L’attaque par « Brute Force » ou « Force Brute » est une méthode de piratage très ancienne qui utilise des techniques d’essai et d’erreur pour pénétrer dans un site Web, un réseau ou un système informatique. En gros tester tous les mots de passes possibles…
Les pirates utilisent un logiciel automatisé pour envoyer un grand nombre de requêtes au système cible. A chaque requête, ces logiciels tentent de deviner les informations nécessaires pour accéder, comme les mots de passe ou les codes PIN.
Ces outils peuvent également se déguiser en utilisant des adresses IP et des emplacements différents, ce qui complique la tâche du système ciblé pour identifier et bloquer ces activités suspectes.
Une attaque par force brute réussie peut permettre aux pirates d’accéder à la zone d’administration de votre site Web. Ils peuvent installer des portes dérobées, des logiciels malveillants, voler des informations utilisateur et supprimer tout ce qui se trouve sur votre site.
Même lorsque les attaques par force brute finissent par être infructueuses, elles peuvent causer des ravages, par exemple en ralentissant vos serveurs d’hébergement WordPress et ou en les bloquant en monopolisant les ressources. Cela étant dit, voyons comment protéger votre site WordPress de ces attaques.
>>> A lire aussi: Les 14 meilleurs scanners de sécurité WordPress pour détecter les codes malveillants et les hacks
Certaines attaques courantes par force brute ciblent activement les vulnérabilités connues des anciennes versions de WordPress, des plugins WordPress populaires ou des thèmes.
Les principaux plugins WordPress sont open source et les vulnérabilités sont souvent corrigées très rapidement avec une mise à jour.
Toutefois, si vous ne parvenez pas à installer les mises à jour, vous laissez votre site Web vulnérable à ces anciennes menaces qui sont connues et exploitées par les pirates qui développent ces logiciels.
Allez simplement à la page Tableau de bord » Mises à jour de la zone d’administration de WordPress pour vérifier les mises à jour disponibles. Cette page affiche toutes les mises à jour pour votre noyau WordPress, vos plugins et vos thèmes.
Si vous n’avez pas le temps de vous en occuper tout le temps et que vous préférez vous concentrer sur votre activité, nous proposons à nos clients une prestation de contrats de maintenance annuelle qui contient beaucoup de choses dont cette mise à jour régulière de WordPress de de tous ses modules. Votre site sera entre les mains de développeurs expérimentés qui sauront garder votre site web et vos modules tout le temps sur les dernières versions, en étant sécurisé et optimisé.
Cette étape est essentielle et protégera votre site de la majorité des vulnérabilités, nous vous recommandons donc de confier cette tâche à des professionnels, que ce soit nous ou une autre équipe, c’est une tâche qui demande beaucoup de rigueur et d’expérience pour faire les mises à jour régulièrement dans le temps et dans les règles de l’art.
>>> A lire aussi: Comment fonctionne WordPress dans les coulisses
La plupart des attaques par force brute sur un site WordPress tentent d’accéder à la zone d’administration de WordPress. Comme l’emplacement du répertoire d’administration est connus de tous, vous pouvez ajouter une protection par mot de passe sur votre répertoire d’administration WordPress au niveau du serveur. Cela bloquerait les accès non autorisés à votre zone d’administration WordPress.
Créez d’abord le fichier .htpasswds. Vous pouvez le faire facilement avec ce générateur. http://www.htaccesstools.com/htpasswd-generator/ Placez de ficher endehors du répertoire /public_html/ .
Un bon emplacement serait: home/user/.htpasswds/public_html/wp-admin/passwd/
Puis, créez un fichier .htaccess et placez-le répertoire /wp-admin/. Puis ajoutez dedans le code suivant:
AuthName « Administrateur Seulement »
AuthUserFile /home/votre-repertoire/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user mettez-votre-nom-utilisateur-ici
Vous devez placer votre nom d’utilisateur dans le code et n’oubliez pas de mettre à jour le chemin correcte du AuthUserFile.
Si vous rencontrez une erreur 404 ou un message d’erreur contenant trop de redirections, vous devez ajouter la ligne suivante à votre WordPress .htaccess.file.
ErrorDocument 401 default
L’authentification à deux facteurs ajoute une couche de sécurité supplémentaire à votre écran de connexion WordPress. Fondamentalement, les utilisateurs auront besoin de leur téléphone pour générer un code d’authentification unique avec leurs identifiants de connexion pour accéder à la zone d’administration de WordPress.
L’ajout d’une authentification à deux facteurs compliquera l’accès des pirates, même s’ils sont en mesure de déchiffrer votre mot de passe WordPress.
>>> A lire aussi: Comment protéger votre site web contre les hacks
Les mots de passe sont les clés pour accéder à votre site WordPress. Vous devez utiliser des mots de passe forts et uniques pour tous vos comptes. Un mot de passe fort est une combinaison de chiffres, de lettres et de caractères spéciaux.
