Cet article fait suite à un tweet de @boxsociety qui demandait si une adresse IP qui visite presque 600 fois d’affilé la page wp-login.php (qui est la page de login de l’administration de WordPress) de son blog était bien une tentative de piratage.
Il s’agissait d’une attaque par force brute qui consiste à trouver un mot de passe en testant toutes les combinaisons possibles. Lorsque le mot de passe est relativement complexe, il y a quasiment aucune chance de percer celui-ci, en revanche si il est composé de peu de lettres, les risques augmentent dramatiquement.
Voici deux méthodes très simples mais redoutables qui protègeront votre blog d’une attaque de ce type sans aucun problème.
Bannir l’IP : si vous êtes en mesure de connaitre et de voir en direct l’IP qui vous attaque, vous pouvez la bannir et l’empecher d’accéder à votre blog en modifiant comme ceci le fichier .htaccess situé à la racine de votre espace web :
order allow,deny
deny from 127.0.0.1
deny from 127.0.0.2
deny from 127.0.0.3
allow from all
Où 127.0.0.1/2/3 sont les IP à bannir. Cette solution est très efficace sur l’instant mais reste temporaire car les pirates disposent souvent d’adresses IP différentes.
Le plugin pour WordPress : vous pouvez installer le plugin Limit Login Attempts qui permet de bloquer pendant X minutes une personne qui se serait trompée X fois de mot de passe en tentant d’accéder à l’administration du blog. Après X blocages, cette personne se verra encore bloquée pour X heures. L’administrateur pourra également être prévenu par email de la tentative de piratage.
