Comment protéger votre site WordPress des attaques par force brute : étape par étape

Dernière mise à jour le 30 Jan 2023
Comment protéger votre site WordPress des attaques par force brute : étape par étape
Voulez-vous protéger votre site WordPress des attaques par force brute? Ces attaques peuvent ralentir votre site Web, le rendre inaccessible et même déchiffrer vos mots de passe pour installer des logiciels malveillants sur votre site Web. Dans cet article, nous allons vous montrer comment protéger votre site WordPress contre les attaques par force brute.

Qu’est-ce qu’une attaque par force brute?

L’attaque par « Brute Force » ou « Force Brute » est une méthode de piratage très ancienne qui utilise des techniques d’essai et d’erreur pour pénétrer dans un site Web, un réseau ou un système informatique. En gros tester tous les mots de passes possibles…
Les pirates utilisent un logiciel automatisé pour envoyer un grand nombre de requêtes au système cible. A chaque requête, ces logiciels tentent de deviner les informations nécessaires pour accéder, comme les mots de passe ou les codes PIN.

Ces outils peuvent également se déguiser en utilisant des adresses IP et des emplacements différents, ce qui complique la tâche du système ciblé pour identifier et bloquer ces activités suspectes.

Une attaque par force brute réussie peut permettre aux pirates d’accéder à la zone d’administration de votre site Web. Ils peuvent installer des portes dérobées, des logiciels malveillants, voler des informations utilisateur et supprimer tout ce qui se trouve sur votre site.

Même lorsque les attaques par force brute finissent par être infructueuses, elles peuvent causer des ravages, par exemple en ralentissant vos serveurs d’hébergement WordPress et ou en les bloquant en monopolisant les ressources. Cela étant dit, voyons comment protéger votre site WordPress de ces attaques.

>>> A lire aussi: Les 14 meilleurs scanners de sécurité WordPress pour détecter les codes malveillants et les hacks

Étape 1. Installez les mises à jour de WordPress

Certaines attaques courantes par force brute ciblent activement les vulnérabilités connues des anciennes versions de WordPress, des plugins WordPress populaires ou des thèmes.

Les principaux plugins WordPress sont open source et les vulnérabilités sont souvent corrigées très rapidement avec une mise à jour.

Toutefois, si vous ne parvenez pas à installer les mises à jour, vous laissez votre site Web vulnérable à ces anciennes menaces qui sont connues et exploitées par les pirates qui développent ces logiciels.

Allez simplement à la page Tableau de bord » Mises à jour de la zone d’administration de WordPress pour vérifier les mises à jour disponibles. Cette page affiche toutes les mises à jour pour votre noyau WordPress, vos plugins et vos thèmes.

Si vous n’avez pas le temps de vous en occuper tout le temps et que vous préférez vous concentrer sur votre activité, nous proposons à nos clients une prestation de contrats de maintenance annuelle qui contient beaucoup de choses dont cette mise à jour régulière de WordPress de de tous ses modules. Votre site sera entre les mains de développeurs expérimentés qui sauront garder votre site web et vos modules tout le temps sur les dernières versions, en étant sécurisé et optimisé.

Cette étape est essentielle et protégera votre site de la majorité des vulnérabilités, nous vous recommandons donc de confier cette tâche à des professionnels, que ce soit nous ou une autre équipe, c’est une tâche qui demande beaucoup de rigueur et d’expérience pour faire les mises à jour régulièrement dans le temps et dans les règles de l’art.

>>> A lire aussi: Comment fonctionne WordPress dans les coulisses

Étape 2. Protégez le répertoire d’administration WordPress

La plupart des attaques par force brute sur un site WordPress tentent d’accéder à la zone d’administration de WordPress. Comme l’emplacement du répertoire d’administration est connus de tous, vous pouvez ajouter une protection par mot de passe sur votre répertoire d’administration WordPress au niveau du serveur. Cela bloquerait les accès non autorisés à votre zone d’administration WordPress.

Créez d’abord le fichier .htpasswds. Vous pouvez le faire facilement avec ce générateur. http://www.htaccesstools.com/htpasswd-generator/ Placez de ficher endehors du répertoire /public_html/ .

Un bon emplacement serait: home/user/.htpasswds/public_html/wp-admin/passwd/

Puis, créez un fichier .htaccess et placez-le répertoire /wp-admin/. Puis ajoutez dedans le code suivant:

AuthName « Administrateur Seulement »
AuthUserFile /home/votre-repertoire/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user mettez-votre-nom-utilisateur-ici

Vous devez placer votre nom d’utilisateur dans le code et n’oubliez pas de mettre à jour le chemin correcte du AuthUserFile.

Si vous rencontrez une erreur 404 ou un message d’erreur contenant trop de redirections, vous devez ajouter la ligne suivante à votre WordPress .htaccess.file.

