Un guide complet de WordPress Brute Force Protection (+4 meilleurs plugins)
Publié: 2022-08-09Les attaques par force brute se produisent lorsque des pirates tentent d'accéder aux fichiers de votre site en essayant constamment de nouveaux mots de passe. S'ils réussissent, ils pourraient voler vos données privées, ajouter des logiciels malveillants ou même supprimer complètement votre site Web.
Heureusement, vous pouvez facilement empêcher ces attaques par force brute. En mettant simplement à jour vos informations de connexion ou en activant l'authentification à deux facteurs, vous pouvez empêcher les pirates d'accéder à votre site Web. Une autre méthode efficace consiste à installer un plugin de protection contre la force brute comme Jetpack.
Dans cet article, nous expliquerons ce que sont les attaques par force brute et comment vous pouvez les empêcher. Ensuite, nous vous recommanderons les meilleurs plugins pour la protection contre la force brute.
Une introduction aux attaques par force brute
Les attaques par force brute se produisent lorsque les pirates utilisent des essais et des erreurs pour accéder à votre site Web. Cela implique généralement de deviner vos informations de connexion à l'aide d'un logiciel automatisé. Essentiellement, les pirates essaieront de nombreux mots de passe et combinaisons de noms d'utilisateur différents jusqu'à ce qu'ils trouvent le vôtre.
D'autres formes de piratage exploitent généralement les vulnérabilités de votre site Web WordPress. Par exemple, les pirates peuvent accéder à vos données via des logiciels, des plugins ou des thèmes obsolètes. Même une ancienne version de PHP peut rendre votre site vulnérable.
D'autre part, les attaques par force brute reposent sur des identifiants de connexion faibles. Si vous avez un mot de passe devinable comme "123456", les pirates peuvent utiliser un logiciel automatisé pour accéder à votre site.
Les attaques par force brute sont plus courantes que vous ne le pensez. En fait, ils deviennent plus menaçants que jamais. Vers la fin de 2021, le taux d'attaques par force brute a augmenté de 160 %.
Si votre site Web subit une attaque par force brute, les pirates peuvent :
- Volez vos données privées
- Ajouter des logiciels malveillants à votre site
- Diminuer votre crédibilité et/ou vos classements de recherche
- Supprimer complètement votre contenu
Inutile de dire que vous voudrez protéger votre site Web contre ces dangers. Bien que les paramètres par défaut de WordPress n'offrent pas de protection supplémentaire contre les attaques par force brute, vous pouvez prendre certaines mesures pour les empêcher de se produire.
Comment bloquer les attaques par force brute sur WordPress
Maintenant que vous connaissez les attaques par force brute, discutons de la façon de protéger votre site Web WordPress contre elles.
Étape 1 : Mettez à jour votre nom d'utilisateur
Étant donné que les attaques par force brute impliquent de deviner les informations de connexion, vous pouvez sécuriser votre site Web WordPress en mettant à jour vos informations d'identification. Tout d'abord, vous devriez envisager de choisir un nom d'utilisateur unique.
Dans les anciennes versions de WordPress, le nom d'utilisateur par défaut était « admin ». Désormais, les nouveaux titulaires de compte peuvent choisir leur nom d'utilisateur lors de leur première connexion. Mais vous devrez peut-être mettre à jour votre nom d'utilisateur si vous avez un ancien compte.
Pour voir quel est votre nom d'utilisateur actuel, ouvrez votre tableau de bord WordPress. Ensuite, accédez à Utilisateurs → Profil . Vous trouverez votre nom d'utilisateur dans la section Nom .
Si vous avez déjà un nom d'utilisateur unique, passez aux étapes suivantes. Si vous voyez admin comme nom d'utilisateur, vous voudrez probablement le changer. Malheureusement, vous ne pourrez pas modifier directement votre profil dans le tableau de bord.
L'un des moyens les plus simples de modifier votre nom d'utilisateur WordPress consiste à créer un nouvel utilisateur. Ensuite, vous pouvez lui attribuer un nom d'utilisateur unique et lui donner les mêmes privilèges administratifs. Le seul inconvénient de cette méthode est que vous devrez utiliser une nouvelle adresse e-mail.
Tout d'abord, allez dans Utilisateurs → Ajouter nouveau . Sur cette page, créez un nouveau nom d'utilisateur et entrez votre adresse e-mail. Assurez-vous de définir le rôle d'utilisateur sur Administrateur .
Si vous souhaitez utiliser la même adresse e-mail, vous pouvez simplement ajouter un signe plus avec des lettres supplémentaires après le nom d'utilisateur. Par exemple, si votre adresse e-mail normale est "[email protected]", vous pouvez utiliser "[email protected]". WordPress considérera cela comme une nouvelle adresse e-mail, mais il utilisera la même boîte de réception.
Ensuite, vous devrez vous déconnecter de WordPress et utiliser le nouveau nom d'utilisateur pour vous reconnecter. Ensuite, accédez à la page Tous les utilisateurs et cliquez sur Supprimer sous le rôle d'utilisateur administrateur .
Pendant le processus de suppression, vous devrez déplacer son contenu vers le nouveau nom d'utilisateur. Pour ce faire, sélectionnez Attribuer tout le contenu à [nouveau nom d'utilisateur] . Il s'agit d'une étape critique, sinon votre contenu sera supprimé.
Enfin, cliquez sur Confirmer la suppression . Si vous souhaitez commencer à utiliser la même adresse e-mail attribuée au nom d'utilisateur de l' administrateur , vous pouvez la mettre à jour maintenant.
Si vous souhaitez modifier votre nom d'utilisateur existant, vous devrez le faire via votre base de données WordPress. Notez qu'apporter des modifications à la base de données peut être dangereux, il est donc préférable de le faire si vous avez déjà de l'expérience dans ce domaine. Pour modifier votre nom d'utilisateur, procédez comme suit :
- Cliquez sur l'outil phpMyAdmin dans le cpanel de votre hébergeur. L'emplacement exact peut varier en fonction de votre hôte.
- Cliquez sur la base de données de votre site WordPress dans le panneau de gauche. Cela ouvrira vos tables de base de données.
- Cliquez sur la table wp_users . Le préfixe "wp_" est défini par défaut, mais votre hébergeur l'a peut-être remplacé par autre chose. Par exemple, la table peut s'appeler "janb_users".
- Recherchez le nom d'utilisateur que vous souhaitez modifier sur le côté droit - dans ce cas, "Admin" - et cliquez sur Modifier.
- Dans le champ user_login , saisissez le nouveau nom d'utilisateur que vous souhaitez définir.
- Cliquez sur le bouton Aller .
Maintenant, vous pouvez vous connecter avec le nouveau nom d'utilisateur !
Étape 2 : Utilisez un mot de passe fort
Une autre façon de protéger votre site contre les attaques par force brute consiste à utiliser un mot de passe fort. Étant donné que les pirates utilisent des botnets (réseaux de robots) pour deviner au hasard des mots de passe, il peut être utile d'en avoir un avec une chaîne unique de chiffres et de lettres.
Voici les caractéristiques d'un mot de passe fort :
- Il a entre dix et 50 caractères
- Il utilise des lettres majuscules et minuscules
- Il utilise des chiffres et des caractères spéciaux
- Il est unique par rapport aux mots de passe utilisés pour d'autres comptes ou sites Web
Pour mettre à jour votre mot de passe WordPress, accédez à Utilisateurs → Profil . Ensuite, faites défiler jusqu'à Gestion du compte .
Ensuite, cliquez sur Définir un nouveau mot de passe . Une fois que vous avez fait cela, WordPress générera automatiquement un mot de passe fort pour vous. Ce sera une référence complexe difficile à deviner.
Vous pouvez utiliser ce mot de passe ou créer le vôtre. Au fur et à mesure que vous tapez, WordPress indiquera la force ou la faiblesse de votre nouveau mot de passe.
Pour vous assurer que votre nouveau mot de passe est sécurisé et aléatoire, vous pouvez utiliser un générateur de mot de passe. Cet outil peut créer automatiquement un mot de passe avec des lettres majuscules et minuscules, ainsi que des chiffres et des symboles.
Après avoir collé votre nouveau mot de passe dans la zone de texte, faites défiler jusqu'au bas de la page. Cliquez sur Mettre à jour le profil pour enregistrer vos modifications. Pour une protection maximale contre les attaques par force brute, pensez à changer votre mot de passe WordPress tous les quatre mois.
Étape 3 : Ajouter une authentification à deux facteurs
Lorsque vous vous connectez à votre site WordPress avec juste un mot de passe, cela s'appelle une authentification en une seule étape. Vous pouvez également implémenter une authentification en deux étapes ou à deux facteurs.
Avec l'authentification en deux étapes, vous fournirez deux formes de vérification pour vous connecter à votre site. Vous devrez toujours saisir votre mot de passe, mais vous devrez également confirmer votre identité sur votre téléphone ou un autre appareil.
