L’attaque de force brute est assez courante dans le monde du web. En effet, si vous avez un site web, vous avez certainement expérimenté des tentatives de connexion à votre site web ou application. Dans cet article, nous expliquons comment mieux sécuriser votre site web pour éviter l’attaque de force brute. Nous allons nous focaliser sur l’application WordPress. Si vous aviez un logiciel tierce, ce serait un plaisir de refaire cet article pour votre outil dans un article ultérieur. Laissez-nous tout simplement un message. Dans cet article, nous parlerons de la protection des options de connexion à WordPress. Nous verrons également quelques mesures que vous pouvez appliquer pour mieux renforcer la sécurité de votre site web.

Les différentes approches de connexion sur un site web WordPress

Il est important de savoir quelles approches les utilisateurs utilisent pour se connecter aux sites web. En effet, pour accéder à votre site web, vous avez forcément besoin d’un formulaire de connexion ou d’un lien proposé par l’application. Avant de se poser la question à savoir comment mieux protéger son site contre l’attaque de force brute, explorons les options de connexion.

1- La connexion via le lien par défaut wp-admin

Même un débutant utilisant WordPress sait que pour se connecter à un site web, il doit tout juste ajouter wp-admin au nom de domaine. Lorsque vous installez un site web WordPress, vous pouvez l’accéder via le lien nom de domaine / wp-admin. Généralement, cette page permet de se connecter, changer de mot de passe ou de créer un compte.

2- Connexion à partir d’un formulaire personnalisé sur son site web

Vous pouvez créer un formulaire personnalisé sur votre site web pour permettre à vos utilisateurs de se connecter. Cela donnera la possibilité aux utilisateurs d’utiliser le lien que vous proposerez pour accéder au site web. Généralement, cette approche à plusieurs avantages:

Les utilisateurs pourront ne pas savoir que vous utilisez une quelconque technologie. D’où plus de change de gérer la sécurité.
Vous pouvez compenser les limitations du lien de connexion par défaut.

3 – Utilisation du fichier xmlrpc.php de WordPress

Avec un peu de connaissance en programmation web, il est possible d’utiliser le fichier Xmlrpc.php de WordPress pour se connecter à un site web. C’est l’approche préférée des cybercriminels tout simplement parce que plusieurs propriétaires de sites n’ont pas connaissance. L’approche consistera tout uniquement à faire une requête POST (terme informatique). Plusieurs le font automatiquement à partir d’un code PHP.

4 – Connexion à l’aide des API

Vous pouvez utiliser une connexion à votre site web via des API pour accéder à votre site web. Cela demanderait également un minimum de connaissance en développement web.

Il existe évidemment plusieurs autres approches. Cependant, ceux que nous avons énumérés plus hauts sont les principales. Ci-dessous nous allons parler de ce que vous pouvez faire pour mieux protéger votre site web.

4 étapes pour réduire l’attaque de force brute

Si vous recevez des notifications de tentative de connexion; ou si vous avez parfois vu des utilisateurs indésirables enregistrés sur votre site web, vous devez avant tout prendre le temps de validation votre configuration. En effet, WordPress par défaut offre la possibilité de protéger un site web. Validez , par exemple, que vous avez désactivé l’option de création de compte (si vous ne permettez pas la création de compte). Vous pouvez faire cet ajustement dans votre panneau d’administrateur. Regarder dans l’option Configuration ⇒ Compte utilisateur. Dans l’éventualité où vous autorisez la création de compte, valider que le courriel d’administrateur fonctionne pour être en mesure de recevoir des notifications en cas de création de compte. Cela vous permettra de mieux contrôler qui a accès à votre site web.

Option 1 – Protéger les formulaires de connexion de votre site web avec des captchas

Dans la vaste majorité de temps, les personnes qui tenteront d’accéder à votre site web n’y sont pas physiquement présentes. Elles utilisent des scripts qui font des tentatives de connexion en chaine. Cela leur permet d’atteindre facilement leurs objectifs.

