Actualités – Dynamix Host

WordPress + wp-login.php – brute-force et DDOS

Écrit par

admin

dans

, ,

Wordpress, comme vous le savez, est l’un des systèmes de gestion de contenu (CMS) les plus populaires. C’est aussi pour cela que WordPress est la cible de nombreuses attaques (SPAM de commentaires, brute-force, hack etc.).

Le phénomène n’est pas nouveau, mais nous observons depuis quelques semaines une nette augmentation des tentatives de brute-force sur les pages « wp-login.php ». L’attaque consiste à tester de très nombreux couples de nom d’utilisateur et mot de passe afin d’accéder au tableau de bord WordPress. Ces requêtes sont envoyées de manière automatique depuis un botnet important composé de plusieurs dizaines de milliers de serveurs corrompus sur la toile.

Dans la mesure où vous utilisez un mot de passe fort, le risque peut être considéré comme faible.

Cependant, le nombre élevé de requêtes simultanées peut provoquer des ralentissements et parfois même s’apparenter à une attaque DDOS provoquant l’indisponibilité du site.

Notre action

La sécurité et la continuité des services sont des enjeux majeurs. De ce fait, nous avons décidé d’introduire une nouvelle protection visant à réduire l’impact constaté des brute-force. Ainsi, lorsque nous détectons plus de 6 tentatives d’authentification à la page « wp-login.php » durant un certain laps de temps, l’adresse IP source sera automatiquement bannie durant 10 à 30 minutes. La protection est d’ores et déjà en place sur l’ensemble des serveurs mutualisés. Elle sera également installée sur les serveurs privés et serveurs dédiés à la demande du client ou à l’initiative de nos administrateurs système.

Nous vous recommandons également

  • Assurez-vous que votre installation de WordPress (y compris les plugins + thèmes) est à jour
  • Utilisez un mot de passe fort (au moins 8 caractères, avec des minuscules, des majuscules, des chiffres et des caractères spéciaux)
  • Utilisez un mot de passe unique et différent pour chacun de vos sites
  • Limitez le nombre de tentatives d’identification à l’admin
    le plugin WordPress Limit Login Attempts permet de réaliser cela simplement
  • Restreindre l’accès à la page wp-login.php
    si vous disposez d’une adresse IP fixe avec votre connexion internet, vous pouvez modifier le fichier « .htaccess » situé à la racine de votre site et ajouter le contenu suivant :

    <FilesMatch wp-login.php>
Order Allow,Deny
Allow from xxx.xxx.xxx.xxx
Deny from all
</FilesMatch>

    remplacer xxx.xxx.xxx.xxx par votre adresse IP fixe

Commentaires

4 réponses à “WordPress + wp-login.php – brute-force et DDOS”

  1. Avatar de Vince
    Vince

    Bonjour, faut -il absolument installer ce genre de plugin de protection, ou la sécurité que vous avez mise en place sur vos serveur suffit-elle ?

    Répondre
  2. Avatar de DH
    DH

    Bonjour Vince,

    La sécurité mise en place sur nos infrastructures permet de limiter les tentatives de brute-force.

    Nous recommandons néanmoins l’installation de ce genre de plugin afin de renforcer la sécurité générale de votre blog et afin que vous ayez une certaine vision de l’activité générée.
    Vous êtes bien entendu libre de choisir un autre plugin permettant de réaliser une supervision et éventuellement un blocage lorsqu’il y a plusieurs tentatives de connexions à votre administration.

    La mise en place d’un tel plugin reste facultatif, les points les plus importants étant le choix d’un mot de passe fort et la mise à jour régulière de WordPress.

    Bien cordialement,

    Répondre
  3. Avatar de Solene
    Solene

    Bonjour
    Je dois passer mon site en WordPress, est ce que vos informations sont toujours d’actualités?
    Savoir si je vais pas me perdre dans mes ip et me retrouver bloquée pour rien
    Merci d’avance

    Répondre
  4. Avatar de DH
    DH

    Bonjour Solene,

    Je vous confirme que ces informations sont toujours d’actualité. Notre système de protection a fait l’objet de plusieurs améliorations depuis sa création. Soyez rassuré, vous n’allez pas vous perdre et il n’y a pas de blocage intempestif. Le fonctionnement du dispositif est totalement transparent.

    Bien cordialement,

    Répondre

Répondre à Vince Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus de publications