Jetpack facilite l'ajout d'une authentification sécurisée à votre site Web. Tout d'abord, installez et activez Jetpack dans WordPress. Ensuite, dans le tableau de bord Jetpack, cliquez sur Gérer les paramètres de sécurité .
Faites défiler vers le bas de la page et trouvez la section de connexion WordPress.com . Ici, activez Exiger que les comptes utilisent l'authentification en deux étapes de WordPress.com .
Ensuite, recherchez la page Authentification en deux étapes dans l'onglet Sécurité . Vous pouvez choisir de configurer votre authentification à deux facteurs avec une application ou un SMS.
Si vous choisissez la première option, vous devrez télécharger une application comme Google Authenticator (iPhone | Android). WordPress fournira un code QR, que vous pourrez scanner avec l'application, puis saisir le code généré.
Lorsque vous cliquez sur Configurer par SMS , vous devez entrer votre numéro de téléphone. Une fois que vous avez vérifié le code envoyé à votre téléphone, vous pouvez commencer à utiliser l'authentification à deux facteurs.
Vous pouvez désormais vérifier votre identité à chaque fois que vous vous connectez à WordPress ! Cette configuration peut offrir une protection accrue contre les attaques par force brute.
Étape 4 : Installez un plug-in de protection contre les attaques par force brute
Après avoir pris quelques mesures de base pour protéger votre page de connexion, vous pouvez également bénéficier de l'installation d'un plugin de protection contre la force brute. Le bon outil peut automatiquement bloquer les attaques par force brute avant qu'elles n'affectent votre site.
Lorsque vous essayez de choisir le meilleur plugin pour la protection contre la force brute, vous devez garder quelques facteurs à l'esprit. Pour protéger votre site Web, vous voudrez trouver un plugin qui fonctionne dans les coulisses pour empêcher et arrêter les attaques par force brute.
Voici quelques fonctionnalités de base que vous devriez rechercher dans un plugin de protection contre la force brute :
- Tentatives de connexion limitées
- Authentification à deux facteurs
- Un pare-feu
- Liste de blocage des adresses IP
De plus, de nombreux plugins de protection contre la force brute offrent une sécurité générale pour votre site Web. Par exemple, Jetpack Security empêche non seulement les attaques par force brute, mais effectue des analyses de logiciels malveillants, crée des sauvegardes automatiques et filtre les spams.
Jetpack est également l'un des plugins de protection contre la force brute les plus faciles à configurer. Après avoir installé et activé Jetpack, vous pouvez activer la protection contre la force brute dans le tableau de bord.
En un clic, vous pouvez activer Jetpack pour empêcher les attaques par force brute !
Les quatre meilleurs plugins WordPress pour la protection contre les attaques par force brute
L'installation d'un plugin peut être le moyen le plus efficace d'empêcher les attaques par force brute. Pourtant, vous ne savez peut-être pas quelle option convient à votre site Web. Bien qu'il existe de nombreux plugins de protection contre la force brute, quatre se distinguent comme les meilleurs !
1. Jet pack
Lorsque vous téléchargez Jetpack, vous pouvez accéder à la protection contre les attaques par force brute et à de nombreuses autres fonctionnalités de sécurité. Jetpack propose également des outils de performance et de croissance, afin que vous puissiez choisir un plan parfaitement adapté à vos besoins.
Si la protection contre les attaques par force brute est tout ce dont vous avez besoin, la bonne nouvelle est qu'elle est entièrement gratuite !
Principales caractéristiques de la protection contre les attaques par force brute de Jetpack :
- Activation en un clic
- IP autorisées
- La possibilité de voir le nombre d'attaques bloquées
- Authentification à deux facteurs
Avantages :
- Si vous êtes accidentellement bloqué sur votre page de connexion en raison des mesures de protection de Jetpack, vous pouvez envoyer un lien de connexion spécial à votre adresse e-mail.
- Jetpack compare chaque nouvelle adresse IP à sa base de données globale d'adresses malveillantes.
- Avec Jetpack, vous pouvez également accéder à des mesures de sécurité étendues, telles que la surveillance des temps d'arrêt, les sauvegardes de site et les analyses de logiciels malveillants.
Inconvénients :
- Jetpack vous oblige à vous connecter à un compte WordPress.com.
- Si votre serveur est mal configuré, il se peut qu'il ne renvoie pas d'adresse IP, ce qui peut désactiver la fonction de protection contre la force brute.
Facilité d'utilisation :
Avec Jetpack, vous pouvez implémenter la prévention des attaques par force brute en une seule étape. Après l'installation, il vous suffit de visiter le tableau de bord principal de Jetpack pour activer la fonctionnalité. Ensuite, vous pouvez simplement laisser Jetpack faire le travail sans aucune maintenance.
