Comment protéger votre site des attaques par force brute de WordPress ?
· Время на чтение: 13мин · par
·
Publié
· Mis à jour
Écoutez cet article
Attaque par force brute ou (attaque par force brute) WordPress supprimée avant même que l'attaque ne réussisse. De nombreux administrateurs de sites voient leurs ressources serveur s'épuiser rapidement, leurs sites ne répondent plus, voire se bloquent complètement, ce qui entraîne l'interdiction de vrais utilisateurs. Le problème est que vous pouvez vous sentir impuissant lorsque des robots de force brute obstruent la page de connexion en essayant d'accéder à votre wp-admin.
Mais vous n'êtes pas impuissant. Si vous voyez plusieurs tentatives de connexion infructueuses pour le même utilisateur, éventuellement à partir de plusieurs adresses IP, vous êtes au bon endroit. Dans cet article, je vais vous expliquer à quoi ressemble une attaque par force brute WordPress et comment en protéger votre site.
Le contenu de l'article :
- Qu'est-ce qu'une attaque par force brute WordPress ?
- Comment protéger votre site des attaques par force brute de WordPress ?
- Impact d'une attaque par force brute dans WordPress
- Éliminer les effets de l'itération de WordPress
- Votre site est-il vulnérable aux attaques par force brute ?
- Types d'attaques par force brute
- Autres bonnes pratiques de sécurité
- Production
Qu'est-ce qu'une attaque par force brute WordPress ?
Attaque par force brute WordPress sont des tentatives d'accès non autorisé à votre wp-admin en essayant différentes combinaisons de noms d'utilisateur et de mots de passe. Les pirates ont développé des robots qui bombardent en permanence la page de connexion avec des informations d'identification par essais et erreurs.
Les bots essaient souvent une série de mots de passe de dictionnaire et sont donc également connus sous le nom d'attaques de dictionnaire ou d'attaques de devinettes de mot de passe. Les attaques peuvent être configurées pour provenir de différentes adresses IP et ainsi contourner les mesures de sécurité de base. Il existe d'autres types d'attaques par force brute, dont je parlerai plus tard dans l'article.
Le but d'une attaque par force brute est d'accéder à votre wp-admin, puis d'installer généralement des logiciels malveillants sur votre site.
Comment protéger votre site des attaques par force brute de WordPress ?
C'est effrayant de subir une attaque par force brute, surtout parce qu'il semble que vous ne puissiez rien faire pour l'arrêter. De plus, les effets de l'attaque sont immédiatement visibles. La plupart des sites ont des ressources de serveur limitées qui sont rapidement épuisées, et souvent le site attaqué tombe complètement en panne.
Heureusement, vous pouvez faire beaucoup pour empêcher les attaques par force brute de WordPress. Voici une liste des étapes de force brute de WordPress qui bloqueront la plupart des attaques et atténueront les pires.
1. Limitez le nombre de tentatives de connexion
La meilleure façon d'arrêter une attaque par force brute WordPress est de limiter le nombre de tentatives de connexion. Si le mauvais mot de passe est entré trop de fois sur la page de connexion, le compte est temporairement verrouillé. Cela bloque l'efficacité du robot de force brute car il utilise des essais et des erreurs pour deviner les informations d'identification. De plus, comme le bot ne peut pas essayer plusieurs milliers de combinaisons, aucune requête n'est envoyée au serveur et aucune ressource n'est dépensée pour l'activité du bot.
Par défaut, WordPress autorise un nombre illimité de tentatives de connexion, il est donc principalement sensible aux attaques par force brute. Avec les plugins de sécurité, vous pouvez activer automatiquement les restrictions de protection de connexion.
En effet, si un utilisateur a légalement oublié son mot de passe, il peut résoudre un captcha pour facilement contourner le verrou. Ainsi, limiter les tentatives de connexion empêche les bots de force brute de s'infiltrer sans impact négatif sur les utilisateurs réels.