Il est important que vous utilisiez des mots de passe forts non seulement pour vos comptes d’utilisateur WordPress, mais également pour le FTP, le panneau de configuration de l’hébergement Web et votre base de données WordPress.
La plupart des débutants nous demandent comment se souvenir de tous ces mots de passe uniques? Eh bien, vous n’en avez pas besoin. Il existe d’excellentes applications de gestion de mots de passe disponibles qui stockeront en toute sécurité vos mots de passe et les complèteront automatiquement à votre place.
Ici nous recommandons d’utiliser par exemple LastPass l’outil qui dispose d’une extension pour votre navigateur et une app Android et iOS, ce qui vous permettra de toujours garder vos mots de passe sur vous tout en étant des mots de passe robustes et sécurisés.
>>> A Lire aussi: Le problème des mots de passe
Par défaut, lorsque votre serveur Web ne trouve pas de fichier d’index (c’est-à-dire un fichier tel que index.php ou index.html), il affiche automatiquement une page d’index avec le contenu du répertoire.
Avec une trop grande transparence de ce type, lors d’une attaque par force brute, les pirates peuvent utiliser la navigation dans les répertoires pour rechercher les fichiers vulnérables. Pour résoudre ce problème, vous devez ajouter la ligne suivante à la fin de votre fichier .htaccess de votre WordPress
Options -Indexes
Les pirates informatiques voudront peut-être installer et exécuter un script PHP dans vos dossiers WordPress. WordPress est écrit principalement en PHP, ce qui signifie que vous ne pouvez pas le désactiver dans tous les dossiers WordPress.
Cependant, certains dossiers ne nécessitent aucun script PHP. Par exemple, votre dossier de téléchargement WordPress situé dans /wp-content /uploads.
Vous pouvez désactiver en toute sécurité l’exécution de PHP dans le dossier «Uploads», qui est un endroit commun utilisé par les pirates pour cacher des fichiers de porte dérobée.
Tout d’abord, vous devez ouvrir un éditeur de texte comme Notepad sur votre ordinateur et coller le code suivant:
<Files *.php>
deny from all
</Files>
Enregistrez maintenant ce fichier au format .htaccess et chargez-le dans /wp-content/uploads/folders au sein de votre site Web à l’aide d’un client FTP.
Les sauvegardes sont l’outil le plus important de votre arsenal de sécurité WordPress. Si tout échoue, les sauvegardes vous permettront de restaurer facilement votre site Web.
La plupart des sociétés d’hébergement offrent des options de sauvegarde limitées. Cependant, ces sauvegardes ne sont pas garanties et vous êtes seul responsable de vos propres sauvegardes.
Il existe plusieurs grands plugins de sauvegarde WordPress, qui vous permettent de planifier des sauvegardes automatiques.
Nous vous recommandons d’utiliser UpdraftPlus. Il est adapté aux débutants et vous permet d’installer rapidement des sauvegardes automatiques et de les stocker sur des sites distants tels que Google Drive, Dropbox, Amazon S3, etc.
Il est important de stocker ces sauvegardes ailleurs, en dehors de votre installation WordPress, de telle façon que le pirates n’y ont pas accés.
>>> A lire aussi: 6 Conseils pour protéger votre site contre les robots de backups
Les attaques par force brute, même si elle sont infructueuses, mettent beaucoup de charge sur vos serveurs.
Même celles qui échouent peuvent ralentir votre site Web ou complètement bloquer le serveur. C’est pourquoi il est important de les bloquer avant qu’ils n’exécutent WordPress et les décourager.
Pour ce faire, vous aurez besoin d’une solution de pare-feu de site Web. Un pare-feu filtre le mauvais trafic et l’empêche d’accéder à votre site.
Le leader du marché est la solution sucuri, sinon il y a aussi la solution intelligente WR Protect
Il est à noter que si vous prenez un contrat de maintenance annuel avec nous, l’abonnement à WR Protect sera inclus parmis les nombreux points de la prestation.
Tous les conseils ci-dessus vous aideront à protéger votre site WordPress contre les attaques par force brute. Nous espérons que cet article vous a aidé à apprendre comment protéger votre site WordPress. Gardez en tête que le risque zéro n’existe pas, et plus vous entreprenerez ce genre de mesures plus votre site sera robuste aux attaques, la mise à jour aux dernières versions étant l’essentiel de la prévention.
27 Avenue Taieb Mhiri
Immeuble Yasmina, bureau 17
2080 Ariana, Tunis, Tunisie
+216 22 774 450
Centre d'affaires TODA 2
Rue du Rhin Napoléon
67100 Strasbourg, France
+33 9 80 80 10 18
Rue du Port Franc, 2A
1003 Lausanne
Suisse
Avenue Mutsaard, 41
1020 Bruxelles
Belgique
+32 2 588 07 54