Toc, toc, toc : on frappe à la porte. Coup d’œil furtif à travers le judas : tiens, un inconnu au bataillon.

Hors de question de le laisser entrer, on ne sait jamais. Dans la « vraie vie », vous pouvez facilement contrôler les entrées et sorties au sein de votre domicile.

Sur votre site WordPress, ça se complique sévèrement. Au quotidien, tout un tas de personnes et de robots malveillants peuvent tenter d’y accéder par effraction. Sans prévenir, et sans frapper. Pour la politesse, on repassera.

En ce moment même, votre site est probablement en train d’être assiégé, d’ailleurs.

Un homme est apeuré.
Ne paniquez pas, tout va bien se passer.

On parle alors d’attaques par force brute de votre site WordPress. Ce fléau peut vous faire claquer des dents, sauf si vous prenez les devants en vous protégeant, grâce à une série de mesures dissuasives pour ceux qui oseront montrer les crocs.

Dans cet article, découvrez toutes nos parades pour bouter les méchants assaillants loin, très loin de votre site (et les décourager de revenir).

Initialement rédigé en septembre 2014, cet article a été mis à jour en août 2021.

Besoin d’un hébergeur pour votre site ?

Faites comme WPMarmite, choisissez o2switch. Non seulement les performances sont au rendez-vous mais le support est exceptionnel.

Qu’est-ce qu’une attaque par force brute ?

Dans une attaque par force brute (brute force attack, en anglais), des robots (bots) se rendent sur la page de connexion de votre site WordPress, puis tentent de découvrir l’identifiant et le mot de passe du compte administrateur de votre site en testant des combinaisons différentes, afin d’en prendre le contrôle.

Ces combinaisons englobent très souvent les identifiants et mots de passe les plus utilisés, du type « admin » et « 123456 ».

Si, par malheur, un essai s’avère concluant – ces robots peuvent en faire jusqu’à un millier par minute -, vous pouvez dire adieu à votre site. L’agresseur pourra y faire tout ce qu’il voudra, puisqu’il se sera connecté en tant qu’administrateur.

Libre à lui de supprimer tout le contenu de votre site, de vous dérober des informations personnelles (adresses e-mail, identifiants, données clients sur une boutique WooCommerce, etc.), ou encore d’injecter des logiciels malveillants (malwares).

Et même si le pirate (hacker) ne parvient pas à devenir le seul maître à bord, la multiplicité des attaques par force brute sur votre WordPress peut aussi mettre à mal votre site.

En effet, lors de ces attaques, de très nombreuses requêtes HTTP sont effectuées sur votre serveur, pouvant déboucher sur des problèmes de performance, voire rendre votre site indisponible.

Les attaques par force brute peuvent toucher n’importe quel type de site. Cependant, WordPress est une cible de choix pour plusieurs raisons majeures : 

  • il est le CMS (Content Management System) le plus utilisé à travers le monde. Au moment de rédiger ces lignes, plus de 40 % des sites internet l’utilisent ;
  • il permet par défaut un nombre illimité de tentatives de connexion ;
  • il est très simple de trouver sa page de connexion. Elle est par exemple accessible en se rendant sur l’URL suivante : votresite.fr/wp-admin. Sauf si vous la modifiez 😉 (plus d’infos en ce sens un peu plus tard).

Vous le voyez, les attaques par force brute sur WordPress ne sont pas à prendre à la légère. Il s’agit de l’une des principales causes de piratage d’un site WordPress, comme vous l’expliquent Alex et Julio dans cet épisode du Point Sécu, diffusé sur la chaîne YouTube de WPMarmite :

Pour prendre le problème à bras le corps, voici 7 solutions qui vous aideront à dormir sur vos deux oreilles.

7 solutions pour se protéger contre les attaques par force brute sur WordPress

Utiliser un identifiant et un mot de passe complexes

Commençons par un premier conseil de base : utilisez un identifiant et un mot de passe forts.

Pour l’identifiant, jetez aux oubliettes le classique « admin » de votre site pour corser le travail des agresseurs (cela vaut aussi pour ses dérivés comme « test », par exemple).

Vous possédez déjà un compte avec l’identifiant « admin » ? Voici comment faire pour le supprimer : 

Ajout d'un compte pour se protéger contre les attaques par force brute sur WordPress.
  • supprimez votre compte admin en attribuant tout le contenu qui lui est associé au nouvel utilisateur que vous venez de créer.

