Plusieurs sources majeures ont confirmé que des attaques par force brute massives sont actuellement ciblées sur les sites WordPress et Joomla. HostGator, InMotion Hosting, LiquidWeb, et bien d'autres ont informé leurs clients concernant ce problème. Le botnet des pirates contient plus de 90 000 adresses IP différentes, et ils s'attaquent aux débutants WordPress qui font des erreurs très courantes. Oui, tout cela semble effrayant, voici donc ce que vous devez faire pour réduire vos chances d'être piraté.
1. Arrêtez d'utiliser le nom d'utilisateur admin
Souvent, les débutants utilisent des noms d'utilisateur très courants tels que admin, administrator, test, root, etc. Nos amis de Sucuri ont signalé que ces noms d'utilisateur sont actuellement fortement ciblés. Si vous avez un nom d'utilisateur WordPress générique tel que admin, vous devriez le changer immédiatement.
Nous avons un tutoriel facile à suivre qui vous montrera comment changer votre nom d'utilisateur dans WordPress.
2. Utilisez un mot de passe fort
S'il vous plaît, s'il vous plaît, s'il vous plaît utilisez un mot de passe très fort. Ces attaques par force brute tentent de cibler tous les mots de passe les plus courants que les gens utilisent. Un mot de passe fort contient des lettres majuscules et minuscules, des chiffres et des symboles. N'utilisez pas le même mot de passe à plus d'un endroit. Il n'est jamais trop tard pour commencer à utiliser une solution de gestion de mots de passe comme 1Password ou LastPass.
3. Effectuez de bonnes sauvegardes
La meilleure sécurité que vous puissiez avoir pour votre site Web est une excellente solution de sauvegarde. Nous utilisons VaultPress, qui est un service mensuel. Cependant, si vous n'aimez pas payer mensuellement, nous vous recommandons vivement d'obtenir BackupBuddy.
Veuillez conserver de bonnes sauvegardes de votre site car la plupart des sociétés d'hébergement ne le font pas.
4. Utilisez l'authentification à deux facteurs
Commencez à utiliser l'authentification à deux facteurs. De cette façon, même si quelqu'un devine votre mot de passe, il ne pourra pas accéder à votre site car il n'aura pas le code de sécurité. Nous vous recommandons vivement de le faire dès maintenant.
5. Protégez par mot de passe WP-Admin et limitez les tentatives de connexion
Nous recommandons toujours à nos utilisateurs de limiter les tentatives de connexion. Cependant, cela seul ne peut pas protéger contre toutes les attaques car ce botnet contient 90 000 adresses IP. Une autre chose que vous pouvez faire est de protéger par mot de passe votre répertoire WP-admin. Vous pouvez également limiter votre fichier wp-login.php à une adresse IP spécifique.
6. Commencez à utiliser Sucuri
Si vous n'utilisez pas Sucuri, nous vous recommandons vivement de commencer à l'utiliser. Ils sont toujours au fait des choses, et il n'y a personne d'autre en qui nous aurions plus confiance en matière de sécurité WordPress. Voir 5 raisons pour lesquelles nous utilisons Sucuri.
Nous ne sommes pas sûrs de l'objectif final de ces attaques, mais quel qu'il soit, nous détestons voir nos utilisateurs en être victimes. Veuillez maintenir vos sites à jour et suivre tous les conseils ci-dessus.
Jiří Vaněk
Personnellement, je recommanderais une autre astuce. J'utilise un plugin GEO-IP pour protéger la zone d'administration, où pour certains sites Web, l'accès est restreint à certains pays uniquement, et pour d'autres, il est limité à des adresses IP spécifiques. Cela offre une protection assez bonne car lorsque l'accès à l'administration est restreint à des adresses IP spécifiques, un attaquant est relativement malchanceux.
Pour ceux qui ne veulent pas utiliser de plugin, vous pouvez restreindre l'accès à l'administration à certaines adresses IP en utilisant le fichier .htaccess. C'est assez simple mais une solution très efficace.
Janet
Je travaille à sécuriser des sites pour mes clients et j'ai besoin de protéger par mot de passe leur dossier wp-admin. J'ai un problème et j'espère que quelqu'un pourra m'aider. Lorsque je vais dans cPanel pour protéger par mot de passe ce dossier, j'obtiens une erreur concernant l'installation des extensions Frontpage, ce qui empêche la protection par mot de passe. Lorsque je vais pour désinstaller les extensions, j'obtiens ce message :
Avertissement : L'installation ou la désinstallation des extensions FrontPage entraînera la perte de tous les fichiers ".htaccess". Toutes les modifications que vous avez apportées à vos fichiers ".htaccess" seront perdues.
Si je faisais une sauvegarde .htacess comme indiqué sur cette page https://014.leahstevensyj.workers.dev/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ , serait-ce suffisant ?
Merci pour votre aide et toutes vos informations TRÈS utiles !
Personnel éditorial
Tant que vous avez des sauvegardes, tout devrait aller.
Admin
Janet
Merci ! J'ai eu quelques problèmes avec le .htacess, mais notre hébergeur a tout réparé pour nous. Merci beaucoup pour votre aide !
Sarah B R
Bonjour,
J'ai suivi vos directives pour l'authentification à deux facteurs et cela a bien fonctionné la première fois il y a quelques jours.
Je voulais me connecter aujourd'hui et je suis allé sur l'application sur mon téléphone et le compte WordPress que j'avais ajouté est introuvable. Je ne peux donc plus me connecter.
Merci pour votre aide.
Personnel éditorial
That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in
Admin
Edwin Lynch
I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam
Ratnesh
Le verrouillage de connexion est le meilleur plugin pour sécuriser un blog Wordpress contre les attaques par force brute
Robert Connor
De bons conseils, mon panneau d'administration de site est bombardé quotidiennement de tentatives de connexion !
Jane
Comment savoir si vous avez été victime d'une attaque par force brute ? Mon client a récemment eu des problèmes avec son site WP, alors je me demande si cela y est lié.
Jennifer
J'ai un site qui est actuellement attaqué par force brute. C'est IMPITOYABLE. Le site utilise SUCURI (Dieu merci !) et ils ont déjà effectué un nettoyage pour nous.
Merci, Syed & équipe, pour toutes ces excellentes informations. Je viens d'ajouter l'authentification à deux facteurs et je mettrai le reste de vos suggestions en place dès que possible.
Esther
Merci pour le lien vers la vidéo gratuite, j'ai commencé mon site WP hier, après avoir géré un site Blogger, et ça me donne du fil à retordre ! Je suis assez calé en technologie, donc je n'ai aucune idée de quel est mon problème, juste que j'en ai un ! lol
Keith Davis
Salut les gars
Lisez l'article sur le site web de Sucuri – je suis avec ces gars et j'utilise quelques autres mesures de sécurité.
Je viens de vous mentionner sur #WordPress
Scott Hack
J'aimerais beaucoup voir une limite de connexions ajoutée au cœur pour la 3.6