Eviter les attaques par bruteforce sur WordPress

A l’heure où j’écris cet article ce blog subit une attaque de type bruteforce depuis plusieurs heures. C’est donc le moment idéal pour faire un petit tuto sur comment se protéger de ce type d’attaques dont les sites WordPress sont de plus en plus la cible.

Bruteforce ?

Les attaques bruteforce sont les attaques les plus basiques et les plus stupides du monde. Prenez un site que vous voulez attaquer et qui est protégé par mot de passe. Pour trouver ce mot de passe vous allez tout simplement tester toutes les combinaisons possible, aussi longtemps qu’il le faut jusqu’à ce que vous tombiez sur le mot de passe en question.

Prenons un exemple.

Mon site est protégé par le mot de passe “123”. Si je veux bruteforcer, je vais tester TOUS les mots de passe possible. D’abord les chiffres, les nombres puis l’alphabet puis les couple lettres + chiffres puis lettres + chiffres + symboles.

Dans notre cas, je ferais quelque chose comme:

1, 2, …, 11, 12, 13, …, 111, 112, … pour finalement arriver à 123.

Un vrai nom d’utilisateur

WordPress est une plateforme de blog devenu très populaire, c’est donc devenu, par la même occasion, une cible privilégiée de réseau de robots (appelés botnet) qui scannent le web à le recherche de site WordPress et qui déclenchent des batteries de bruteforce dessus.

Comme vous le savez, pour se connecter à l’interface d’administration de WordPress il faut un login et un mot de passe.

Les robots vont donc essayer de se connecter avec des utilisateurs “génériques”. Évitez donc d’avoir des utilisateurs avec pour login

admin, root, test, lenomdevotresite (ici angezanetti), etc …

Le mieux étant d’éviter de mettre le pseudo de celui qui publie les articles comme admin. Par exemple l’utilisateur qui publie les articles s’appelle toto et n’a que les droits d’auteur. Un autre utilisateur du nom de tata à lui les droits d’administration.

Cela devrait déjà beaucoup compliqué la tâche de nos cher botnets.

Des mots phrases de passe

Ensuite pour se prémunir plus efficacement il faut choisir avoir un mot de passe complexe, ou mieux, une phrase de passe.

Avec l’exemple ci dessus on comprends bien que pour un ordinateur faisant plusieurs millions de combinaisons à la secondes, énumérer tous les nombres de 1 à 123 prends quelques secondes alors qu’avec un mot de passe du genre

j’adoreangezanetti.com

C’est déjà beaucoup plus compliqué ! D’ailleurs plutôt que de prendre des mots de passe impossible à retenir du genre

38jRXxuaES9Q

Préférez les phrases de passe, plus simple et tout aussi solides !

Pour une meilleure sécurité n’hésitez pas à recourir a des logiciels de gestionnaires de mot de passe qui retiennent pour vous chaque mot de passe pour chaque site (car oui, il en faut un par site !)

Bannissez !

Enfin, comme je vous le disais plus haut ce sont de véritables réseau de plusieurs centaines de machines fantômes qui attaqueront votre site, en même temps. Tout est donc une question de temps, même le meilleur des mots de passe est crackable avec beaucoup de temps et de ressources machines.

Pour rendre la tâche de ces attaques plus difficiles je vous conseille d’installer  Limit Login Attempt . C’est un plugin qui bannit automatiquement les IPs qui échouent à se connecter à votre interface d’administration.

Au bout de 3 fois il bannit l’IP pour une durée courte ( quelques dizaine de minutes), puis si l’opération se renouvelle avec la même adresse il bannit pour une durée plus longue (quelques jours). C’est efficace et ralentit considérablement la vitesse des attaques.

Le temps d’écrire ce billet mon plugin à banni plus de 100 IPs pour plusieurs jours, et ça continue…

Et c’est tout ?

Une fois ces réglages fait, vous devriez être couvert pour 99% des attaques bruteforce, mais bien sur, cela ne vous empêche pas de faire des sauvegardes, de mettre à jour vos plugins et WordPress et de mettre en place des protection au niveau serveur, mais c’est une autre histoire !

 

Credit Photo : <a class=“owner-name truncate” title=“Accéder à la galerie de GraceOda” href=“https://secure.flickr.com/photos/grace_land/2907405284” data-rapid_p=“30” data-track=“attributionNameClick”>GraceOda