site Web, le rendre inaccessible et même déchiffrer vos mots de passe pour installer des logiciels malveillants sur votre site Web. Dans cet article, nous allons vous montrer comment protéger votre site WordPress contre les attaques par force brute..
Qu'est-ce qu'une attaque par force brute??
Brute Force Attack est une méthode de piratage qui utilise des techniques d’essai et d’erreur pour pénétrer dans un site Web, un réseau ou un système informatique..
Les pirates utilisent un logiciel automatisé pour envoyer un grand nombre de requêtes au système cible. A chaque requête, ces logiciels tentent de deviner les informations nécessaires pour accéder, comme les mots de passe ou les codes PIN..
Ces outils peuvent également se déguiser en utilisant des adresses IP et des emplacements différents, ce qui complique la tâche du système ciblé pour identifier et bloquer ces activités suspectes..
Une attaque par force brute réussie peut permettre aux pirates d'accéder à la zone d'administration de votre site Web. Ils peuvent installer des portes dérobées, des logiciels malveillants, voler des informations utilisateur et supprimer tout ce qui se trouve sur votre site..
Même les attaques par force brute infructueuses peuvent causer des ravages en envoyant trop de demandes, ce qui ralentit et arrête même vos serveurs d'hébergement WordPress..
Cela étant dit, examinons comment protéger votre site WordPress contre les attaques par force brute..
Étape 1. Installez un plugin WordPress Firewall
Les attaques par force brute mettent beaucoup de charge sur vos serveurs. Même ceux qui échouent peuvent ralentir votre site Web ou complètement bloquer le serveur. C’est pourquoi il est important de les bloquer avant qu’ils n’atteignent votre serveur..
Pour ce faire, vous aurez besoin d’une solution de pare-feu de site Web. Un pare-feu filtre le mauvais trafic et l'empêche d'accéder à votre site.
Vous pouvez utiliser deux types de pare-feu de sites Web..
Niveau de pare-feu d'application - Ces plugins de pare-feu examinent le trafic une fois qu'il atteint votre serveur mais avant de charger la plupart des scripts WordPress. Cette méthode n'est pas aussi efficace, car une attaque par force brute peut toujours affecter la charge de votre serveur..
Pare-feu de site Web de niveau DNS - Ces pare-feu acheminent le trafic de votre site Web via leurs serveurs proxy en nuage. Cela leur permet d’envoyer uniquement du trafic authentique à votre serveur d’hébergement Web principal tout en stimulant votre vitesse et vos performances WordPress..
Nous vous recommandons d'utiliser Sucuri. C'est le leader de l'industrie en matière de sécurité de site Web et le meilleur pare-feu WordPress du marché. Comme il s'agit d'un pare-feu de site Web de niveau DNS, cela signifie que tout le trafic de votre site Web passe par son proxy, le trafic défectueux étant filtré..
Nous utilisons Sucuri sur notre site Web et vous pouvez lire notre critique complète de Sucuri pour en savoir plus..
Étape 2. Installez les mises à jour de WordPress
Certaines attaques courantes par force brute ciblent activement les vulnérabilités connues des anciennes versions de WordPress, des plugins WordPress populaires ou des thèmes..
Les principaux plugins WordPress et WordPress sont open source et les vulnérabilités sont souvent corrigées très rapidement avec une mise à jour. Cependant, si vous ne parvenez pas à installer les mises à jour, vous laissez votre site Web vulnérable à ces anciennes menaces..
Il suffit d'aller à Tableau de bord »Mises à jour page dans la zone d'administration de WordPress pour vérifier les mises à jour disponibles. Cette page affichera toutes les mises à jour pour votre noyau WordPress, vos plugins et vos thèmes..
Pour plus de détails, consultez notre guide sur la mise à jour correcte des plugins WordPress..
Étape 3. Protégez le répertoire d'administration WordPress
La plupart des attaques par force brute sur un site WordPress tentent d'accéder à la zone d'administration de WordPress. Vous pouvez ajouter une protection par mot de passe sur votre répertoire d’administrateur WordPress au niveau du serveur. Cela bloquerait les accès non autorisés à votre zone d'administration WordPress..
Connectez-vous simplement à votre panneau de contrôle d'hébergement WordPress (cPanel) et cliquez sur l'icône "Confidentialité du répertoire" dans la section Fichiers..
Remarque: Nous utilisons Bluehost dans notre capture d'écran, mais des paramètres similaires sont disponibles sur d'autres grandes sociétés d'hébergement, telles que SiteGround, HostGator, etc..
Ensuite, vous devez localiser le dossier wp-admin et cliquer sur le nom du dossier..
cPanel vous demandera maintenant de fournir un nom pour le dossier restreint, le nom d'utilisateur et le mot de passe. Après avoir entré ces informations, cliquez sur le bouton Enregistrer pour enregistrer vos paramètres..
Votre répertoire d'administrateur WordPress est maintenant protégé par mot de passe. Vous verrez une nouvelle invite de connexion lorsque vous visitez votre zone d'administration WordPress..