ErrorDocument 401 default

Étape 3. Ajoutez une authentification à deux facteurs dans WordPress

L’authentification à deux facteurs ajoute une couche de sécurité supplémentaire à votre écran de connexion WordPress. Fondamentalement, les utilisateurs auront besoin de leur téléphone pour générer un code d’authentification unique avec leurs identifiants de connexion pour accéder à la zone d’administration de WordPress.

L’ajout d’une authentification à deux facteurs compliquera l’accès des pirates, même s’ils sont en mesure de déchiffrer votre mot de passe WordPress.

>>> A lire aussi: Comment protéger votre site web contre les hacks

Étape 4. Utilisez des mots de passe forts uniques

Les mots de passe sont les clés pour accéder à votre site WordPress. Vous devez utiliser des mots de passe forts et uniques pour tous vos comptes. Un mot de passe fort est une combinaison de chiffres, de lettres et de caractères spéciaux.

Il est important que vous utilisiez des mots de passe forts non seulement pour vos comptes d’utilisateur WordPress, mais également pour le FTP, le panneau de configuration de l’hébergement Web et votre base de données WordPress.

La plupart des débutants nous demandent comment se souvenir de tous ces mots de passe uniques? Eh bien, vous n’en avez pas besoin. Il existe d’excellentes applications de gestion de mots de passe disponibles qui stockeront en toute sécurité vos mots de passe et les complèteront automatiquement à votre place.
Ici nous recommandons d’utiliser par exemple LastPass l’outil qui dispose d’une extension pour votre navigateur et une app Android et iOS, ce qui vous permettra de toujours garder vos mots de passe sur vous tout en étant des mots de passe robustes et sécurisés.

>>> A Lire aussi: Le problème des mots de passe

Étape 5. Désactivez la navigation dans l’annuaire

Par défaut, lorsque votre serveur Web ne trouve pas de fichier d’index (c’est-à-dire un fichier tel que index.php ou index.html), il affiche automatiquement une page d’index avec le contenu du répertoire.

Avec une trop grande transparence de ce type, lors d’une attaque par force brute, les pirates peuvent utiliser la navigation dans les répertoires pour rechercher les fichiers vulnérables. Pour résoudre ce problème, vous devez ajouter la ligne suivante à la fin de votre fichier .htaccess de votre WordPress

Options -Indexes

Étape 6. Désactivez l’exécution de fichiers PHP dans des dossiers WordPress spécifiques

Les pirates informatiques voudront peut-être installer et exécuter un script PHP dans vos dossiers WordPress. WordPress est écrit principalement en PHP, ce qui signifie que vous ne pouvez pas le désactiver dans tous les dossiers WordPress.

Cependant, certains dossiers ne nécessitent aucun script PHP. Par exemple, votre dossier de téléchargement WordPress situé dans /wp-content /uploads.

Vous pouvez désactiver en toute sécurité l’exécution de PHP dans le dossier «Uploads», qui est un endroit commun utilisé par les pirates pour cacher des fichiers de porte dérobée.

Tout d’abord, vous devez ouvrir un éditeur de texte comme Notepad sur votre ordinateur et coller le code suivant:

<Files *.php>
deny from all
</Files>

Enregistrez maintenant ce fichier au format .htaccess et chargez-le dans /wp-content/uploads/folders au sein de votre site Web à l’aide d’un client FTP.

Étape 7. Installez et configurez un plugin de sauvegarde WordPress

Les sauvegardes sont l’outil le plus important de votre arsenal de sécurité WordPress. Si tout échoue, les sauvegardes vous permettront de restaurer facilement votre site Web.

La plupart des sociétés d’hébergement offrent des options de sauvegarde limitées. Cependant, ces sauvegardes ne sont pas garanties et vous êtes seul responsable de vos propres sauvegardes.

Il existe plusieurs grands plugins de sauvegarde WordPress, qui vous permettent de planifier des sauvegardes automatiques.

Nous vous recommandons d’utiliser UpdraftPlus. Il est adapté aux débutants et vous permet d’installer rapidement des sauvegardes automatiques et de les stocker sur des sites distants tels que Google Drive, Dropbox, Amazon S3, etc.

Il est important de stocker ces sauvegardes ailleurs, en dehors de votre installation WordPress, de telle façon que le pirates n’y ont pas accés.

>>> A lire aussi: 6 Conseils pour protéger votre site contre les robots de backups

Étape 8. Utiliser un Web Service ou un Firewall intelligent

Les attaques par force brute, même si elle sont infructueuses, mettent beaucoup de charge sur vos serveurs.

Même celles qui échouent peuvent ralentir votre site Web ou complètement bloquer le serveur. C’est pourquoi il est important de les bloquer avant qu’ils n’exécutent WordPress et les décourager.
Pour ce faire, vous aurez besoin d’une solution de pare-feu de site Web. Un pare-feu filtre le mauvais trafic et l’empêche d’accéder à votre site.

Le leader du marché est la solution sucuri, sinon il y a aussi la solution intelligente WR Protect

Il est à noter que si vous prenez un contrat de maintenance annuel avec nous, l’abonnement à WR Protect sera inclus parmis les nombreux points de la prestation.

