WordPress : un moyen simple de contrer les attaques en force brute

WordPress : empêcher les attaques en force bruteMa copine Lætitia m’a demandé d’intervenir sur les différents sites que Nono – hélas décédé – avait décidé d’héberger chez Ionos. Depuis plusieurs semaines, elle faisait l’objet d’attaques en force brute au niveau de l’interface d’administration de ses blogs WordPress, à partir de provenances fort différentes. Elles recevaient des messages d’alertes, sans équivoque, du type :

16 failed login attempts (4 lockout(s)) from IP 2a03:b0c0:3:e0::150:5001

Muni des codes de l’interface d’administration et de l’accès SSH, il m’aura fallu 5 minutes pour régler le problème. J’ai limité l’accès à l’interface d’administration WordPress à son seul FAI, en l’occurrence Orange, en ajoutant au fichier .htaccess :

<Files ~ "wp-login\.php">
  Order deny,allow
  Deny from All
  Allow from wanadoo.fr orange.fr
</Files>
<Directory ~ "wp-admin">
  Order deny,allow
  Deny from All
  Allow from wanadoo.fr orange.fr
</Directory>

Vous le constaterez : les attaques s’arrêteront très vite.

 

Sécurité informatique /