Comment protéger votre site Web contre les attaques WordPress Brute Force ?
Publié: 2022-04-22Les attaques par force brute de WordPress sont écrasantes, même avant qu'une attaque ne réussisse.
De nombreux administrateurs de site voient les ressources de leur serveur s'épuiser rapidement, leurs sites ne répondant plus ou même carrément plantant, ce qui entraîne le verrouillage des utilisateurs réels. Le problème est que vous pouvez vous sentir impuissant lorsque des bots de force brute martèlent la page de connexion, essayant d'accéder à votre wp-admin.
Mais tu n'es pas impuissant. Si vous voyez plusieurs tentatives de connexion infructueuses pour un seul utilisateur, provenant peut-être de plusieurs adresses IP, vous êtes au bon endroit.
Dans cet article, nous décrirons à quoi ressemble une attaque par force brute WordPress et comment en protéger votre site.
TL; DR Protégez votre site contre la force brute de WordPress en activant la protection de connexion de MalCare. Empêchez les mauvais bots d'attaquer votre site grâce à un pare-feu puissant et à une protection intégrée contre les bots. Protégez votre site, vos données et vos utilisateurs avec MalCare, le meilleur plugin de sécurité contre la force brute dans WordPress.
Qu'est-ce que l'attaque par force brute de WordPress ?
Les attaques par force brute de WordPress sont des tentatives d'obtenir un accès non autorisé à votre wp-admin en essayant diverses combinaisons de noms d'utilisateur et de mots de passe . Les pirates ont développé des robots pour bombarder en permanence une page de connexion avec des informations d'identification sur une base d'essais et d'erreurs.
Souvent, les bots essaient une série de mots de passe à partir d'un dictionnaire et sont donc également connus sous le nom d'attaques par dictionnaire ou d'attaques par devinette de mot de passe. Les attaques peuvent être configurées pour provenir de différentes adresses IP, et ainsi contourner les mesures de sécurité de base. Il existe d'autres types d'attaques par force brute, que nous aborderons plus loin dans l'article.
Le but d'une attaque par force brute est d'accéder à votre wp-admin, puis d'installer le plus souvent des logiciels malveillants sur votre site.
Comment protéger votre site contre les attaques par force brute de WordPress (9 façons)
Vivre une attaque par force brute est effrayant, surtout parce que vous avez l'impression que vous ne pouvez rien faire pour l'arrêter. De plus, les effets d'une attaque sont immédiatement visibles. La plupart des sites ont des ressources de serveur limitées, qui s'épuisent rapidement, et souvent un site attaqué plantera complètement.
Heureusement, vous pouvez faire beaucoup pour empêcher les attaques par force brute dans WordPress. Voici une liste des étapes de protection contre la force brute de WordPress qui bloqueront la plupart des attaques et atténueront les pires effets pour faire bonne mesure.
1. Limitez les tentatives de connexion
La meilleure façon d'arrêter les attaques par force brute de wordpress est de limiter les tentatives de connexion. Si un mot de passe incorrect est entré trop de fois dans la page de connexion, le compte est temporairement bloqué. Cela bloque l'efficacité du robot de force brute, car il s'appuie sur la méthode d'essai et d'erreur pour deviner les informations d'identification. De plus, comme le bot ne peut pas essayer plusieurs milliers de combinaisons, les requêtes ne sont pas envoyées au serveur et les ressources ne sont pas consommées par l'activité du bot.
Par défaut, WordPress autorise des tentatives de connexion illimitées, c'est pourquoi il est sensible aux attaques par force brute en premier lieu. Avec MalCare, la protection de connexion limitée est automatiquement activée. En effet, dans le cas où un utilisateur aurait légitimement oublié son mot de passe, il peut résoudre un captcha pour passer facilement le blocage. Par conséquent, limiter les tentatives de connexion empêche les robots de force brute d'entrer sans affecter les utilisateurs réels.
Pour plus de détails, consultez notre guide sur la façon de limiter les tentatives de connexion dans WordPress.
2. Bloquer les mauvais robots
Les attaques par force brute sont presque toujours menées par des bots. Les robots sont de petits programmes conçus pour effectuer une tâche simple de manière répétitive, et sont donc idéaux pour les attaques par force brute. Le bot essaiera une série d'informations d'identification sur une page de connexion jusqu'à ce qu'il trouve une correspondance.