2. Bloquez les robots malveillants et indésirables
Les attaques par force brute sont presque toujours effectuées par des bots. Les bots sont de petits programmes conçus pour effectuer une tâche simple à plusieurs reprises, ce qui les rend idéaux pour les attaques par force brute. Le bot essaiera un certain nombre d'informations d'identification sur la page de connexion jusqu'à ce qu'il trouve une correspondance.
De plus, plus de 25% de tout le trafic du site Web proviennent de bots, il existe donc de nombreux systèmes de sécurité qui protègent contre les bots. Cependant, il y a une distinction importante à faire ici : tous les bots ne sont pas mauvais. Il y en a de bons comme les autres robots d'exploration des moteurs de recherche et les robots de surveillance de la disponibilité.
Vous voulez qu'ils puissent accéder à votre site, il est donc important d'obtenir une protection contre les bots qui bloque intelligemment uniquement les bots malveillants et indésirables. Il existe de nombreux plugins anti-bots comme All In One WP Security et Wordfence Security, mais par défaut, ils bloquent tous les bots, y compris Googlebot.
3. Installez un pare-feu d'application Web
La protection de connexion est une protection contre les attaques par force brute, tandis que le pare-feu est une protection contre toutes sortes d'attaques ; y compris la force brute.
Les pare-feu utilisent des règles pour bloquer le trafic malveillant et font beaucoup pour protéger votre site Web. De plus, les pare-feu atténuent l'un des problèmes les plus graves des attaques par force brute - une pression excessive sur les ressources du serveur - en bloquant les mauvaises requêtes répétées.
Les attaques par force brute sont souvent configurées pour attaquer à partir de plusieurs adresses IP et peuvent donc contourner la plupart des pare-feu. Cependant, avec un pare-feu, votre site Web fait partie de la protection mondiale de la propriété intellectuelle. Le pare-feu apprend quelles adresses IP sont malveillantes en fonction du comportement enregistré sur plus de 153 470 sites Web et bloque activement leur trafic. Ces mesures réduisent considérablement la quantité de mauvais trafic vers votre site avant même que le bot ne puisse pirater la page de connexion de votre site.
4. Ajouter une authentification à deux facteurs à WordPress
Les noms d'utilisateur et les mots de passe peuvent être devinés, de sorte que l'authentification à deux facteurs - ou même l'authentification à plusieurs facteurs - est apparue comme un moyen d'avoir des éléments dynamiques pour l'authentification des utilisateurs. Avec l'authentification à deux facteurs, un jeton de connexion en temps réel, tel qu'un OTP ou un code QR, est transféré sur l'appareil de l'utilisateur. Il a une durée de vie limitée, généralement autour de 10 à 15 minutes, et ne peut authentifier l'utilisateur que pour cette session.
Un jeton supplémentaire est difficile à pirater en dehors du login et du mot de passe. Cela ajoute donc une autre couche de sécurité à la page de connexion. Vous pouvez installer un plugin comme WP 2FA pour ajouter facilement une authentification à deux facteurs à votre site.
5. Utilisez des mots de passe forts et uniques
La plus grande faille de sécurité est l'utilisateur lui-même et, par conséquent, les mots de passe définis par lui. Les mots de passe sont la plus grande vulnérabilité de tout système de sécurité en raison de la tendance humaine (compréhensible) à définir des mots de passe faciles à mémoriser et à les réutiliser pour différents comptes. Ce sont en fait deux problèmes de mot de passe distincts et différents.
- Tout d'abord, ne réutilisez jamais les mots de passe de différents comptes. De nombreux robots de force brute utilisent des mots de passe volés en raison de fuites de données pour attaquer les pages de connexion.
- Deuxièmement, comme vous le comprenez, un mot de passe tel que "mot de passe" est très facile à deviner. Utilisez un minimum de 12 caractères charabia ou, mieux encore, utilisez une phrase secrète comme mot de passe.
Je recommande d'utiliser un gestionnaire de mots de passe comme LastPass ou 1Password pour éviter la réutilisation des mots de passe et créer des mots de passe forts si nécessaire. Si vous pensez qu'un compte a été compromis, vous pouvez forcer la réinitialisation de tous les mots de passe.
