Tentatives de connexion à répétition
24 avril 2018
J’ai eu dimanche après-midi comme une intuition et j’ai voulu consigner, dans un fichier de log spécifique, l’activité autour du fichier de connexion à mes blogs WordPress wp-login.php en modifiant le paramétrage de mon serveur Apache comme suit :
SetEnvIf Request_URI "/wp-login\.php(?|$|/)" login CustomLog "logs/login_log" combined env=login
J’ai ensuite recherché des accès à la page wp-login.php à l’aide de la commande :
cat /var/log/httpd/login_log|grep -P "23/Apr"|grep " 200 "|more
Et je suis tombé là-dessus :
2a01cb0808f14c0088210bf60eb73e71.ipv6.abo.wanadoo.fr - - [23/Apr/2018:05:49:39 + 0200] "GET /wp-login.php HTTP/1.1" 200 2520 "-" "Mozilla/5.0 (Windows NT 6.1; WO W64; rv:40.0) Gecko/20100101 Firefox/40.1"
Il y a des chances que ce bot soit parvenu à se connecter sous un compte « Abonné« , afin de me déposer en masse les spams de commentaires dont je suis assailli. J’ai observé d’autres accès à la page wp-login.php en date du 22 avril par ce même bot.
Renforcement de la sécurité
En plus des mesures actuelles, dans le doute, j’ai tout d’abord changé le mot de passe de mon compte principal. Puis, j’ai désactivé tous les comptes inactifs à l’aide du plugin WordPress Disable Users. Je suis allé au plus pressé. Enfin, j’ai ajouté ces lignes supplémentaires à la configuration de mon serveur Apache pour bloquer mon valeureux assaillant qui a l’odeur et la couleur d’un sale méchant bot :
RewriteCond %{HTTP_USER_AGENT} "Firefox/40\.1$" [NC]
RewriteCond %{REMOTE_HOST} \.(wanadoo\.fr|sfr\.net)$ [NC]
RewriteRule "/wp-login\.php($|\?|/)" "%{HTTP_HOST}/index.html" [QSA,R=301,L]
NB Depuis la mise en oeuvre de ces mesures, je n’ai déploré aucune connexion à la page wp-login.php. J’ai eu droit à 1889 tentatives de connexion, dans la journée du 23 avril.