Les attaques de type Brute Force sont aujourd’hui monnaie courante sur le web et touchent particulièrement les sites WordPress. Elles reposent sur des scripts automatisés qui testent en boucle des combinaisons de login et de mot de passe sans aucune sophistication technique. Ces attaques sont basiques mais efficaces sur des sites mal protégés, ce qui explique leur popularité. Pourtant, il est très facile de s’en prémunir avec quelques mesures simples qui permettent de bloquer la grande majorité de ces tentatives dès leur point d’entrée.
WPS Hide Login et WPS Limit Login
Il existe de nombreux plugins WordPress capables de sécuriser l’accès à l’administration sans nécessiter de compétences techniques avancées. Certains proposent des suites complètes avec pare-feu et analyse de sécurité tandis que d’autres se concentrent sur des mécanismes simples et efficaces.
Dans cet article, j’ai choisi de m’appuyer sur WPS Hide Login et WPS Limit Login car ils permettent de comprendre facilement les bases de la protection. Leur approche est pédagogique et accessible, même pour un débutant, mais vous pouvez bien entendu vous orienter vers d’autres solutions selon vos besoins.
WPS Hide Login : protéger l’admin de WordPress
Par défaut, toutes les installations de WordPress utilisent des URLs connues comme /wp-admin/ ou /wp-login.php pour accéder à l’administration. Cette standardisation facilite grandement le travail des bots qui savent exactement où chercher la page de connexion. Une fois cette page trouvée, ils peuvent lancer des attaques de type Brute Force sans difficulté.
Le plugin WPS Hide Login permet de supprimer cette faiblesse en remplaçant l’URL de connexion par une adresse personnalisée. Cela signifie que la page de login n’est plus accessible via les chemins classiques, ce qui empêche les bots de la trouver automatiquement. En pratique, le plugin agit comme une couche de discrétion qui bloque une grande partie des attaques avant même qu’elles ne commencent.
Pour être efficace, il est important de choisir une URL difficile à deviner. Il faut éviter les termes évidents comme /admin/, /login/ ou /backend/ car ils sont également testés par les scripts automatisés. Une bonne approche consiste à utiliser une suite de lettres et de chiffres, comparable à un mot de passe. Par exemple, une URL complexe rendra la détection quasiment impossible pour un robot.
Cette méthode ne remplace pas une sécurité complète, mais elle constitue une première ligne de défense très efficace contre les attaques automatisées. Elle réduit fortement le nombre de tentatives en supprimant le point d’entrée principal.
WPS Limit Login : limiter les tentatives de connexion à l’admin WordPress
Les attaques de type Brute Force reposent sur le test massif de combinaisons de login et de mot de passe. Ces scripts utilisent généralement des dictionnaires contenant des mots courants, ce qui rend les mots de passe faibles particulièrement vulnérables. C’est pourquoi il est indispensable d’utiliser un mot de passe robuste pour le compte administrateur, avec des lettres, des chiffres et des caractères spéciaux.
Le plugin WPS Limit Login ajoute une protection supplémentaire en limitant le nombre de tentatives de connexion autorisées. Par exemple, après trois essais échoués, l’accès peut être bloqué pendant plusieurs heures, ce qui empêche les bots de continuer leurs tests. Le blocage peut être renforcé en cas de récidive, rendant l’attaque inefficace.
Le plugin propose également une gestion des IP avec des listes blanches et des listes noires. Une IP fixe peut être ajoutée en liste blanche afin de réserver l’accès au formulaire de connexion, tandis que les IP suspectes peuvent être bloquées via la liste noire. Il faut toutefois rester prudent car certaines IP peuvent être réattribuées à des utilisateurs légitimes, ce qui impose une utilisation mesurée de cette fonctionnalité.
Note : avant d’ajouter votre IP à la liste blanche, il faut bien vérifier que vous être sur une IP fixe. En effet, la plupart des FAI proposent des IP dynamiques et peuvent changer dans le temps. Cela pourrait bloquer votre accès à l’admin de WordPress.
Pourquoi protéger l’admin de WordPress ?
La plupart des bots qui ciblent WordPress exploitent des failles très simples, comme l’utilisation d’un identifiant “admin” associé à un mot de passe faible de type « 12345 ». Dans ces conditions, l’accès peut être compromis en quelques secondes seulement. Ce type d’attaque ne vise pas un site en particulier mais balaie automatiquement des milliers de sites à la recherche de cibles faciles.
Lorsque des identifiants solides sont utilisés, les tentatives échouent presque systématiquement. Cela montre que des mesures basiques suffisent déjà à éliminer une grande partie des risques. Cependant, même sans intrusion réussie, ces attaques peuvent avoir un impact négatif.
Les requêtes répétées générées par les bots consomment des ressources serveur et peuvent ralentir le site. Sur un hébergement limité, cela peut dégrader les performances et affecter l’affichage des pages pour les visiteurs. En bloquant ces tentatives dès le départ, on réduit la charge serveur et on garantit une meilleure stabilité du site.
Pourquoi subit on des attaques Brute Force ?
Une fois qu’un attaquant parvient à accéder à l’administration de WordPress, il ne va pas forcément modifier immédiatement le site de manière visible. Une technique courante consiste à créer un nouveau compte avec un rôle de rédacteur ou d’auteur afin de garder un accès discret dans le temps.
Cela permet d’agir sans éveiller les soupçons, surtout si le compte est nommé de manière crédible. C’est pour cette raison qu’il est important de vérifier régulièrement la liste des utilisateurs et de s’assurer qu’aucun compte inconnu n’a été ajouté.
L’objectif derrière ce type d’intrusion est généralement de publier du contenu à des fins de référencement ou de promotion. Les attaquants utilisent la crédibilité et l’autorité de votre site pour diffuser des liens vers des contenus borderline comme des sites pour adultes, des plateformes de casino ou d’autres activités illégales. En s’appuyant sur votre réputation, ils améliorent le positionnement de leurs propres sites tout en détériorant potentiellement l’image du vôtre.
WordPress n’est pas sécurisé par défaut
Des solutions comme WPS Hide Login et WPS Limit Login permettent de mettre en place rapidement une protection efficace contre les attaques de type Brute Force. Elles offrent une approche simple qui couvre les besoins essentiels sans complexifier la gestion du site. Pour des besoins plus avancés, notamment sur des projets à fort enjeu, il peut être pertinent d’opter pour des solutions plus complètes et souvent payantes, mais ces deux plugins constituent déjà une base solide pour sécuriser l’administration de WordPress.
