Dynamix Host

WordPress + wp-login.php – brute-force et DDOS

WordPress, comme vous le savez, est l’un des systèmes de gestion de contenu (CMS) les plus populaires. C’est aussi pour cela que WordPress est la cible de nombreuses attaques (SPAM de commentaires, brute-force, hack etc.).

Le phénomène n’est pas nouveau, mais nous observons depuis quelques semaines une nette augmentation des tentatives de brute-force sur les pages « wp-login.php ». L’attaque consiste à tester de très nombreux couples de nom d’utilisateur et mot de passe afin d’accéder au tableau de bord WordPress. Ces requêtes sont envoyées de manière automatique depuis un botnet important composé de plusieurs dizaines de milliers de serveurs corrompus sur la toile.

Dans la mesure où vous utilisez un mot de passe fort, le risque peut être considéré comme faible.

Cependant, le nombre élevé de requêtes simultanées peut provoquer des ralentissements et parfois même s’apparenter à une attaque DDOS provoquant l’indisponibilité du site.

Notre action

La sécurité et la continuité des services sont des enjeux majeurs. De ce fait, nous avons décidé d’introduire une nouvelle protection visant à réduire l’impact constaté des brute-force. Ainsi, lorsque nous détectons plus de 6 tentatives d’authentification à la page « wp-login.php » durant un certain laps de temps, l’adresse IP source sera automatiquement bannie durant 10 à 30 minutes. La protection est d’ores et déjà en place sur l’ensemble des serveurs mutualisés. Elle sera également installée sur les serveurs privés et serveurs dédiés à la demande du client ou à l’initiative de nos administrateurs système.

Nous vous recommandons également

  • Assurez-vous que votre installation de WordPress (y compris les plugins + thèmes) est à jour
  • Utilisez un mot de passe fort (au moins 8 caractères, avec des minuscules, des majuscules, des chiffres et des caractères spéciaux)
  • Utilisez un mot de passe unique et différent pour chacun de vos sites
  • Limitez le nombre de tentatives d’identification à l’admin
    le plugin WordPress Limit Login Attempts permet de réaliser cela simplement
  • Restreindre l’accès à la page wp-login.php
    si vous disposez d’une adresse IP fixe avec votre connexion internet, vous pouvez modifier le fichier « .htaccess » situé à la racine de votre site et ajouter le contenu suivant :

    <FilesMatch wp-login.php>
    Order Allow,Deny
    Allow from xxx.xxx.xxx.xxx
    Deny from all
    </FilesMatch>

    remplacer xxx.xxx.xxx.xxx par votre adresse IP fixe

Posté dans : Hébergement mutualisé, Serveurs dédiés, Serveurs privés | 2 commentaires

La pénurie des adresses IPv4

web_address_originalDepuis septembre 2012, le RIPE NCC (l’organisme chargé de l’attribution des ressources internet en Europe) distribue les derniers blocs d’adresses IPv4 librement accessibles. Cette étape annonce la pénurie inévitable des adresses IPv4 dans un avenir très proche. D’ores et déjà, de nouvelles règles sont entrées en vigueur chez RIPE NCC et elles rendent les nouvelles demandes d’allocations très complexes (parfois impossibles) à obtenir. Vous pouvez consulter sur ce graphique la disponibilité des derniers blocs IPv4.

Lire la suite

Posté dans : Hébergement mutualisé, Serveurs dédiés, Serveurs privés | Pas de commentaire