Passons aux mots de passe, à présent. Oubliez les classiques « 123456 », « 123456789 » ou encore « password », qui font partie des plus utilisés – et donc des plus piratés – à travers la planète.

Pour concevoir un mot de passe fort, appliquez les bonnes pratiques suivantes :

  • utilisez une combinaison de chiffres et de lettres (majuscules, minuscules, chiffres et signes de ponctuation) ;
  • oubliez les mots de passe communs comme « 1234 », « 0000 », votre prénom ou celui de votre animal de compagnie ;
  • optez pour un mot de passe long, au-delà de 10 caractères ; 
  • ne vous servez pas du mot de passe que vous utilisez pour d’autres sites (ex : boîte mail, banque, etc.). Dans la mesure du possible, servez-vous d’un mot de passe unique.

Pour générer des mots de passe forts comme un Turc, il existe différentes options pour vous aider, si vous séchez : 

Enfin, même si votre mot de passe vous semble archi-sécurisé, pensez quand même à le modifier de temps en temps, c’est toujours mieux.

Limiter le nombre de tentatives de connexion à l’administration

Pour repousser de méchants robots désireux de prendre le contrôle de votre site, renforcez votre bouclier de sécurité en les empêchant de tester des combinaisons infinies d’identifiants et de mots de passe.

Rappelez-vous : pour eux, une installation WordPress, c’est du pain bénit. Si vous ne la protégez pas un minimum, ils peuvent s’adonner à leur loisir préféré (lancer des attaques par force brute) sans aucune limite.

Afin de leur couper l’herbe sous le pied, utilisez l’extension iThemes Security. Il s’agit d’une extension couteau-suisse offrant plus de trente options pour protéger votre installation WordPress des pirates, bots et autres malwares.

L'extension iThemes Security permet de lutter contre les attaques par force brute sur WordPress.

Plus de la moitié de ces options sont déjà accessibles avec la version gratuite, dont la protection contre les attaques par force brute sur WordPress, qui nous intéresse ici. 😉

Voici comment cela fonctionne. Une fois le plugin activé, configurez les réglages du module « Protection de force brute locale » en choisissant : 

  • le blocage immédiat d’une adresse IP qui tenterait de se connecter avec l’identifiant « admin » ;
  • le nombre maximum de tentatives de connexions par adresse IP ;
  • le nombre maximum de tentatives de connexions par identifiant ;
  • le nombre de minutes prises en compte pour compter les connexions infructueuses.
Le module « Force brute locale » d'iThemes Security.

Les réglages par défaut seront déjà efficaces (voir capture ci-dessus). Après, à vous de voir ce que vous souhaitez mettre en place.

Au-delà de la protection locale, qui concerne les tentatives d’accès à votre site, iThemes Security permet également d’activer ce qu’il appelle un « réseau de protection de force brute » via le module éponyme. Ce réseau va bloquer les utilisateurs qui ont essayé de s’introduire dans d’autres sites avant de s’attaquer au vôtre.

iThemes Security est une extension de sécurité généraliste qui va vous permettre de faire d’une pierre deux coups.

Grâce à elle, vous vous protégez des attaques par force brute sur WordPress, tout en blindant votre site à d’autres niveaux (blocage des adresses IP, mise à jour des clés secrètes de WordPress, permissions de fichiers, blocage d’utilisateurs, etc.).

Télécharger l’extension iThemes Security :

Si vous recherchez une extension spécialement conçue pour balayer les attaques par force brute sur WordPress, il existe plusieurs solutions sur le répertoire officiel (n’en utilisez qu’une seule bien sûr, si besoin) : 

Enfin, si vous êtes, comme plus de 5 millions d’aficionados WordPress, un fan invétéré de l’extension Jetpack (un autre couteau-suisse), sachez que cette dernière dispose d’un module pour vous protéger contre les attaques par force brute. 

Formez-vous à WordPress en 8 semaines

Apprenez à concevoir des sites WordPress sécurisés, rapides et conformes aux obligations légales avec la formation à distance la plus généreuse du marché (éligible aux financements)

WPChef, la formation WordPress de référence

Changer la page de connexion à l’administration

Limiter les tentatives de connexion à l’administration est fortement recommandé, mais il est possible d’aller encore plus loin. Puisque mettre des bâtons dans les roues de robots malveillants et de pirates humains vous intéresse, pourrissez-leur encore plus la vie en modifiant votre page de connexion à l’administration.