En plus de cela, plus de 25% de tout le trafic du site Web est constitué de bots, il existe donc de nombreux systèmes de sécurité qui ont mis en place une protection contre les bots. Cependant, il y a une distinction importante à faire ici : tous les bots ne sont pas mauvais. Il y en a de bons comme les autres robots d'exploration des moteurs de recherche et les robots de surveillance de la disponibilité. Vous voulez que ceux-ci aient accès à votre site, il est donc important d'obtenir une protection contre les bots qui bloque intelligemment uniquement les mauvais bots, comme MalCare. Il existe également d'autres plugins de protection contre les bots, comme All in One, mais il bloque tous les bots par défaut, y compris Googlebot.
3. Installez un pare-feu d'application Web
La protection de connexion est spécifiquement une défense contre les attaques par force brute, alors qu'un pare-feu est une défense contre toutes sortes d'attaques ; y compris ceux de la force brute.
Les pare-feu utilisent des règles pour bloquer le trafic malveillant et font beaucoup pour protéger votre site Web. De plus, les pare-feu atténuent l'un des plus gros problèmes des attaques par force brute - la charge excessive sur les ressources du serveur - en bloquant les mauvaises requêtes répétées.
Les attaques par force brute sont souvent configurées pour attaquer à partir de différentes adresses IP et peuvent donc contourner la plupart des pare-feu. Cependant, avec le pare-feu de MalCare, votre site Web fait partie de la protection IP globale. Le pare-feu apprend quelles adresses IP sont malveillantes à partir du comportement enregistré à partir de plus de 100 000 sites et bloque de manière proactive leur trafic. Ces mesures réduisent considérablement la quantité de mauvais trafic vers votre site Web en premier lieu, avant même que le bot n'ait la possibilité de forcer brutalement la page de connexion de votre site.
4. Ajouter une authentification à deux facteurs dans WordPress
Les noms d'utilisateur et les mots de passe peuvent être devinés, c'est pourquoi l'authentification à deux facteurs, ou même l'authentification à plusieurs facteurs, est apparue comme un moyen d'avoir des éléments dynamiques pour authentifier les utilisateurs. Avec l'authentification à deux facteurs, un jeton de connexion en temps réel, tel qu'un OTP ou un code QR, est partagé avec l'appareil de l'utilisateur. Il a une validité limitée, généralement d'environ 10 à 15 minutes, et ne peut authentifier un utilisateur que pour cette session.
Le jeton supplémentaire est difficile à craquer en plus du nom d'utilisateur et du mot de passe. Par conséquent, cela ajoute une autre couche de sécurité à la page de connexion. Vous pouvez installer un plugin comme WP 2FA pour ajouter facilement une authentification à deux facteurs à votre site.
Pour en savoir plus, consultez notre guide sur l'authentification à deux facteurs WordPress.
5. Utilisez des mots de passe forts et uniques
Le plus gros défaut de sécurité est l'utilisateur lui-même et, par extension, les mots de passe qu'il définit. Les mots de passe sont la plus grande vulnérabilité de tout système de sécurité en raison de la tendance humaine (compréhensible) à définir des mots de passe faciles à mémoriser et à les réutiliser sur différents comptes. Ce sont en fait deux problèmes séparés et distincts avec les mots de passe.
Tout d'abord, ne réutilisez jamais les mots de passe sur différents comptes. De nombreux robots de force brute utilisent des mots de passe volés à partir de violations de données pour attaquer les pages de connexion. Deuxièmement, comme vous pouvez l'imaginer, un mot de passe comme 'password' est terriblement facile à deviner. Utilisez un minimum de 12 caractères de charabia, ou mieux encore, utilisez une phrase secrète comme mot de passe.
Nous vous recommandons d'utiliser un gestionnaire de mots de passe comme LastPass ou 1Password pour éviter de réutiliser des mots de passe et d'en générer des forts si nécessaire. Si vous soupçonnez qu'un compte a été compromis, vous pouvez forcer la réinitialisation de tous les mots de passe à partir de la section de renforcement du tableau de bord MalCare.
Pour plus de détails, consultez notre article sur la sécurité des mots de passe WordPress.
6. Désactiver XML-RPC dans WordPress
Le fichier XML-RPC est un autre moyen d'authentifier les utilisateurs. En d'autres termes, il s'agit d'un moyen alternatif d'accéder à votre tableau de bord d'administration, il est donc également sensible aux attaques par force brute. C'est un fichier largement obsolète et non utilisé activement par de nombreux plugins ou thèmes. Il continue d'être inclus dans WordPress pour une compatibilité descendante et est donc relativement sûr à désactiver.
