Attaques brute force (Créer un compte)

  • WordPress :5.7
  • Statut : non résolu
10 sujets de 1 à 10 (sur un total de 10)
  • Auteur
    Messages
  • #2375678
    jeremie_LB
    Participant
    Initié WordPress
    27 contributions

    Bonjour,

    Ma configuration WP actuelle

    • Version de PHP/MySQL : PHP 7.3.27
    • Thème utilisé : GeneratePress
    • Extensions en place : Akismet Anti-Spam ; All in one Favicon ; Contact Form 7 ; Cookie Notice & Compliance for GDPR / CCPA ; Login LockDown ; Login No Captcha reCAPTCHA (Google) ; No Self Pings ; Pretty Links ; Really Simple CAPTCHA ; Really Simple SSL ; Smush ; Subscribe to Comments ; Wordfence Security ; WP Fastest Cache ; Yoast SEO.
    • Nom de l’hébergeur : OVH
    • Adresse du site : https://www.destination-futur.fr/

    Problème(s) rencontré(s) :

    Bonjour à la communauté 🙂

    Depuis plusieurs semaines et surtout depuis quelques jours, je reçois des dizaines d’emails de notif par Wordfence qui m’informe qu’il a bloqué un utilisateur qui essaie de se connecter à mon site “User locked out from signing in”. En regardant le contenu des mails (27 ce matin), je vois que ces utilisateurs utilisent tout le temps comme username “admin” ou “destination-futur” et qu’ils sont localisés dans plein de pays d’Asie ou d’Europe. On dirait des attaques brute force avec VPN ? (hihi, je n’y connais pas grand-chose, vous allez peut-être trouver cette remarque évidente)

    Bref, j’ai modifié les paramètres de Wordfence pour que soient bloqués immédiatement et pour 10 jours les utilisateurs qui tentent de se connecter avec un username inexistant (ce qui est le cas avec les 2 qu’utilisent ces pirates). J’ai aussi abaissé à 3 le nombre d’erreurs autorisées sur le mot de passe avec blocage sur 10 jours également. J’ai aussi supprimé des extensions que je n’utilisais pas.

    Pourtant, les notifs de Wordfence continuent au même rythme, voire plus qu’avant. Au début, je n’étais pas spécialement inquiet vu qu’ils utilisent des usernames inexistants et que je tiens à jour mon site (thèmes, extensions, WP lui-même, mais par contre faut que je mette à niveau la version PHP…). Mais quand même, vu que ça dure et que ça semble s’intensifier, pouvez-vous me dire s’il y a un risque pour mon site ? Me conseilleriez-vous d’autres choses à mettre en place pour limiter les risques ?

    Note : j’ai un 2e site WP qui subit la même chose.

    Merci d’avance,

    Jérémie

    #2375691
    fatimarebecca
    Participant
    Initié WordPress
    29 contributions

    Bonjour Jérémie,

    vous pouvez utiliser le plugin WPS-Hide-Login pour changer l’URL de connexion à votre site : vous pourrez renommer votre dossier wp-login en wp-ce que vous voudrez. Ceux qui tenterons d’accéder à l’ancienne adresse tomberont sur une page 404, donc ce sera des tentatives de connexion en moins.

    Ensuite, avec la version Pro de Wordfence, vous pouvez blacklister les adresse IP de votre choix, voire toutes les adresse IP qui proviennent d’un pays en particulier, tout dépend de votre audience. Vous pouvez aussi ajouter une vérification par Captcha pour empêcher les robots d’accéder à votre site (je ne sais si cette option est disponible avec Wordfence)

    Je ne suis pas spécialiste en la matière, mais à mon avis, ces quelques précautions en plus peuvent vous donner un bon coup de pouce. Après, il n’existe pas de système de sécurité 100% infaillible, vous ne pourrez pas empêcher les attaques par force brute à tous les coups, mais si ces attaques sont mises en échec, c’est le principal. J’espère vous avoir aidée !

    Bonne journée à vous.

    • Cette réponse a été modifiée le il y a 2 semaines et 4 jours par fatimarebecca.
    #2375706
    jeremie_LB
    Participant
    Initié WordPress
    27 contributions

    Bonjour ! Merci beaucoup pour le conseil du plugin, je viens de l’installer sur mon autre site et de renommer la page de connexion 😀 Je vais déjà tester avec ça sur les deux sites et je verrai si j’ai besoin d’en faire davantage si ça continue.

