WordPress : un moyen simple de contrer les attaques en force brute
28 juin 2022
Ma copine Lætitia m’a demandé d’intervenir sur les différents sites que Nono – hélas décédé – avait décidé d’héberger chez Ionos. Depuis plusieurs semaines, elle faisait l’objet d’attaques en force brute au niveau de l’interface d’administration de ses blogs WordPress, à partir de provenances fort différentes. Elles recevaient des messages d’alertes, sans équivoque, du type :
16 failed login attempts (4 lockout(s)) from IP 2a03:b0c0:3:e0::150:5001
Muni des codes de l’interface d’administration et de l’accès SSH, il m’aura fallu 5 minutes pour régler le problème. J’ai limité l’accès à l’interface d’administration WordPress à son seul FAI, en l’occurrence Orange, en ajoutant au fichier .htaccess :
<Files ~ "wp-login\.php"> Order deny,allow Deny from All Allow from wanadoo.fr orange.fr </Files> <Directory ~ "wp-admin"> Order deny,allow Deny from All Allow from wanadoo.fr orange.fr </Directory>
Vous le constaterez : les attaques s’arrêteront très vite.