Voici notre guide sur la façon de désactiver XML-RPC dans wordpress.
7. Examinez et supprimez régulièrement les comptes d'utilisateurs inutilisés
Les comptes dormants sont souvent des cibles pour les pirates car il est probable que les utilisateurs ne remarqueront pas si leurs comptes sont piratés. De plus, les comptes inactifs ont les mêmes mots de passe pendant de longues périodes, ce qui les rend plus faciles à forcer.
Par conséquent, examinez régulièrement les comptes d'utilisateurs et supprimez ceux qui ne sont pas en cours d'utilisation. Pour un crédit supplémentaire, assurez-vous que chaque compte dispose des privilèges d'utilisateur minimum nécessaires pour gérer son compte. Il est imprudent de faire de tout le monde un administrateur, par exemple.
8. Envisagez le géoblocage dans WordPress
Si vous voyez beaucoup de trafic de robots à partir d'un seul endroit, vous pouvez envisager de bloquer l'ensemble du pays. Cependant, nous conseillons la discrétion lors de l'utilisation du géoblocage. Il n'est utile que si vous ne prévoyez pas du tout d'utilisateurs légitimes à partir de cet emplacement.
De plus, sachez qu'il peut empêcher les bons robots de cette région. Par exemple, Googlebot peut fonctionner à partir de n'importe lequel de ses emplacements de serveur dans le monde, et vous voulez absolument que Googlebot accède à votre site.
Voici un guide étape par étape pour bloquer les pays dans WordPress.
9. Désactiver la navigation dans les répertoires
Par défaut, la plupart des dossiers et fichiers principaux de WordPress sont librement accessibles via un navigateur. Par exemple, vous pouvez taper yourwebsite.com/wp-includes dans la barre d'URL de votre navigateur, et tout le contenu du dossier sera immédiatement visible.
Bien que la navigation dans les répertoires en soi ne soit pas une vulnérabilité, elle peut révéler des informations sur le site qui peuvent ensuite être utilisées pour exploiter des vulnérabilités. Le dossier /wp-content contient des plugins et des thèmes, et si un pirate peut voir lesquels sont installés et leurs numéros de version, il peut potentiellement trouver et exploiter des vulnérabilités. Il s'agit d'un type d'attaque par force brute moins populaire appelé force brute d'annuaire.
Par conséquent, il est logique de désactiver complètement la navigation dans les répertoires, par mesure de sécurité.
Voici notre guide complet sur la désactivation de la navigation dans les répertoires dans WordPress.
Choses que vous lirez ailleurs mais que vous devriez éviter de faire
Il y a une tonne de conseils de sécurité bien intentionnés mais médiocres. Donc, en plus de notre liste de choses à faire, nous énumérons également ce qu'il ne faut pas faire.
- Mot de passe protéger le répertoire wp-admin : Ne faites pas cela du tout. Il apparaît dans pratiquement tous les articles sur la prévention de la force brute. Un mot de passe protégeant le répertoire wp-admin cassera AJAX pour les utilisateurs non connectés, en restreignant l'accès au fichier admin-ajax.php.
AJAX est souvent utilisé pour alimenter les aspects dynamiques des sites Web. Supposons qu'il y ait une barre de recherche sur votre site. Si un visiteur l'utilise pour rechercher des produits, seuls les résultats de la recherche seront rechargés, et non l'intégralité du site Web. Il s'agit d'un énorme économiseur de ressources et rend l'expérience utilisateur des sites Web beaucoup plus rapide et meilleure.
Vous verrez également de nombreuses solutions de contournement pour exclure le fichier admin-ajax.php, mais elles ne fonctionnent pas toujours de manière transparente. L'essentiel est que l'effort que les solutions de contournement impliquent ne reflète pas une quantité proportionnelle de sécurité. C'est donc un pas énorme pour peu d'avantages supplémentaires. - Changer votre URL wp-login : Vous voyez souvent ce conseil dans les articles de renforcement de WordPress. Cependant, nous vous déconseillons fortement de modifier l'URL de connexion car il est pratiquement impossible de la récupérer si elle est perdue.
- Évitez l'utilisation d'admin comme nom d'utilisateur : étant donné que les bots de force brute essaient effectivement de deviner les combinaisons de nom d'utilisateur et de mot de passe, il est utile d'éviter les noms d'utilisateur évidents comme admin. WordPress ne vous permet pas de modifier les noms d'utilisateur à partir du tableau de bord, vous devrez donc installer un plugin pour le faire.
