Dernièrement j’ai du faire face à des attaques brute-force sur plusieurs sites WordPress de mes clients, la galère.

Déjà j’ai installé Aksimet sur tous les sites pour filtrer les formulaires de contact (Contact Form 7) et ceux des commentaires s’ils sont activés. Pour améliorer le filtrages des commentaires j’utilise aussi Stop Spammers Spam Prevention qui protège en complément d’Akismet.

Pour les attaques brute-force j’ai du me renseigner sur la toile, je trace tous les logs avec Bad-Behavior, bloque les IP par pays avec iQ Block Country (pas très efficace je pense) et limite les procédures de logs avec Limit-login-attempts (plus mis à jour). Il me fallait voir autre chose.

Extension BruteProtectOn trouve de nouvelle extension prévues pour ces cas de brute-force, par exemple BruteProtect qui semble efficace (en cours de test) ou Security-Protection. D’un autre côté une solution via Htaccess peut solutionner efficacement le problème mais avec une contrainte supplémentaire pour accéder à l’administration.

Pour les férus de la gestion des serveurs une solution via Fail2Ban semble la panacée… mais je ne saurais dire si c’est efficace.

WordPress Channel liste 14 conseils pour protéger son site WordPress, il y a sans doute là dedans des choses à suivre, notamment la solution qui consiste à « déplacer » la page de login à l’administration.

Extension Move Login

Je vais tester l’extension Move-login qui reste basique mais peut déjà déjouer les attaques des robots (moins celles de vrais hackers humains).

Si vous avez des idées sur ce sujet, merci de participer via les commentaires.

Cet article a 2 commentaires

  1. Bonjour,
    Pour ma part je viens de migrer tous les sites de mes clients sur wpserveur(.)net car il on une solution 100% sécure et déjà prés configurer pour wordpress! en plus de l optimisation et de la vitesse ils ont réussit à introduire dans les réglages plusieurs configuration qui empêche le hak des sites.
    Depuis je vis mieux avec WP! :p

    1. Jean Lagarrigue

      Vu les soucis récurrents actuels pas mal de personnes cherchent des solutions efficaces. Infomaniak propose pas mal de choses aussi… Mon hébergeur fait de son mieux aussi, il faut surtout rester vigilant et supprimer les login/pass minimalistes.

Laisser un commentaire