Tarification :
Tout utilisateur de WordPress peut commencer à utiliser gratuitement la protection contre la force brute avec Jetpack.
2. Sucuri
Sucuri est un outil spécialisé dans la surveillance, la protection et la performance des sites Web. En mettant en œuvre un pare-feu d'application Web (WAF), Sucuri peut bloquer les attaques par force brute sur votre site Web.
Fonctionnalités clés :
- Pare-feu d'application Web (WAF)
- Limite les tentatives de connexion
- Outils automatisés pour bloquer les bots
- Liste d'autorisation
- Authentification à deux facteurs, CAPTCHA et codes d'accès
Avantages :
- Sucuri inclut le blocage géographique afin que vous puissiez bloquer tous les visiteurs de plages IP spécifiques. Cette fonctionnalité peut empêcher les attaques par force brute de certains pays.
- Le pare-feu de Sucuri assainit le trafic avant même qu'il n'atteigne votre site Web WordPress.
Inconvénients :
- La version gratuite de Sucuri ne fournit pas de prévention de la force brute. Pour accéder à un WAF, vous devrez acheter un abonnement.
- Bien que Sucuri soit une option efficace pour la prévention des attaques par force brute, cela coûte cher. Il existe d'autres plugins gratuits avec des fonctionnalités similaires.
Facilité d'utilisation :
Comparé à d'autres plugins, Sucuri a un processus de configuration plus compliqué. Pour commencer à utiliser Sucuri, vous devrez acheter un plan et configurer un pare-feu. Cela implique d'intégrer votre compte cPanel et de modifier manuellement vos enregistrements DNS.
Tarification :
Avec Sucuri, la protection contre la force brute nécessite un plan premium. Cette fonctionnalité est livrée avec toutes ses options d'abonnement, qui commencent à 199,99 $ par an.
3. Sécurité des barrières de mots
Wordfence Security est un plugin qui fournit un pare-feu et un scanner de sécurité tout en un. Cet outil offre de nombreuses formes de sécurité de connexion, y compris l'authentification à deux facteurs, les adresses IP autorisées et les clés reCAPTCHA.
Fonctionnalités clés :
- Limite les tentatives de connexion
- Enregistre les tentatives de connexion réussies et échouées
- Liste de blocage IP continuellement mise à jour
- Outils de blocage manuel
- Authentification à deux facteurs et reCAPTCHA
Avantages :
- Comme il est livré avec un pare-feu d'application Web, Wordfence peut identifier et bloquer le trafic malveillant sur votre site.
- Si des mots de passe administratifs sont compromis, vous pouvez bloquer toutes les connexions de cet utilisateur.
- Wordfence effectue des analyses de sécurité planifiées tous les trois jours lorsque vous utilisez la version gratuite.
Inconvénients :
- Pour la version gratuite de Wordfence, les données générées sont retardées de 30 jours. Pour recevoir des renseignements sur les menaces en temps réel, vous devrez passer à un forfait payant.
- Le plugin gratuit ne vous permet pas non plus de planifier manuellement l'analyse.
Facilité d'utilisation :
Wordfence fournit un processus de configuration très simple pour les nouveaux utilisateurs. Après avoir installé et activé le plugin gratuit, il vous demandera d'entrer une adresse e-mail où Wordfence peut envoyer des alertes. Ensuite, vous pouvez ajouter une protection contre la force brute en implémentant un pare-feu et des fonctionnalités de sécurité de connexion.
Tarification :
Même la version gratuite de Wordfence Security est livrée avec une protection intégrée contre la force brute pour un nombre illimité de sites. Si vous avez besoin d'une assistance avancée, vous pouvez acheter un plan premium. Ceux-ci commencent à 99 $ par an.
4. Sécurité iThèmes
iThemes Security garantit que vous pouvez commencer à protéger votre site Web contre les attaques par force brute en moins de dix minutes. Avec ce plugin, vous pouvez rapidement personnaliser votre page de connexion avec une authentification à deux facteurs et des exigences de mot de passe. De plus, iThemes ajoutera automatiquement votre site à son réseau de protection Brute Force.
Fonctionnalités clés :
- Tentatives de connexion maximales pour les hôtes et les utilisateurs
- Protection contre la force brute locale et réseau
- Graphiques des récentes attaques par force brute
- La possibilité de définir des exigences de mot de passe pour tous les utilisateurs
- Authentification à deux facteurs
Avantages :
- L'un des principaux avantages d'iThemes Security est son réseau de protection Brute Force. Il enregistre les activités suspectes sur un million de sites Web différents, identifiant les adresses IP malveillantes.