6. Désactiver XML-RPC dans WordPress
Un fichier XML-RPC est un autre moyen d'authentifier les utilisateurs. En d'autres termes, il s'agit d'un moyen alternatif d'accéder à votre panneau d'administration, il est donc également sensible aux attaques par force brute. Il s'agit d'un fichier largement obsolète qui n'est pas activement utilisé par de nombreux plugins ou thèmes. Il est toujours inclus dans WordPress pour la rétrocompatibilité et est donc relativement sûr à désactiver.
7. Vérifiez et supprimez régulièrement les comptes d'utilisateurs inutilisés
Les comptes inactifs sont souvent ciblés par les pirates car il est possible que les utilisateurs ne remarquent pas si leurs comptes sont piratés. De plus, les comptes inactifs ont les mêmes mots de passe pendant de longues périodes, ce qui les rend plus faciles à forcer.
Par conséquent, vérifiez régulièrement les comptes d'utilisateurs et supprimez ceux qui ne sont pas activement utilisés. Pour gagner des points supplémentaires, assurez-vous que chaque compte dispose des droits d'utilisateur minimum requis pour gérer son compte. Par exemple, il est imprudent de faire de tout le monde des administrateurs.
8. Envisagez le géoblocage dans WordPress
Si vous voyez beaucoup de trafic de bots à partir d'un seul endroit, vous pouvez bloquer tout le pays. Cependant, je conseille la prudence lors de l'utilisation du blocage géographique. Ceci n'est utile que si vous ne vous attendez pas du tout à des utilisateurs légitimes de l'emplacement.
Gardez également à l'esprit que cela peut empêcher les bons robots d'entrer dans cette région. Par exemple, Googlebot peut fonctionner à partir de n'importe lequel de leurs serveurs dans le monde, et vous voulez absolument que Googlebot accède à votre site.
9. Désactiver la navigation dans les répertoires
Par défaut, la plupart des principaux dossiers et fichiers WordPress sont accessibles au public via le navigateur. Par exemple, vous pouvez entrer yourwebsite.ru/wp-includes dans la barre d'adresse de votre navigateur, et tout le contenu du dossier sera immédiatement visible.
Bien que la navigation dans les répertoires ne soit pas une vulnérabilité en soi, elle peut révéler des informations sur un site, qui à leur tour peuvent être utilisées pour exploiter des vulnérabilités.
Le dossier /wp-content contient des plugins et des thèmes, et si un pirate peut voir lesquels sont installés et leurs numéros de version, il peut potentiellement trouver et exploiter des vulnérabilités. Il s'agit d'un type d'attaque par force brute moins populaire appelé attaque par force brute. Par conséquent, par mesure de précaution, il est logique de désactiver complètement la navigation dans les répertoires.
Des solutions que vous pouvez découvrir ailleurs mais que vous ne devriez pas mettre en œuvre sur votre site
Il y a beaucoup de conseils de sécurité bien intentionnés mais très mauvais. Donc, en plus de cette liste de ce qu'il faut faire, je vais également énumérer ce qu'il ne faut pas faire.
- Protégez le répertoire wp-admin avec un mot de passe: ne le fais pas du tout. Il apparaît dans presque tous les articles sur la prévention de la force brute. Le mot de passe protégeant le répertoire wp-admin cassera AJAX pour les utilisateurs non enregistrés en restreignant l'accès au fichier admin-ajax.php. AJAX est souvent utilisé pour prendre en charge les aspects dynamiques des sites Web. Disons que vous avez une barre de recherche sur votre site. Si un visiteur l'utilise pour rechercher des produits, seuls les résultats de la recherche seront rechargés, et non l'intégralité du site Web. Cela permet d'économiser beaucoup de ressources et accélère et améliore considérablement l'expérience utilisateur des sites Web. Vous verrez également de nombreuses solutions de contournement pour exclure le fichier admin-ajax.php, mais elles ne fonctionnent pas toujours sans problème. L'essentiel est que l'effort que les solutions de contournement impliquent ne reflète pas un niveau de sécurité proportionné. C'est donc un pas énorme pour un petit avantage supplémentaire.