Cependant, cette mesure a une valeur limitée et nous vous déconseillons d'y consacrer trop de temps et d'efforts. Il existe d'autres moyens de récupérer les noms d'utilisateur de certains types de sites, comme ceux d'adhésion. L'effort nécessaire pour avoir des noms d'utilisateur uniques pour les membres, appliquer la politique, puis faire face aux retombées inévitables lorsque les gens oublient leurs noms d'utilisateur uniques ne vaut pas l'effet bénéfique limité.
Impact d'une attaque par force brute dans WordPress
Il y a deux façons de penser aux effets d'une attaque par force brute. Premièrement, ce qui se passe lors d'une attaque, et deuxièmement ce qui se passe si une attaque réussit.
Généralement, avec les attaques, la première question ne se pose pas souvent, car il y a peu ou pas d'impact sur le site Web, car il subit une attaque. Les conséquences surgissent une fois qu'une attaque est réussie. Cependant, ce n'est pas le cas avec une attaque par force brute.
Que se passe-t-il lorsque votre site est brutalement forcé ?
Vous verrez un impact immédiat sur les ressources du serveur. Comme l'attaque bombarde votre page de connexion de requêtes, le serveur doit répondre à chacune d'elles. Par conséquent, vous verrez tous les effets d'une utilisation accrue du serveur sur votre site Web : un site Web plus lent, certains utilisateurs ne pouvant pas se connecter, des temps d'arrêt, une inaccessibilité, etc. Les hébergeurs Web sont également prompts à restreindre l'utilisation du serveur qui passe par le toit, car cela aura un impact sur leurs métriques, surtout si vous utilisez un hébergement mutualisé.
Que se passe-t-il si l'attaque par force brute réussit ?
Si l'attaque réussit, vous pouvez raisonnablement vous attendre à voir des logiciels malveillants ou des dégradations quelconques. Il existe plusieurs raisons pour lesquelles les pirates veulent accéder à votre site Web, et aucune d'entre elles n'est bonne.
Si cela ne suffisait pas, votre site Web peut faire partie d'un botnet et être utilisé pour attaquer d'autres sites Web sans votre consentement. Cela peut avoir des ramifications majeures car d'autres systèmes de sécurité signaleront votre site Web comme malveillant s'il fait partie d'un botnet.
Faire face aux conséquences de l'attaque par force brute de WordPress
Si une attaque par force brute a réussi, vous devez supposer le pire : votre site Web a été compromis. Par conséquent, votre première priorité est de sécuriser votre site Web. Voici les principales étapes à suivre pour contenir les dégâts :
- Forcer la déconnexion de tous les utilisateurs et modifier tous les mots de passe
- Analysez immédiatement votre site Web à la recherche de logiciels malveillants
Une fois que vous êtes certain que votre site est exempt de logiciels malveillants, mettez en œuvre les mesures de prévention énumérées ci-dessus. Nous vous recommandons fortement d'installer MalCare, qui s'occupe de la protection de la connexion et de la protection contre les bots, tout en intégrant un scanner de logiciels malveillants, un nettoyeur et un pare-feu avancé pour faire bonne mesure. Avec MalCare installé, vous pouvez être assuré que votre site est à l'abri des attaques WordPress.
Votre site est-il sensible aux attaques par force brute ?
Oui, tous les systèmes sont vulnérables aux attaques par force brute. En raison de leur mode de fonctionnement, les attaques par force brute peuvent être lancées contre n'importe quel système doté d'une page de connexion. Les sites Web WordPress ne sont pas différents.
La popularité de WordPress en fait une cible pour les pirates. Premièrement, c'est parce qu'une grande partie d'Internet est alimentée par WordPress, et deuxièmement parce que certains aspects de WordPress sont bien connus. Dans un exemple particulièrement pertinent pour les attaques par force brute, WordPress ne limite pas les tentatives de connexion incorrectes. Vous pouvez corriger cela avec la fonction de connexion limitée de MalCare, comme nous en avons parlé dans la section des mesures.
De plus, de nombreux propriétaires de sites ont tendance à utiliser des noms d'utilisateur et des mots de passe faciles à retenir. Les plus courants incluent admin comme nom d'utilisateur et password1234 ou 12345678 comme mot de passe.
Ces facteurs rendent votre site Web vulnérable aux attaques par force brute.