- Vous pouvez définir un nombre maximum de tentatives de connexion pour votre site Web, ce qui peut empêcher les devinettes de connexion automatisées.
Inconvénients :
- Si vous souhaitez ajouter des fonctionnalités de sécurité supplémentaires à votre page de connexion, comme un champ reCAPTCHA, vous devrez acheter le plugin premium.
- Le plugin gratuit n'inclut pas les rapports de sécurité en temps réel.
Facilité d'utilisation :
Après l'installation, le plugin iThemes vous guidera à travers un processus de configuration étape par étape. Ici, vous pouvez activer la protection contre la force brute locale et réseau. Vous pouvez également choisir d'ajouter une authentification à deux facteurs pour plus de sécurité.
Tarification :
iThemes Security est un plugin WordPress gratuit. Si vous souhaitez utiliser le tableau de bord de sécurité en temps réel, vous pouvez acheter la version premium à partir de 80 $ par an.
Comparaison des meilleurs plugins qui bloquent les attaques par force brute
| Jet pack | Sucuri | Sécurité Wordfence | Sécurité iThèmes | |
| Limiter les tentatives de connexion | Oui | Oui | Oui | Oui |
| Authentification à deux facteurs | Oui | Oui | Oui | Oui |
| Rapports en temps réel | Oui | Oui | Oui, avec extension premium | Oui, avec extension premium |
| Blocage IP | Oui | Oui | Oui | Oui |
| reCAPTCHA | Oui | Oui | Oui | Oui, avec extension premium |
| Protection du réseau contre la force brute | Oui | Non | Non | Oui |
| Facilité d'utilisation | Activation en une étape | Nécessite de modifier manuellement les enregistrements DNS | Des onglets simples pour gérer votre pare-feu, vos analyses et la sécurité de connexion | Assistant de configuration pour configurer la sécurité de connexion et les groupes d'utilisateurs |
| Prix | Libre | 199,99 $ à 499,99 $ par an | Gratuit - 950 $ par an | Gratuit - 199 $ par an |
Foire aux questions (FAQ)
Maintenant que vous savez tout sur les attaques par force brute et comment les prévenir, répondons à quelques questions !
Combien coûte la protection contre la force brute dans WordPress ?
La protection contre la force brute peut être gratuite si vous téléchargez un plugin de protection contre la force brute comme Jetpack. D'autres fournisseurs comme Sucuri nécessitent un abonnement payant.
Comment puis-je configurer une protection contre les attaques par force brute dans WordPress ?
La configuration de la protection contre la force brute varie en fonction du fournisseur que vous choisissez. Certaines options nécessitent la configuration d'un pare-feu, ce qui peut être compliqué. Alternativement, Jetpack est un plugin qui simplifie ce processus. Après l'activation, vous pouvez activer la protection contre la force brute avec un seul paramètre.
Que puis-je faire d'autre pour sécuriser mon site WordPress ?
Il existe de nombreuses mesures de sécurité générales que vous pouvez prendre pour protéger votre site Web. Tout d'abord, envisagez d'effectuer des mises à jour cohérentes pour le logiciel principal, les thèmes et les plugins. Vous pouvez également protéger vos données en sauvegardant votre site Web.
Une autre mesure de sécurité simple consiste à bloquer les spams. C'est aussi une bonne idée de supprimer les plugins inutilisés et de surveiller l'activité de votre site. Enfin, assurez-vous de rechercher régulièrement des logiciels malveillants et de prendre des mesures immédiates si quelque chose est trouvé.
Sécurisez votre site Web contre les attaques par force brute
Sans la bonne protection, votre site Web peut être la proie d'attaques par force brute. Heureusement, un plugin de protection contre la force brute est un simple ajout à votre site. Avec les bonnes mesures de sécurité, vous pouvez empêcher les pirates de voler vos données.
Pour passer en revue, voici comment implémenter la protection contre les attaques par force brute dans WordPress :
- Mettez à jour votre nom d'utilisateur.
- Utilisez un mot de passe fort.
- Ajoutez une authentification à deux facteurs.
- Installez un plugin de protection contre les attaques par force brute comme Jetpack.
Après avoir suivi ces étapes, vous serez en mesure de garder vos informations privées et sécurisées ! Ensuite, il suffit de maintenir votre logiciel à jour, de sauvegarder vos fichiers et de surveiller votre site Web pour détecter les spams et les activités suspectes.