WordPress + wp-login.php – brute-force et DDOS

WordPress, comme vous le savez, est l’un des systèmes de gestion de contenu (CMS) les plus populaires. C’est aussi pour cela que WordPress est la cible de nombreuses attaques (SPAM de commentaires, brute-force, hack etc.).

Le phénomène n’est pas nouveau, mais nous observons depuis quelques semaines une nette augmentation des tentatives de brute-force sur les pages « wp-login.php ». L’attaque consiste à tester de très nombreux couples de nom d’utilisateur et mot de passe afin d’accéder au tableau de bord WordPress. Ces requêtes sont envoyées de manière automatique depuis un botnet important composé de plusieurs dizaines de milliers de serveurs corrompus sur la toile.

Dans la mesure où vous utilisez un mot de passe fort, le risque peut être considéré comme faible.

Cependant, le nombre élevé de requêtes simultanées peut provoquer des ralentissements et parfois même s’apparenter à une attaque DDOS provoquant l’indisponibilité du site.

Notre action

La sécurité et la continuité des services sont des enjeux majeurs. De ce fait, nous avons décidé d’introduire une nouvelle protection visant à réduire l’impact constaté des brute-force. Ainsi, lorsque nous détectons plus de 6 tentatives d’authentification à la page « wp-login.php » durant un certain laps de temps, l’adresse IP source sera automatiquement bannie durant 10 à 30 minutes. La protection est d’ores et déjà en place sur l’ensemble des serveurs mutualisés. Elle sera également installée sur les serveurs privés et serveurs dédiés à la demande du client ou à l’initiative de nos administrateurs système.

Nous vous recommandons également

  • Assurez-vous que votre installation de WordPress (y compris les plugins + thèmes) est à jour
  • Utilisez un mot de passe fort (au moins 8 caractères, avec des minuscules, des majuscules, des chiffres et des caractères spéciaux)
  • Utilisez un mot de passe unique et différent pour chacun de vos sites
  • Limitez le nombre de tentatives d’identification à l’admin
    le plugin WordPress Limit Login Attempts permet de réaliser cela simplement
  • Restreindre l’accès à la page wp-login.php
    si vous disposez d’une adresse IP fixe avec votre connexion internet, vous pouvez modifier le fichier « .htaccess » situé à la racine de votre site et ajouter le contenu suivant :

    <FilesMatch wp-login.php>
    Order Allow,Deny
    Allow from xxx.xxx.xxx.xxx
    Deny from all
    </FilesMatch>

    remplacer xxx.xxx.xxx.xxx par votre adresse IP fixe

Rejoindre la conversation

4 commentaires

  1. Bonjour Vince,

    La sécurité mise en place sur nos infrastructures permet de limiter les tentatives de brute-force.

    Nous recommandons néanmoins l’installation de ce genre de plugin afin de renforcer la sécurité générale de votre blog et afin que vous ayez une certaine vision de l’activité générée.
    Vous êtes bien entendu libre de choisir un autre plugin permettant de réaliser une supervision et éventuellement un blocage lorsqu’il y a plusieurs tentatives de connexions à votre administration.

    La mise en place d’un tel plugin reste facultatif, les points les plus importants étant le choix d’un mot de passe fort et la mise à jour régulière de WordPress.

    Bien cordialement,

  2. Bonjour
    Je dois passer mon site en WordPress, est ce que vos informations sont toujours d’actualités?
    Savoir si je vais pas me perdre dans mes ip et me retrouver bloquée pour rien
    Merci d’avance

  3. Bonjour Solene,

    Je vous confirme que ces informations sont toujours d’actualité. Notre système de protection a fait l’objet de plusieurs améliorations depuis sa création. Soyez rassuré, vous n’allez pas vous perdre et il n’y a pas de blocage intempestif. Le fonctionnement du dispositif est totalement transparent.

    Bien cordialement,

Laisser un commentaire

Répondre à Solene Annuler la réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *