Pourquoi devriez-vous verrouiller votre connexion admin WP ? Parce que si vous n’agissez pas pour empêcher ce genre de chose de se produire, vous allez vous réveiller un matin et au lieu de voir ce site générateur de revenus sur lequel vous avez passé tant de temps et d’efforts, vous allez voir « Hacked by John Doe ». Ou pire encore, vous ne verrez rien. Juste un écran vide.

Bien sûr, s’il s’agissait de criminels, plutôt que de simples étudiants qui s’ennuient, vous ne le sauriez peut-être même pas. Il se peut qu’ils aient accédé à des données financières ou qu’ils aient mis en place des « portes dérobées » leur permettant d’entrer quand ils le souhaitent.

Maintenant, si vous avez fait preuve d’intelligence et sauvegardé votre site (il existe des extensions que vous pouvez télécharger et installer en dix secondes qui le font automatiquement, vous n’avez donc aucune excuse), votre processus de récupération devrait être assez rapide.

Vous aurez peut-être perdu une journée de salaire. Peut-être que peu de gens auront visité votre site ce jour-là – bien qu’il soit à peu près certain que tout nouveau trafic qui a vu votre site tomber ne sera jamais de retour. En ce qui les concerne, votre site n’est pas sécurisé.

Le scénario ci-dessus est le résultat de l’un des piratages les plus courants sur Internet : l’attaque par force brute. C’est mauvais signe, non ?

Si vous n’avez pas pris de mesures pour vous en protéger, il est presque inévitable que vous soyez frappé tôt ou tard (avec un peu de chance tôt – il est préférable d’avoir cette expérience tôt dans votre carrière en ligne ou pas du tout). La bonne nouvelle, c’est qu’il y a beaucoup de défenses simples et faciles à mettre en place qui ne vous coûteront rien de plus que quelques minutes de votre temps.

Lecture suggérée : WordPress Piraté : Que faire lorsque votre site est en difficulté ?

Donc les attaques par la force brute. C’est quoi le problème ?

Les attaques de force brute ciblent votre écran de connexion WordPress : http://votresite.com/wp-login.php. Tout le monde sait que c’est comme ça qu’on entre dans WordPress, donc c’est une cible facile pour un hacker.

Ce qui les empêche d’aller plus loin, sur un site idéal, c’est votre identifiant administrateur et votre mot de passe.

Cela devrait l’être – mais ça ne l’est pas souvent.

Devinez ce que beaucoup de gens utilisent comme identifiant administrateur ? Ouais, admin. C’est plus facile pour le hacker, n’est-ce pas ? Deuxième identifiant le plus populaire ? Les 8 premières lettres du nom de leur site (c’est la valeur par défaut pour certains auto-installeurs). Pas trop dur non plus.

Si vous avez utilisé l’un ou l’autre identifiant, le pirate informatique est déjà à peu près à mi-chemin. Mais nous n’en sommes même pas encore à la partie « force brute ».

C’est là qu’un programme informatique prend le relais. Un script informatique peut frapper votre site avec des combinaisons de mots de passe aléatoires bien plus rapidement que n’importe quel humain ne pourrait jamais taper. Des milliers et des centaines de milliers de tentatives de connexion sont faites, jusqu’à ce que le programme finisse par avoir de la chance et devine votre mot de passe.

À part trouver la bonne combinaison de clés pour votre mot de passe, ce n’est pas de la chance. C’est prévisible. Cela arrivera tôt ou tard. Le script du hacker ne mange jamais, ne dort jamais et ne prend jamais de pause café. Par lui-même, WordPress lui permettra d’avoir autant de tentatives de connexion qu’il en a besoin.

En ce moment, vous vous dites peut-être « oui, mais quelles sont mes chances de me faire attaquer ? Après tout, il y a des millions de sites, alors pourquoi un hacker s’en prendrait-il à moi ? »

La réponse est qu’ils ne s’en prennent pas qu’à vous, ils s’en prennent à tout le monde. Les botnets – des centaines d’ordinateurs reliés entre eux dans le monde entier – ne sont pas utilisés par des étudiants qui s’ennuient, mais par des membres du crime organisé. Ils ciblent des dizaines de milliers de sites à la fois. Plus tôt cette année, la société de sécurité Bruteprotect, qui surveille activement ce type d’activité, a annoncé des attaques distribuées d’une ampleur jamais vue auparavant – 8 fois supérieure aux chiffres précédents – et ce n’était pas seulement de temps en temps, mais chaque jour.

Alors qu’est-ce que vous faîtes ?

Comment verrouiller votre connexion admin WP

1. Arrêtez-les à la porte

Il y a beaucoup de choses en ligne sur la protection des fichiers PHP, la création de mots de passe cryptés et modifier votre .htaccess – et tout cela est sans aucun doute un conseil valable. Le problème, c’est que c’est un peu compliqué. Cela dissuade les gens d’agir.

Heureusement pour vous, il y a un moyen plus simple, sans code. Il y a deux choses que vous pouvez faire pour arrêter les attaques par force brute avant même qu’elles ne commencent.

Tout d’abord, changez votre nom d’administrateur. Ce n’est pas le nom que les gens voient sur votre blog sous votre biographie d’auteur (c’est votre nom d’affichage), c’est le nom que vous utilisez pour vous connecter.

Ne l’incluez pas dans le nom de votre site, ni même dans votre propre nom. Essayez la plaque d’immatriculation de votre première voiture et la dernière lettre du nom de votre animal – quelque chose d’obscur qui serait impossible à deviner pour quelqu’un qui ne vous connaît pas.

Vous n’avez que 8 lettres/chiffres pour jouer avec celui-ci, mais vous devriez être capable d’en faire quelque chose de mémorable et unique pour vous – quelque chose qu’un hacker ne sera pas en mesure de deviner facilement.

Maintenant, définissez un nouveau mot de passe. La meilleure solution est toujours un mélange aléatoire de chiffres, de lettres majuscules et minuscules et de symboles spéciaux. Il devrait comporter une douzaine de caractères ou plus. Il existe des générateurs de mots de passe en ligne comme Roboform qui fera le travail pour vous. Vous pourriez vous retrouver avec quelque chose comme e<C&5G#tTQg t_Q. Pas absolument incassable, mais très, très, très bas sur l’échelle du « probable ».

La dernière chose à faire maintenant est de vous connecter avec vos nouveaux identifiant et mot de passe et de supprimer l’ancien utilisateur. N’oubliez pas cette étape. Si la vieille combinaison faible existe, rien n’empêche les pirates de l’attaquer.

2. Arrêtez de toquer.

La deuxième chose à faire est d’installer une extension appelé Limit Login Attempts Reloaded. Vous pouvez la télécharger ici https://wordpress.org/plugins/limit-login-attempts-reloaded/, mais il est plus rapide et plus facile de l’installer via la section des extensions de votre tableau de bord.

Limit Login Attempts Reloaded

Limit Login Attempts Reloaded

Les attaques de force brute fonctionnent parce qu’elles continuent à frapper, frapper, frapper à votre porte jusqu’à ce qu’elles obtiennent une réponse. Cette extension soignée empêchera que l’on frappe à la porte en limitant le nombre de tentatives de connexion qu’une adresse IP individuelle peut faire. Réglez-le à 4 et le programme informatique n’en obtiendra pas une cinquième (il est vraiment difficile de deviner un mot de passe comme celui de l’exemple ci-dessus en cinq tentatives).

Simple, facile, sûr.

Vous remarquerez que Limit Login Attemps offre quelques options supplémentaires, alors jetons un coup d’œil rapide.

Ainsi, après l’installation et l’activation comme d’habitude, allez dans Réglages > Limit Login Attemps. L’écran suivant est le seul endroit où vous devez vous rendre pour personnaliser les réglages de LLA.