- changement d'url de connexion wp: Cette astuce se retrouve souvent dans les articles sur le renforcement de la sécurité de WordPress. Cependant, je déconseille fortement de changer l'URL de connexion car il est presque impossible de la récupérer si elle est perdue. (à moins, bien sûr, que vous l'ayez écrit, sur un morceau de papier qui se trouve dans un coffre-fort)
- Évitez d'utiliser admin comme nom d'utilisateur : Étant donné que les bots de force brute essaient efficacement de deviner les combinaisons nom d'utilisateur/mot de passe, il est logique d'éviter les noms d'utilisateur évidents comme admin. WordPress ne vous permet pas de modifier les noms d'utilisateur depuis le panneau de configuration, vous devrez donc installer un plugin pour le faire. Cependant, cette mesure a une valeur limitée et je vous conseille de ne pas y consacrer trop de temps et d'efforts. Il existe d'autres moyens de récupérer les noms d'utilisateur de certains types de sites, tels que les sites d'adhésion. L'effort requis pour avoir des noms d'utilisateur uniques pour les membres, appliquer la politique, puis faire face aux conséquences inévitables des personnes oubliant leurs noms d'utilisateur uniques ne vaut pas l'avantage limité.
Impact d'une attaque par force brute dans WordPress
Il y a deux façons de penser aux conséquences d'une attaque par force brute. Premièrement, ce qui se passe pendant l'attaque, et deuxièmement, ce qui se passe si l'attaque réussit.
En règle générale, la première question ne revient pas souvent dans les attaques, car il y a peu ou pas d'impact sur le site Web lorsqu'il est attaqué. Les conséquences deviennent apparentes après une attaque réussie. Cependant, cela ne s'applique pas aux attaques par force brute.
Que se passe-t-il lorsque votre site est brutalisé ?
Vous verrez un impact immédiat sur les ressources du serveur. Étant donné que l'attaque bombarde votre page de connexion de requêtes, le serveur doit répondre à chacune d'entre elles. Par conséquent, vous verrez toutes les conséquences de l'augmentation de l'utilisation du serveur sur votre site Web : site Web plus lent, certains utilisateurs ne peuvent pas se connecter, temps d'arrêt, indisponibilité, etc. Les hébergeurs Web limitent également rapidement l'utilisation du serveur, car cela affectera leurs performances, en particulier si vous utilisez un hébergement mutualisé.
Que se passe-t-il si une attaque par force brute réussit ?
Si l'attaque réussit, vous pouvez raisonnablement vous attendre à des logiciels malveillants ou à une forme de corruption. Il y a plusieurs raisons pour lesquelles les pirates veulent accéder à votre site, et aucune d'entre elles n'est bonne.
Si cela ne suffit pas, votre site Web pourrait faire partie d'un botnet et être utilisé pour attaquer d'autres sites Web sans votre consentement. Cela peut avoir de graves conséquences, car d'autres systèmes de sécurité marquent votre site Web comme malveillant s'il fait partie d'un botnet.
Éliminer les effets de l'itération de WordPress
Si une attaque par force brute réussit, vous devez supposer le pire : votre site a été compromis. Par conséquent, votre première priorité est de protéger votre site. Voici les principales mesures à prendre pour limiter les dégâts :
- Forcer la déconnexion de tous les utilisateurs et modifier tous les mots de passe ;
- Analysez immédiatement votre site à la recherche de logiciels malveillants.
Une fois que vous vous êtes assuré que votre site est exempt de logiciels malveillants, suivez les étapes de prévention répertoriées ci-dessus.
Votre site est-il vulnérable aux attaques par force brute ?
Oui, tous les systèmes sont vulnérables aux attaques par force brute. En raison de leur mode de fonctionnement, les attaques par force brute peuvent être lancées contre n'importe quel système doté d'une page de connexion. Les sites Web WordPress ne sont pas différents. La popularité de WordPress en fait une cible pour les pirates.
- Tout d'abord, c'est parce que la majeure partie d'Internet est alimentée par WordPress.
- Deuxièmement, parce que certains aspects de WordPress sont bien connus.