    Et pour répondre à votre question, Wordfence dans sa version gratuite propose de mettre le reCAPTCHA v3, mais j’ai déjà un plugin pour le reCAPTCHA v2 sur la page de login (mais ça ne semble pas suffire…).

    A bientôt, bonne journée également !

    #2375726
    Li-An
    Modérateur
    Maître WordPress
    25023 contributions

    Bonjour, personnellement je ne suis pas adepte de la redirection de login. Une extension de sécurité/pare feu fera un travail tout aussi efficace sans avoir à déplacer le login. Wordfence est la plus connue et il y en a d’autres (SecuPress, Ninja Firewall). Les extensions de sécurité permettent d’autres protections que  la protection de la page login et tentatives des robots, allégeant par là la charge de votre site.

    #2375755
    jeremie_LB
    Participant
    Initié WordPress
    27 contributions

    Bonsoir Li-An,

    Merci pour le complément. J’ai installé WPS Hide Login mais je n’ai pas supprimé Wordfence pour autant.

    Bonne soirée

    #2375790
    Li-An
    Modérateur
    Maître WordPress
    25023 contributions

    Il doit y avoir une option dans Wordfence qui fait la même chose. En fait non, il y a une vidéo où ils expliquent que c’est une mauvaise idée (et je suis d’accord avec eux). C’est un changement significatif du fonctionnement normal de WP et ça ne peut que poser des problèmes à moyen terme.

    #2375855
    jeremie_LB
    Participant
    Initié WordPress
    27 contributions

    Bonsoir Li-An. Ok, merci. Dommage parce que ça marchait bien : plus aucune tentative de connexion. Mais bon, j’ai pas envie que ça fasse planter mon site un de ces quatre. Je vais retirer le plugin. Et tant que les gars n’essaient qu’avec “admin” ou le nom du mon site, ça ne craint rien finalement ?

    #2375857
    Li-An
    Modérateur
    Maître WordPress
    25023 contributions

    Attention, je n’ai pas dit qu’il ne fallait pas protéger le login 🙂 C’est en effet la cible privilégiée des bots. Il faut le protéger avec une extension de sécurité qui va analyser les attaques et bloquer les IP suspectes. Puisque vous avez installé Wordfence, il faut voir quels paramètres sont concernés. La doc officielle https://www.wordfence.com/help/firewall/brute-force/

    #2375863
    Flobogo
    Gestionnaire du forum
    Maître WordPress
    17244 contributions

    Bonjour,

    il y a une vidéo où ils expliquent que c’est une mauvaise idée

    Peut-être que du point de vue de Wordfence, c’est une mauvais idée. Mais SecuPress, qui est une très bonne extension de sécurité (française), propose une option pour modifier l’URL de login.

    C’est vrai que le “risque”, c’est d’oublier la nouvelle URL de connexion. Mais dans ce cas, on peut la mettre en favori, et/ou la noter quelque part, ou mettre une capture d’écran quelque part … ou se faire soigner son Alzheimer précoce parce qu’on peut aussi oublier son mot de passe, et de fermer la porte à clé en partant le matin, etc. … Sans oublier (ah, ah) qu’on peut toujours désactiver l’extension par FTP en la renommant.

    Modifier l’URL de connexion fait baisser drastiquement les attaques par force brute, et avec une extension de protection pour bloquer les plus redoutables (Wordfence ou autre), le site sera globalement bien protégé.

    A l’inverse, tout dépend aussi de l’usage qu’on a du site : si de multiples utilisateurs doivent s’y connecter (gestion de forum, par ex), ça n’a pas d’intérêt de modifier l’URL de connexion.

    #2376095
    jeremie_LB
    Participant
    Initié WordPress
    27 contributions

    @Li-An : Merci pour la doc Wordfence, j’étais pas trop mal déjà, mais j’ai affiné quelques trucs.


    @Flobogo
    : Merci des précisions. Je suis le seul utilisateur de mes deux sites, pas d’autres auteurs ou de forum… Là j’ai eu 47 utilisateurs bloqués en 24h sur mon site principal, tous avec des usernames inexistants, donc bon, ça craint pas trop. Je vais réfléchir si je remets l’extension WPS Hide Login (aucun risque d’oublier la nouvelle URL de connexion 😉 ).

10 sujets de 1 à 10 (sur un total de 10)
  • Vous devez être connecté pour répondre à ce sujet.