Tentatives de connexion avec le même identifiant par de nombreuses adresses (Créer un compte)

Accueil Forums WordPress Tentatives de connexion avec le même identifiant par de nombreuses adresses
  • WordPress :6.7
  • Statut : hors support
  • Ce sujet contient 5 réponses, 2 participants et a été mis à jour pour la dernière fois par Flobogo, le il y a 3 mois.
6 sujets de 1 à 6 (sur un total de 6)
  • Auteur
    Messages
  • 13 mars 2025 à 10 h 00 min #2487027
    BertrandB21
    Participant
    Maître WordPress
    593 contributions

    Bonjour,

    Problème(s) rencontré(s) :

    Je voudrais votre avis, j’ai constaté sur mon blog de nombreuses tentatives de connexion (jusqu’à 5 par jour) avec le même identifiant inconnu bien sur et venant de serveurs répartis un peu partout et chez plusieurs hébergeurs. Est-ce que ça ne serait pas des tentative d’ouverture de porte dérobée ?

    Je traque aussi des connexions initialisées par PHP sur mon serveur vers des ports non autorisés (règles Nftable strictes sur les sorties) mais je n’ai toujours pas réussi à coincer l’appel utilisé par les nuisibles.

    Identifiant en cause : tiastilwell975

    • Ce sujet a été modifié le il y a 3 mois et 1 semaine par BertrandB21.
    • Ce sujet a été modifié il y a 3 mois et 1 semaine par BertrandB21. Raison : Corrections orthographiques et ajout de l'identifiant problématique
    13 mars 2025 à 19 h 53 min #2487056
    Flobogo
    Modérateur
    Maître WordPress
    20916 contributions

    Bonjour,

    Ce sont bien sûr des tentatives d’intrusion. Soit vous bloquez les inscriptions, soit vous ajoutez une extension anti-spam. Et en plus, une extension de sécurité pour bloquer ou limiter les tentatives de connexion à répétition.

    13 mars 2025 à 20 h 18 min #2487057
    BertrandB21
    Participant
    Maître WordPress
    593 contributions

    bonsoir,

    Oui merci j’ai mon plugin maison qui pour l’instant bloc touttes les inscriptions par les bot et fail2ban avec les jail wp-login et sur les erreurs 400.

    Depuis 10ans ça tient et j’ai l’habitude de voir dans les traces ces tentatives d’inscription de bot. Là la particularité c’est que c’est le même ident présenté par de multiples ip jusqu’à 5 fois dans la journée.

     

    13 mars 2025 à 23 h 49 min #2487062
    Flobogo
    Modérateur
    Maître WordPress
    20916 contributions

    Les pirates utilisent différentes IP pour « brouiller les pistes ». Et sans doute pour éviter les blocages par plages d’IP.

    Pourquoi cet identifiant ? Soit cela correspond à un identifiant réel (ou ancien) sur votre site, soit … bah c’est un ID qui leur plaît. 😁

    14 mars 2025 à 9 h 03 min #2487063
    BertrandB21
    Participant
    Maître WordPress
    593 contributions

    Donc à votre avis pas de risque de porte dérobée.

    l’autre hypothèse c’est que ce soit l’ident d’un gros blogueur négligeant et ayant le même mot de passe partout où il passe. Une fois craqué le couple ident mot de passe revendu … tous les scripts kiddy l’essayent partout.

    C’est une hypothèse … mais ça tient la route et il suffit d’un blog wordpress mal intentionné pour récupérer des couples ident/passwd.

    • Cette réponse a été modifiée le il y a 3 mois par BertrandB21.
    14 mars 2025 à 23 h 31 min #2487091
    Flobogo
    Modérateur
    Maître WordPress
    20916 contributions

    La seule question à vous poser, c’est : est-ce que cet identifiant correspond à un compte utilisateur sur votre site ?

    • Si oui : soit il a juste le rôle « abonné », et vous ne craignez pas grand chose, soit vous supprimez le compte
    • Si non (identifiant non inscrit parmi vos utilisateurs), alors vous ne craignez rien.
  • Auteur
    Messages
6 sujets de 1 à 6 (sur un total de 6)
  • Vous devez être connecté pour répondre à ce sujet.