Dans un exemple particulièrement pertinent pour les attaques par force brute, WordPress ne limite pas les tentatives de connexion invalides. Vous pouvez résoudre ce problème avec la fonction de restriction de connexion avec des plugins de sécurité.
En outre, de nombreux propriétaires de sites ont tendance à utiliser des noms d'utilisateur et des mots de passe faciles à retenir. Les plus courants incluent admin comme nom d'utilisateur et password1234 ou 12345678 comme mot de passe. Ces facteurs rendent votre site vulnérable aux attaques par force brute.
Types d'attaques par force brute
Les attaques par force brute sont différentes des autres types de menaces et d'attaques telles que les attaques d'ingénierie sociale ou les attaques XSS. Les attaques d'ingénierie sociale telles que le phishing manipulent les gens pour qu'ils partagent leurs informations d'identification en se faisant passer pour une personne de confiance, tandis que les attaques XSS exploitent les vulnérabilités d'un site Web. Les attaques par force brute reposent sur des informations d'identification faibles ou volées pour réussir.
Vous verrez plusieurs variétés d'attaques par force brute dans la nature. Ils suivent tous le même modèle d'essais et d'erreurs, mais les informations d'identification qu'ils essaient ou le mécanisme qu'ils utilisent peuvent différer. Voici quelques-uns des types d'attaques par force brute les plus courants :
- Attaques simples: Les attaques par force brute simples utilisent la logique pour deviner les informations d'identification en fonction de leur connaissance de l'utilisateur, telles que les noms d'animaux ou les anniversaires obtenus à partir, par exemple, de sites de réseaux sociaux.
- Remplir les identifiants: Ce type d'attaque exploite les données piratées en partant du principe que les utilisateurs ont tendance à utiliser les mêmes noms d'utilisateur et mots de passe sur plusieurs systèmes.
- attaque par dictionnaire: Comme leur nom l'indique, ces robots utilisent des fichiers de dictionnaire pour les mots de passe. Il peut s'agir d'un vrai dictionnaire ou d'un dictionnaire spécialement créé pour deviner un mot de passe.
- Attaques de table arc-en-ciel: Semblable à une attaque par dictionnaire, une table arc-en-ciel est un type particulier de liste de dictionnaires. Au lieu d'une liste de mots de passe, la table arc-en-ciel contient une liste de mots de passe hachés.
- Pulvérisation de mot de passe: Ce type d'attaque est logiquement une attaque par force brute. Dans les attaques par force brute typiques, la cible est un nom d'utilisateur spécifique et le jeu de devinettes se joue avec un mot de passe. Inversement, dans la pulvérisation de mots de passe, une liste de mots de passe est vérifiée par rapport à plusieurs noms d'utilisateur pour trouver une correspondance potentielle. Il s'agit d'une attaque plus distribuée que ciblée.
En tant qu'administrateur de site, vous n'avez peut-être pas besoin de connaître les différences entre les différents types d'attaques par force brute. Cependant, ces termes sont souvent utilisés de manière interchangeable, il est donc utile de comprendre les mécanismes sous-jacents.
Autres bonnes pratiques de sécurité
Empêcher les attaques par force brute de WordPress est un excellent objectif, mais ce n'est qu'une partie de la sécurité du site Web. Voici quelques conseils pour vous aider à protéger votre site contre les logiciels malveillants :
- Installez un plugin de sécurité avec un bon scanner et nettoyeur de logiciels malveillants ;
- Gardez tout à jour (thème, plugins, wp);
- Utilisez des sauvegardes quotidiennes.
Production
Les attaques par force brute peuvent mettre un site Web hors service même si elles ne réussissent pas. La meilleure façon de faire face à cette menace potentielle est d'installer un pare-feu avec une protection intégrée contre les bots.
Même si une attaque par force brute réussit, le pare-feu vous aidera à détecter rapidement les logiciels malveillants et à les supprimer. Comme pour toutes les infections, une action rapide limitera grandement les dégâts.
Lire cet article :
- Comment bloquer un pays dans WordPress ?
- WordPress SQL Injection : Un guide complet pour la protection
Merci d'avoir lu : SEO HELPER | NICOLA.TOP