Pour finir

Tous les conseils ci-dessus vous aideront à protéger votre site WordPress contre les attaques par force brute. Nous espérons que cet article vous a aidé à apprendre comment protéger votre site WordPress. Gardez en tête que le risque zéro n’existe pas, et plus vous entreprenerez ce genre de mesures plus votre site sera robuste aux attaques, la mise à jour aux dernières versions étant l’essentiel de la prévention.

Excellent
Basée sur 20 avis
Sami Yassine Turki
Sami Yassine Turki
J'ai eu un plaisir à travailler, en tant que secrétaire général de l'association Lina Ben Mhenni, avec l'agence AURONE qui a assuré avec beaucoup de professionnalisme le développement de notre site web.
Gwladys Lavergne
Gwladys Lavergne
Réactifs, attentifs, et très compétents nous sommes ravies de travailler avec Aurone qui sait parfaitement répondre à nos attentes que ce soit en terme de design graphique ou bien dans leurs compétences techniques ! Je recommande vivement leur accompagnement !
Perrine Amal
Perrine Amal
Aurone est une entreprise humaine, réactive et efficace. Travaux réalisés rapidement et avec célérité. Je recommande vivement et espère poursuivre cette collaboration à l'avenir.
Stephanie Willman
Stephanie Willman
Nous travaillons avec Aurone dans le cadre de notre travail depuis 2016 et en sommes ravies. Au début nous avons commencer à solliciter leurs services pour un projet en Tunisie, et la qualité de leur travail a fait que nous sollicitons Aurone même pour des services dans d'autres pays. L'équipe est dynamique, créative, réactive et enthousiaste. Ils ont toujours bien compris nos besoins pour nos diverses et complexes présences web, et font de leur mieux pour y répondre. Plateformes web, ateliers de formation sur les plateformes, vidéos tutoriels, et conception graphique de divers produits ne sont que quelques uns des excellentes services fournies par Aurone. La qualité technique des prestations web sont top et nous recevons toujours de bons conseils que ce soit au niveau technique que graphique. Nous les recommandons fortement.
Raphaël Gianasso
Raphaël Gianasso
Pour vos projets e-commerce et marketing digital, les collaborateurs d'Aurone font preuve d'écoute, d'expérience, de disponibilité et de réactivité. Une équipe sur laquelle on peut compter et pour laquelle la satisfaction du client est primordiale
Samuel Dechomets
Samuel Dechomets
J'ai trouvé chez Aurone tout ce que l'on peut attendre d'une bonne agence web : qualité, réactivité, souplesse, pertinence... Bravo et merci
Karim Djebbar
Karim Djebbar
L'ensemble de notre réseau a travaillé pendant plusieurs années avec l'agence Aurone. Quelques réglages ont été nécessaires au début de notre partenariat à l'époque. La qualité a rapidement été au rendez-vous. Les équipes ont travaillé de façon très professionnelle, et adaptée aux exigences de la clientèle française avec qui nous les avons rapidement mis en relation. Beaucoup d'agilité de la part de son fondateur. Merci pour ces belles années !
chedlia by
chedlia by
Equipe très réactive et professionnelle qui n'hésite pas à apporter son conseil et support.
Mehdi Gharbi
Mehdi Gharbi
Excellent service clé en main. Aurone m'a fait un site web parmi les meilleurs sur le marché et continu à travailler sur le référencement, le suivi du site, analyse etc... Excellent service et une réactivité hors norme. Je recommande vivement

    En Tunisie

    27 Avenue Taieb Mhiri
    Immeuble Yasmina, bureau 17
    2080 Ariana, Tunis, Tunisie

    +216 22 774 450

    En France

    Centre d'affaires TODA 2
    Rue du Rhin Napoléon
    67100 Strasbourg, France

    +33 9 80 80 10 18

    En Suisse

    Rue du Port Franc, 2A
    1003 Lausanne
    Suisse

     [email protected]

    En Belgique

    Avenue Mutsaard, 41
    1020 Bruxelles
    Belgique

    +32 2 588 07 54

    Aurone Création de site Internet & e-Commerce

    Réalisé avec à Tunis | Copyright © 2007-2022 Aurone

      Téléchargement du module

      Laissez-nous votre prénom et votre adresse de courriel pour vous envoyer le module par courriel:

      Nous ne spammons jamais et nous ne vendons ou prêtons jamais nos listes de courriels.


        Pssssst Attendez...

        Laissez nous votre meilleure adresse email et vous recevrez le premier nos prochaines publications...

        Nous ne spammons jamais et nous ne vendons ou prêtons jamais nos listes de courriels.


          Recevoir chaque semaine notre publication en avant première.

          Rejoignez nos 153 845 fidèles lecteurs et restez informés concernant le domaine du développement web, en étant le premier à recevoir notre publication chaque semaine.

          Nous ne spammons jamais et nous ne vendons ou prêtons jamais nos listes de courriels.