Types d'attaques par force brute
Les attaques par force brute sont différentes des autres types de menaces et d'attaques, comme les attaques d'ingénierie sociale ou les attaques XSS. Les attaques d'ingénierie sociale, comme le phishing, manipulent les gens pour qu'ils partagent leurs informations d'identification, en se faisant passer pour une entité de confiance, tandis que les attaques XSS exploitent les vulnérabilités du site Web. Les attaques par force brute reposent sur des informations d'identification faibles ou volées pour réussir.
Vous verrez quelques saveurs d'attaques par force brute dans la nature. Ils suivent tous le même schéma d'essais et d'erreurs, mais les informations d'identification qu'ils essaient ou le mécanisme qu'ils utilisent peuvent varier. Voici quelques-uns des types d'attaques par force brute les plus courants :
- Attaques simples : les attaques par force brute simples utilisent la logique pour deviner les informations d'identification en fonction de leur connaissance de l'utilisateur, comme les noms d'animaux ou les anniversaires obtenus à partir de sites de médias sociaux, par exemple.
- Credential stuffing : ce type d'attaque utilise des données obtenues à partir de violations, en partant du principe que les utilisateurs ont tendance à utiliser les mêmes noms d'utilisateur et mots de passe sur plusieurs systèmes.
- Attaque par dictionnaire : comme son nom l'indique, ces bots utilisent des fichiers de dictionnaire pour les mots de passe. Il peut s'agir d'un véritable dictionnaire ou d'un dictionnaire spécialement créé pour deviner le mot de passe.
- Attaques de table arc-en-ciel : similaire dans son concept à une attaque par dictionnaire, une table arc-en-ciel est un type particulier de liste de dictionnaires. Au lieu d'une liste de mots de passe, une table arc-en-ciel contient à la place une liste de mots de passe hachés.
- Pulvérisation de mot de passe : Ce type d'attaque est logiquement une attaque par force brute inversée. Dans les attaques par force brute typiques, un nom d'utilisateur particulier est la cible et le jeu de devinettes se joue avec le mot de passe. À l'inverse, avec la pulvérisation de mots de passe, une liste de mots de passe est comparée à plusieurs noms d'utilisateur pour trouver une correspondance potentielle. Il s'agit d'une attaque plus distribuée que d'une attaque ciblée.
En tant qu'administrateur de site, vous n'avez peut-être pas besoin de connaître les différences entre les différents types d'attaques par force brute. Cependant, ces termes sont souvent utilisés de manière interchangeable, il est donc utile de comprendre les mécanismes sous-jacents.
Autres bonnes pratiques de sécurité
Empêcher les attaques par force brute dans WordPress est un objectif admirable, mais ce n'est qu'une partie de la sécurité du site Web. Voici quelques-unes de nos principales recommandations pour protéger votre site contre les logiciels malveillants :
- Installez un plugin de sécurité avec un bon scanner et nettoyeur de logiciels malveillants
- Gardez tout à jour
- Investissez dans des sauvegardes quotidiennes
Pour une liste complète de recommandations, consultez notre guide de sécurité ultime.
Conclusion
Les attaques par force brute peuvent affaiblir un site Web, même si elles ne réussissent pas. La meilleure façon de faire face à cette menace potentielle est d'installer un pare-feu qui intègre une protection contre les bots, comme MalCare.
Même si une attaque par force brute a réussi, MalCare vous aidera à détecter rapidement les logiciels malveillants et à les supprimer. Comme c'est le cas pour toutes les infections, une action rapide limite considérablement les dégâts.
FAQ
Qu'est-ce qu'une attaque par force brute dans WordPress ?
Une attaque par force brute dans WordPress se produit lorsqu'un pirate tente d'accéder au wp-admin du site en essayant de deviner les identifiants de connexion d'un compte d'utilisateur légitime. Les attaques par force brute utilisent des bots pour essayer des centaines, des milliers et parfois même des millions de mots de passe sur une page de connexion wp dans le but de deviner le bon.
Les attaques par force brute sont non seulement dangereuses pour un site en cas de succès, mais ont également un impact énorme sur les performances du site. L'attaque utilise les ressources du serveur et peut même planter le site à l'occasion.
Comment protéger votre site WordPress des attaques par force brute ?
Le moyen le plus efficace de protéger votre site contre les attaques par force brute est de limiter les tentatives de connexion. Par défaut, WordPress autorise un nombre illimité de tentatives de connexion, vous pouvez donc utiliser MalCare pour protéger votre site contre les attaques par force brute. En plus de la protection de connexion, MalCare inclut une protection contre les bots et un pare-feu avancé, qui aident tous deux à protéger votre site et à atténuer les effets néfastes d'une attaque par force brute.