Setting up limit login attempts

Total des vérouillages : vous donne le nombre de pirates qui ont essayé d’entrer par effraction, mais qui ont échoué (vous pouvez donc vous permettre un sourire suffisant).

Les options sont assez simples.

1. Tentatives autorisées : le nombre de tentatives qu’une adresse IP est autorisée à faire avant que vous ne la verrouilliez.

Quatre est probablement la quantité de tentatives la plus populaire. Cela permet aux vrais humains qui sont censés y avoir accès de faire des erreurs (parce qu’après tout, nous faisons tous des erreurs quand nous saisissons des mots de passe), de réaliser qu’ils saisissent le mauvais mot de passe et de corriger leur erreur. Il est important de le régler au-dessus de 1 ou 2 en particulier si vous avez des blogueurs invités fréquents ou plusieurs membres du personnel responsable de la gestion de votre site.

2. Minutes de verrouillage : combien de temps une adresse IP sera verrouillée.

Vous aimeriez peut-être le régler sur « éternellement », mais ce n’est pas utile pour les personnes qui commettent vraiment une véritable erreur – vous voulez que ces personnes puissent éventuellement revenir. 20 à 30 minutes, c’est à peu près ça.

3. Augmentation des verrouillages. Parce que s’il s’agit d’une attaque de force brute, le programme informatique est probablement de retour.

Cette fonction dit en gros : « Regarde, je t’ai déjà vu t’enfermer à l’extérieur plusieurs fois, alors maintenant je vais t’enfermer à l’extérieur pour plus longtemps ». Une journée est bien pour cela.

4. Heures jusqu’à une nouvelle tentative : combien de temps avant que LLA ne réinitialise tout et laisse les gens essayer à nouveau.

Les autres options s’adressent à ceux qui ont un état d’esprit technique ou aux entreprises où il est important de consigner ce qui suit.

Connexion au site : Il est probable que vous ayez un lien direct. Les serveurs mandataires sont généralement destinés à des personnes qui gèrent des services informatiques entiers, auquel cas vous n’auriez probablement pas à vous occuper de la sécurité de toute façon.

Gérer les cookies de connexion : Il s’agit des cookies administrateurs qui sont définis à chaque connexion réussie. À moins que vous n’ayez une bonne raison de faire autrement, laissez le réglage sur oui.

Notification de vérouillage : Limit Login Attemps vous permet également d’enregistrer l’adresse IP des personnes qui tentent d’entrer par effraction. L’extension vous en informera également par e-mail lorsque cela se produira.

Si quelqu’un d’un département a besoin d’analyser toutes ces données, alors, par tous les moyens, réglez-le. La majorité des entrepreneurs et des petites entreprises, cependant, sont probablement beaucoup trop occupés à faire ce qu’ils font et se contenteront de savoir qu’ils ont réussi à tenir les pirates à distance (aucune notification par e-mail nécessaire).

3. Changer l’URL de connexion WordPress

La troisième façon de verrouiller votre connexion d’admin WP est de modifier l’URL de connexion WordPress. Cela peut avoir une incidence considérable sur le nombre de mauvaises tentatives de connexion. Il existe une super extension gratuite appelée WPS Hide Login qui vous permet de le faire.

wordpress change login URL

WPS Hide Login est une extension très légère qui vous permet de changer facilement et en toute sécurité l’url de la page du formulaire de connexion en ce que vous voulez.

Récapitulatif

C’est bon, c’est fini. Deux étapes simples et rapides pour arrêter la menace de plus en plus dangereuse des attaques de force brute de mettre une balle de démolition numérique dans votre site ! Si vous voulez augmenter la sécurité de votre site, veuillez jeter un coup d’œil à notre meilleur comparatif des extensions de sécurité.

Vous ne pouvez pas feindre l’ignorance pour ne pas verrouiller votre site et empêcher une attaque de force brute. Alors allez changer votre mot de passe et votre identifiant, installez Limit Login Attempts, et changez votre URL de connexion WordPress. Ce sont toutes de bonnes façons de verrouiller votre connexion à l’administration WP.

14
Partages