Blog Tool Box

Comment bannir une adresse IP sur son blog ?

Cet article fait suite à un tweet de @boxsociety qui demandait si une adresse IP qui visite presque 600 fois d’affilé la page wp-login.php (qui est la page de login de l’administration de WordPress) de son blog était bien une tentative de piratage.
Il s’agissait d’une attaque par force brute qui consiste à trouver un mot de passe en testant toutes les combinaisons possibles. Lorsque le mot de passe est relativement complexe, il y a quasiment aucune chance de percer celui-ci, en revanche si il est composé de peu de lettres, les risques augmentent dramatiquement.

Voici deux méthodes très simples mais redoutables qui protègeront votre blog d’une attaque de ce type sans aucun problème.

Bannir l’IP : si vous êtes en mesure de connaitre et de voir en direct l’IP qui vous attaque, vous pouvez la bannir et l’empecher d’accéder à votre blog en modifiant comme ceci le fichier .htaccess situé à la racine de votre espace web :

order allow,deny
deny from 127.0.0.1
deny from 127.0.0.2
deny from 127.0.0.3
allow from all

Où 127.0.0.1/2/3 sont les IP à bannir. Cette solution est très efficace sur l’instant mais reste temporaire car les pirates disposent souvent d’adresses IP différentes.

Le plugin pour WordPress : vous pouvez installer le plugin Limit Login Attempts qui permet de bloquer pendant X minutes une personne qui se serait trompée X fois de mot de passe en tentant d’accéder à l’administration du blog. Après X blocages, cette personne se verra encore bloquée pour X heures. L’administrateur pourra également être prévenu par email de la tentative de piratage.

  • Christophe

    Merci pour cette info technique très appréciable.

  • Jack NUMBER

    la méthode de .htaccess est utilisable pour tout site internet pas seulement pour les blogs :)
    mais il est vrai que les pirates possèdent des logiciels permettant de déjouer cette protection simpliste.

    le plugin lui est très bien pensé !

  • Djolhan

    Perso, j’utilise ce plugin : « Login LockDown », celui ci n’envoie pas de mail, je vais tester « Limit Login Attempts » du coup ;)

  • David Chapet

    Le mot de passe protégeant l’accès à mon admin. semble être assez costaud car les 600 tentatives n’ont pas abouties, ceci dit ce plugin que tu m’as conseillé le jour de cette attaque a très vite été installé ! Encore merci de ton aide via Twitter…

  • Nico

    Petit plugin que je m’empresse d’installer !

  • TAMBA

    Merci :) On n’en fini pas de s’instruire

  • Soph

    Ou alors mettre carrément un accès protégé par htaccess sur l’admin de son blog. C’est ce que j’ai fais sur le mien.

  • Lorand

    Bonjour, il existe également WP-Ban de Lester Chan, très simple d’utilisation et très efficace. Visible sur ce lien : http://lesterchan.net/portfolio/programming/php/#wp-ban

    ;)

  • gilles

    C’est connu comme méthode, mais c’est de moins en moins possible à mettre en oeuvre, because les DHCP.
    Par contre je l’utilise régulièrement dans le monde professionnel pour sécuriser des accès à des serveurs en DMZ; c’est toujours très redoutable.