Cet article fait suite à un tweet de @boxsociety qui demandait si une adresse IP qui visite presque 600 fois d’affilé la page wp-login.php (qui est la page de login de l’administration de WordPress) de son blog était bien une tentative de piratage.
Il s’agissait d’une attaque par force brute qui consiste à trouver un mot de passe en testant toutes les combinaisons possibles. Lorsque le mot de passe est relativement complexe, il y a quasiment aucune chance de percer celui-ci, en revanche si il est composé de peu de lettres, les risques augmentent dramatiquement.
Voici deux méthodes très simples mais redoutables qui protègeront votre blog d’une attaque de ce type sans aucun problème.
Bannir l’IP : si vous êtes en mesure de connaitre et de voir en direct l’IP qui vous attaque, vous pouvez la bannir et l’empecher d’accéder à votre blog en modifiant comme ceci le fichier .htaccess situé à la racine de votre espace web :
order allow,deny
deny from 127.0.0.1
deny from 127.0.0.2
deny from 127.0.0.3
allow from all
Où 127.0.0.1/2/3 sont les IP à bannir. Cette solution est très efficace sur l’instant mais reste temporaire car les pirates disposent souvent d’adresses IP différentes.
Le plugin pour WordPress : vous pouvez installer le plugin Limit Login Attempts qui permet de bloquer pendant X minutes une personne qui se serait trompée X fois de mot de passe en tentant d’accéder à l’administration du blog. Après X blocages, cette personne se verra encore bloquée pour X heures. L’administrateur pourra également être prévenu par email de la tentative de piratage.
Merci pour cette info technique très appréciable.
la méthode de .htaccess est utilisable pour tout site internet pas seulement pour les blogs :)
mais il est vrai que les pirates possèdent des logiciels permettant de déjouer cette protection simpliste.
le plugin lui est très bien pensé !
Perso, j’utilise ce plugin : « Login LockDown », celui ci n’envoie pas de mail, je vais tester « Limit Login Attempts » du coup ;)
Le mot de passe protégeant l’accès à mon admin. semble être assez costaud car les 600 tentatives n’ont pas abouties, ceci dit ce plugin que tu m’as conseillé le jour de cette attaque a très vite été installé ! Encore merci de ton aide via Twitter…
Petit plugin que je m’empresse d’installer !
Merci :) On n’en fini pas de s’instruire
Ou alors mettre carrément un accès protégé par htaccess sur l’admin de son blog. C’est ce que j’ai fais sur le mien.
Bonjour, il existe également WP-Ban de Lester Chan, très simple d’utilisation et très efficace. Visible sur ce lien : http://lesterchan.net/portfolio/programming/php/#wp-ban
;)
C’est connu comme méthode, mais c’est de moins en moins possible à mettre en oeuvre, because les DHCP.
Par contre je l’utilise régulièrement dans le monde professionnel pour sécuriser des accès à des serveurs en DMZ; c’est toujours très redoutable.