Si vous avez bien suivi depuis le début, vous avez lu qu’il était très facile de trouver la page de connexion à l’administration d’un site WordPress. Il suffit de taper l’une ou l’autre des URLs suivantes dans votre barre de navigation : 

  • votresite.fr/wp-admin ;
  • votresite.fr/wp-login.php.

Maintenant, si la page de connexion classique n’est plus accessible en se rendant sur l’une des URLs ci-dessus, les robots et autres assaillants l’ont dans l’os !

Pour déplacer votre page de connexion sur l’URL de votre choix, rendez-vous à nouveau dans iThemes Security. Un réglage est disponible dans les réglages avancés :

iThemes Security propose un réglage permettant de déplacer la page de connexion à l'administration WordPress.

Au niveau de la configuration, il vous faudra spécifier un slug de connexion. À partir de là, le répertoire wp-admin et la page wp-login.php deviennent inaccessibles. Pensez à noter votre nouvelle URL à plusieurs endroits. Vous pouvez par exemple l’ajouter à vos favoris sur votre navigateur pour y accéder facilement.

Vous pouvez éventuellement spécifier une URL de redirection (ex : https://votresite.fr/404), sur laquelle seront renvoyés le bot ou le hacker non connectés qui souhaitent accéder à votre page de connexion.

Si vous souhaitez une extension alternative (pour ne bénéficier que de cette fonctionnalité), orientez-vous vers WPS Hide Login.

Utiliser l’authentification à deux facteurs pour lutter contre les attaques par force brute sur WordPress

Vous êtes toujours là ? Chouette. Alors continuons notre entreprise de démolition des attaques par force brute sur votre WordPress.

À présent, j’ai un nouvel atout à sortir de mon chapeau : l’authentification à deux facteurs (on parle aussi d’authentification forte, ou de double authentification). 

Cette méthode ajoute une couche de sécurité supplémentaire pour pouvoir vous connecter à votre site WordPress. Grâce à cela, vous allez devoir :

  • entrer votre identifiant et votre mot de passe dans un premier temps ;
  • utiliser un appareil, bien souvent votre smartphone ou votre tablette, pour pouvoir valider le processus de connexion.

Ainsi, si un pirate ou un robot parvient à identifier votre mot de passe, il se heurtera à un mur puisqu’il aura besoin d’un autre outil pour pouvoir se connecter (s’il n’a pas dérobé votre smartphone, il n’ira donc pas loin).

L’authentification à deux facteurs, ça vous parle forcément. Vous vous en servez lorsque vous effectuez des achats en ligne :

  1. Dans un premier temps, on vous demande d’entrer les données de votre carte bancaire sur le site sur lequel vous désirez faire vos emplettes ; 
  2. Dans un second temps, afin de s’assurer que vous êtes à l’origine de l’opération, on vous demande par exemple de taper un code reçu par SMS sur votre téléphone portable, ou bien de vous connecter à votre appli bancaire pour valider le paiement.

Figurez-vous qu’activer la double authentification sur la page de connexion à votre site WordPress, c’est aussi possible.

Plusieurs extensions le permettent, à l’image de Two Factor Authentication, développée et maintenue par l’équipe du célèbre plugin de sauvegarde UpdraftPlus

L'extension Two Factor Authentication.

Cette dernière utilise un algorithme automatique qui permet de générer un code de connexion à usage unique, qui se renouvelle automatiquement toutes les 30 secondes.

Télécharger l’extension Two Factor Authentication :

Pour que votre smartphone ou votre tablette reconnaisse ce code, il vous suffit de scanner un code-barres en utilisant par exemple l’application Google Authenticator pour recevoir ce code.

Le code-barres généré par Two Factor Authentication.

Si vous utilisez déjà iThemes Security, sachez que la version Pro de cette extension propose déjà un module pour activer l’authentification à deux facteurs.

Implémenter un captcha

Sans transition, on passe à une nouvelle astuce pour vous débarrasser des attaques par force brute sur WordPress. 

À ce propos, laissez-moi vous poser une question : CAP(TCHA) ou pas CAP(TCHA) de savoir ce qu’il en retourne ?