Avec des captchas, vous pouvez freiner la possibilité d’utiliser des scripts pour accéder à votre site web. Le captcha pourrait, par exemple utilise l’intelligence artificielle pour valider si un utilisateur est réel. Alternativement, il y aurait une question à valider pour continuer avec la connexion. Nous vous proposons cette extension que nous avons développée. Elle utilise la version 2 et 3 de Google que vous pouvez activer sur le formulaire de connexion ou création de compte.

Option 2 – Changez complément le nom wp-admin en un nom quelconque.

Comme nous l’avons mentionné plus haut, plusieurs savent qu’il faut ajouter wp-admin au nom de domaine pour avoir accès à la connexion. Pour protéger votre site web, vous pouvez changer wp-admin en un nom quelconque. Pour y arriver, vous pouvez utiliser une extension WordPress. Il est également possible de modifier manuellement si vous avez des connaissances en programmation web. Via ce lien, vous trouverez un ensemble de liens que WordPress propose.

Option 3 – Bloquer complément l’accès au lien wp-admin et activez-le qu’à votre adresse ip

Dans l’éventualité où vous êtes le seul administrateur de WordPress site, vous pouvez désactiver le lien wp-admin. Grâce au fichier .htaccess disponible dans le répertoire principal de sites WordPress, vous pouvez contrôler l’accès à vos liens. Ci-dessous un exemple de code que vous pouvez utiliser :

<Files wp-login.php>
order deny,allow
Deny from all

# allow access from my IP address
allow from 168.98.10.2

# allow access from my IP address
allow from 168.98.10.6
</Files>

Dans le code ci-dessus 168.98.10.2 est supposé être votre adresse IP. Vous pouvez ajouter autant d’adresse que vous souhaitez en fonction du besoin. Il est important de noter que cette approche n’est valable que si vous avez une adresse IP statique. Dans le cas où vous possédez une adresse qui changement constamment, il est difficile de faire des changements tout le temps.

Option 4 – bloquez complètement l’accès au fichier xmlrpc.php de WordPress ou utilisez une extension pour restreindre

Comme nous l’avons dit plus haut, le fichier xmlrpc.php est également une porte d’accès à votre site web. Vous pouvez complètement limiter l’accès à ce fichier (si vous ne l’utilisez pas via les extensions). Alternativement, vous pouvez restreindre l’accès surtout aux applications qui l’utilisent sur votre site web. Ci-dessous un exemple de code que vous pouvez utiliser pour bloquer l’accès

<Files xmlrpc.php>
order deny,allow
Deny from all

# allow access from my IP address
allow from 168.98.10.2

# allow access from my IP address
allow from 168.98.10.6
</Files>

Option 5 – Utiliser une authentification à deux niveaux

Plusieurs plateformes optent pour l’authentification à deux niveaux comme moyen pour lutter contre l’attaque de force brute. Cela consisterait tout simplement à demander à l’utilisateur de fournir deux options de connexion. À cet effet, à chaque tentative de connexion, l’utilisateur devra présenter un code de validation pour accéder au site web. C’est d’autant plus efficace dans la mesure où même si une cybercriminelle parvient à avoir votre mot de passe, il devrait avoir accès à votre téléphone ou courriel.

Conclusion et réflexion finale

La cybercriminalité avec entre autres l’attaque de force brute est une problématique qui pourrait cibler n’importe qui dans une société. En effet, on peut notamment se protéger des approches connues. Cependant, les cybercriminelles sont constamment à la recherche des failles qu’ils peuvent exploiter. En tant qu’individu ou entreprise, vous devez appliquer un ensemble de processus pour être à l’abri le plus possible des éventuelles attaques. Si vous avez besoin d’assistance pour évaluer et proposer des pistes de solutions dans le but de renforcer la sécurité de votre site web, contactez-nous.

Gilblas Ngunte Possi

Fondateur et Développeur Full-Stack chez Prositeweb.

Ma maîtrise des outils modernes, combinée à un sens d’analyse approfondi des technologies de l’information, me permet d’offrir un accompagnement de qualité dans la conception et la mise en place de vos solutions web.