Si vous rencontrez une erreur 404 ou un message d'erreur contenant trop de redirections, vous devez ajouter la ligne suivante à votre fichier .htaccess WordPress.
ErrorDocument 401 par défaut
Pour plus de détails, consultez notre article sur la protection par mot de passe du répertoire d'administrateur WordPress..
Étape 4. Ajouter une authentification à deux facteurs dans WordPress
L'authentification à deux facteurs ajoute une couche de sécurité supplémentaire à votre écran de connexion WordPress. Fondamentalement, les utilisateurs auront besoin de leurs téléphones pour générer un code d’authentification unique avec leurs identifiants de connexion pour accéder à la zone d’administration de WordPress..
L'ajout d'une authentification à deux facteurs compliquera l'accès des pirates, même s'ils sont en mesure de déchiffrer votre mot de passe WordPress..
Pour obtenir des instructions détaillées étape par étape, consultez notre guide sur la procédure à suivre pour ajouter une authentification à deux facteurs dans WordPress.
Étape 5. Utilisez des mots de passe forts uniques
Les mots de passe sont les clés pour accéder à votre site WordPress. Vous devez utiliser des mots de passe forts uniques pour tous vos comptes. Un mot de passe fort est une combinaison de chiffres, de lettres et de caractères spéciaux..
Il est important que vous utilisiez des mots de passe forts non seulement pour vos comptes d'utilisateur WordPress, mais également pour FTP, le panneau de configuration de l'hébergement Web et votre base de données WordPress..
La plupart des débutants nous demandent comment se souvenir de tous ces mots de passe uniques. Eh bien, vous n'avez pas besoin de. Il existe d'excellentes applications de gestion de mots de passe disponibles qui stockeront de manière sécurisée vos mots de passe et les rempliront automatiquement pour vous..
Pour en savoir plus, consultez notre guide du débutant sur la meilleure façon de gérer les mots de passe pour WordPress..
Étape 6. Désactiver la navigation dans l'annuaire
Par défaut, lorsque votre serveur Web ne trouve pas de fichier d’index (c’est-à-dire un fichier comme index.php ou index.html), il affiche automatiquement une page d’index contenant le contenu du répertoire..
Lors d'une attaque par force brute, les pirates peuvent utiliser la navigation dans les répertoires pour rechercher les fichiers vulnérables. Pour résoudre ce problème, vous devez ajouter la ligne suivante au bas de votre fichier .htaccess WordPress..
Options -Indexes
Pour plus de détails, consultez notre article sur la désactivation de la navigation dans les répertoires dans WordPress..
Étape 7. Désactiver l'exécution de fichiers PHP dans des dossiers WordPress spécifiques
Les pirates informatiques voudront peut-être installer et exécuter un script PHP dans vos dossiers WordPress. WordPress est écrit principalement en PHP, ce qui signifie que vous ne pouvez pas le désactiver dans tous les dossiers WordPress..
Cependant, certains dossiers ne nécessitent aucun script PHP. Par exemple, votre dossier de téléchargement WordPress situé dans / wp-content / uploads.
Vous pouvez désactiver en toute sécurité l'exécution de PHP dans le dossier uploads, qui est un endroit commun utilisé par les pirates pour cacher des fichiers de porte dérobée..
Tout d’abord, vous devez ouvrir un éditeur de texte comme Notepad sur votre ordinateur et coller le code suivant:
nier à tous
Enregistrez maintenant ce fichier au format .htaccess et chargez-le dans / wp-content / uploads / dossiers de votre site Web à l'aide d'un client FTP..
Étape 8. Installez et configurez un plugin de sauvegarde WordPress
Les sauvegardes sont l'outil le plus important de votre arsenal de sécurité WordPress. Si tout le reste échoue, les sauvegardes vous permettront de restaurer facilement votre site Web..
La plupart des sociétés d’hébergement WordPress offrent des options de sauvegarde limitées. Cependant, ces sauvegardes ne sont pas garanties et vous êtes seul responsable de vos propres sauvegardes..
Il existe plusieurs grands plugins de sauvegarde WordPress, qui vous permettent de planifier des sauvegardes automatiques..
Nous vous recommandons d'utiliser UpdraftPlus. Il convient aux débutants et vous permet d’installer rapidement des sauvegardes automatiques et de les stocker sur des sites distants tels que Google Drive, Dropbox, Amazon S3, etc..
Pour des instructions pas à pas, consultez notre guide sur la procédure de sauvegarde et de restauration de votre site WordPress avec UpdraftPlus.
Tous les conseils ci-dessus vous aideront à protéger votre site WordPress contre les attaques par force brute. Pour une configuration de sécurité plus complète, vous devez suivre les instructions de notre guide de sécurité WordPress ultime pour les débutants..
Nous espérons que cet article vous a aidé à apprendre comment protéger votre site WordPress des attaques par force brute. Vous pouvez également rechercher les signes indiquant que votre WordPress est piraté et savoir comment réparer un site WordPress piraté..
Si vous avez aimé cet article, abonnez-vous à nos tutoriels vidéo sur la chaîne YouTube pour WordPress. Vous pouvez aussi nous trouver sur Twitter et Facebook.