Allez, je parie que vous êtes CAP(TCHA), bien sûr. Bon, le jeu de mots est capillotracté, je vous l’accorde, mais vous servir de ce genre de test, qui permet de différencier les humains des robots, vous aidera à lutter efficacement contre des bots malveillants traînant avec gourmandise autour de votre formulaire de connexion.

Pour vous y coller, là encore, une extension sera en mesure de faire le boulot pour vous. reCaptcha by BestWebSoft, par exemple.

reCaptcha by BestWebSoft permet d'ajouter un captcha sur WordPress.

Ce plugin utilise, entre autres, le protocole officiel reCAPTCHA de Google, qui permet de ne cocher qu’une seule case pour prouver que vous n’êtes pas un robot.

Le formulaire de connexion avec l'extension reCaptcha.

Télécharger l’extension reCaptcha by BestWebSoft :

Et puisque vous connaissez déjà iThemes Security, je vous glisse encore deux ultimes mots sur lui : sa version Pro intègre un Google reCAPTCHA, si cela vous intéresse.

Envie d’en savoir plus sur les extensions pour installer un captcha sur WordPress ? Mettez le cap sur cet article du blog.

Sauvegarder régulièrement son site WordPress

Avec les conseils déjà énumérés ci-dessus, vous avez de quoi dégoûter les assaillants les plus féroces.

La recommandation qui va suivre ne va pas directement empêcher les attaques par force brute sur votre site WordPress. Par contre, vous serez bien content de l’avoir suivie à la lettre si jamais votre installation venait à être touchée.

Un réflexe incontournable à adopter pour vous retourner en cas d’attaque, quelle qu’elle soit, consiste à sauvegarder régulièrement votre site web (ses fichiers et sa base de données).

Pour vous couvrir, servez-vous d’une extension dédiée qui s’occupera automatiquement de vos sauvegardes, et vous permettra de restaurer facilement votre site, sans aucune manipulation technique complexe.

Plusieurs clients répondent à ces critères sur le répertoire officiel. On vous en présente 7 dans ce contenu.

Personnellement, WPMarmite a un faible pour UpdraftPlus, dont la version gratuite est complète, simple et efficace.

UpdraftPlus vous aide à sauvegarder automatiquement votre site WordPress.

Télécharger l’extension UpdraftPlus :

Bonus : protéger la lecture des répertoires

Je vous propose de terminer cette salve de conseils par une recommandation un brin plus technique : la protection de la lecture des répertoires de votre site WordPress.

Par défaut, si vous essayez d’accéder aux répertoires d’un site, le serveur les affichera. Au cours d’une attaque par force brute sur WordPress, les bots et autres pirates peuvent alors parcourir vos répertoires : voir les fichiers de votre site va les aider à mieux pouvoir l’attaquer.

Pour protéger votre site, insérez le code suivant dans votre fichier .htaccess :

Options -Indexes

Évidemment, sauvegardez votre site avant toute manipulation. 😉

Développez votre trafic et augmentez vos ventes

Façonnez le référencement de votre site WordPress et sortez-le enfin de l’anonymat.

À l’attaque (pour limiter les attaques par force brute sur votre WordPress… et le sécuriser) !

Les attaques par force brute sur WordPress sont malheureusement communes et fréquentes. Pour vous en protéger, il existe plusieurs solutions efficaces :

  • l’utilisation d’un identifiant et d’un mot de passe complexes
  • la limitation du nombre de tentatives de connexion à l’administration ;
  • la modification de la page de connexion à l’administration
  • l’authentification à deux facteurs ;
  • l’ajout d’un système de captcha.

À mon sens, le minimum syndical est de mettre en place les 3 premières solutions. Pour le reste, c’est à vous de juger en fonction de votre sensibilité (note : vous êtes peut-être paranoïaque si vous avez combiné les 5 solutions).

Pour résumer, adopter les bons réflexes en termes de sécurité ne vous garantira pas une protection totale (aucun site n’est infaillible), mais vous vous mettrez à l’abri de nombreuses déconvenues.

Alors ne tardez pas, et passez à l’action tout de suite en appliquant nos conseils !

Avez-vous déjà été confronté à une attaque brute force ? Comment vous protégez-vous face à ce type de menace ?

On attend vos retours dans les commentaires.