Tentatives de connexion (Créer un compte)

  • WordPress :5.8
  • Statut : non résolu
  • Ce sujet contient 7 réponses, 4 participants et a été mis à jour pour la dernière fois par Flobogo, le il y a 3 années.
8 sujets de 1 à 8 (sur un total de 8)
  • Auteur
    Messages
  • #2392095
    lavandine67
    Participant
    Initié WordPress
    45 contributions

    Bonjour,

     

    Ma configuration WP actuelle : 5.8.2
    • Version de PHP/MySQL : 7.4
    • Thème utilisé : Million Shades
    • Extensions en place :
    Advanced Editor Tools / Akismet Anti-Spam / Alfred, the Assistant / Antispam Bee / Broken Link Checker / Classic Editor, Contact Form 7/ Limit Login Attempts Reloaded / Million Shades Toolkit/ Statify / Subscribe to comments reloaded / Subscribe2 / WP Captcha / WP Mail smtp / WPS Bidouille / WPS Limit Login
    • Nom de l’hébergeur : IONOS
    • Adresse du site : https://auboutdelalorgnettelavietoutsimplement.fr/

    Problème(s) rencontré(s) :

    Depuis une huitaine de jours, mon blog subit à nouveau une attaque massive par force brute. (j’ai eu la même farce ce printemps durant 3/4 jours et cela s’est arrêté et depuis il y a eu de temps à autre des alertes).

    La différence par rapport au début, c’est la passerelle. Jusqu’à présent c’était la plupart du temps à travers la passerelle XMLRPC, maintenant, depuis le 26/11, c’est uniquement par le WP login.

    Au départ, ce sont des identifiants farfelus qui ont été utilisés ( admin, lavandine, aubout …, d’autres encore mais également mon vrai identifiant). Maintenant, c’est toujours la même série qui revient : 10 pseudos existants puisqu’il s’agit de noms de 10 personnes qui commentent chez moi + mon identifiant. Et ceci toujours dans le même ordre, 10 à 15 fois en 10 mn.

    J’ai installé deux extensions qui font leur travail et j’ai demandé à l’une d’elles de m’avertir à chaque blocage. Je pense qu’une extension suffirait mais elles semblent cohabiter en bonne harmonie. Alors je préfère les laisser.

    Pour ne pas être noyée dans ma messagerie, j’ai créé une règle message qui me les place directement dans la corbeille.

     

    Ma question sera triple :

     

    1. Comment les robots peuvent-ils trouver mon identifiant ?

    Je sais que la solution la plus simple serait de le changer mais je pense que c’est jouer au chat et à la souris tant que je n’ai pas compris comment ils arrivent à le récupérer. Et j’avoue que j’ai une frousse bleue de toucher à ma base de données chez mon hébergeur.

     

    1. Faut-il déplacer l’URL de loginWP ?

    Je me connecte par le biais de l’interface ionos (adesse mail + MP) qui ne correspond pas au login WP (ni l’identifiant, ni le mp)

    J’ai parcouru le forum pour voir ce qui était dit pour des cas précédents. Il semblerait que les modérateurs ne soient pas tous d’accord sur l’intérêt de cette manipulation. Et puis, je ne suis pas sûre d’y arriver. Je suis une “quiche” en informatique.

     

    1. Si je laisse en état, quel est le risque encouru?

     

    Merci  d’avance pour le temps que vous prendrez pour me répondre. Je vous souhaite une bonne journée.

    Lavandine

    #2392173
    momofr@free.fr
    Modérateur
    Maître WordPress
    7471 contributions

    Salut, une extension qui cache l’URL wp-admin.php est une solution.

    J’utilise WordFence sur tous mes sites (+ de 100 installations WP) avec des paramètres très stricts et des périodes de blocages de 2 à 4 jours (ça calme les robots). Ceci sans déplacer l’URL d’admin.

    Tu peux renforcer la sécurité de ton site via le fichier htaccess avec quelques règles qui comblent les trous de WP et de PHP.

    #2392218
    Li-An
    Participant
    Maître WordPress
    28938 contributions

    Bonjour, personnellement je n’aime pas trop le déplacement du login (un goût personnel). Je conseille l’installation d’une extension de sécurité – Ninja Firewall, SecuPress ou Wordfence. Elle protègera efficacement votre page de login sans avoir à la déplacer.

    Le robot trouve l’id via l’énumération des archives d’auteur. Une extension de sécurité l’empêchera. C’est en effet un comportement regrettable de WP.

    #2392248
    lavandine67
    Participant
    Initié WordPress
    45 contributions

    Bonjour Momofr et Li-An,

     

    Merci pour vos réponses.

    Je suis à priori ( mais il n’y a que les imbéciles qui en changent pas d’avis !) pas très chaude pour cacher l’URL pour la simple « raison » que j’ai peur de faire une bêtise.

    Je vais étudier en détails ce que vous me proposez et je reviendrai vers vous pour vous dire ce que j’ai fait et éventuellement poser des questions supplémentaires.

    J’en profite pour vous adresser mes voeux les meilleurs pour 2022 et remercier toutes celles et tous ceux qui répondent à nos questions tout au long de l’année.

     

    Lavandine

    • Cette réponse a été modifiée le il y a 3 années par lavandine67. Raison: orthographe
    #2392346
    Flobogo
    Modérateur
    Maître WordPress
    20656 contributions

    re-bonjour,

    C’est un peu exagéré : vous ouvrez 2 sujets (l’autre : ici) pour des problèmes similaires mais présentés différemment…

    La conclusion sera la même : sécurisez votre site, sécurisez l’URL (en redirigeant le HTTP vers HTTPS), mettez votre thème et vos extensions à jour si ce n’est pas le cas, etc.

    #2392363
    lavandine67
    Participant
    Initié WordPress
    45 contributions

    Bonjour Flogobo,

    Je n’avais pas l’impression d’exagérer.

    Je ne voulais simplement pas mélanger les choses car lorsqu’on fait des rechercher par l’index du forum, c’est plus facile quand les sujets sont énoncés clairement.

    Pour moi, il y avait deux problèmes distincts : l’attaque de force brute et des inscriptions à la NL non souhaitées. Il semblerait d’après votre réponse que la cause soit commune.

    Comme j’ai déjà répondu précédemment : thème, wp et extensions à jour.

    Je vais voir du côté des http(s) … Comment je ne le sais pas encore car même si ici on m’attribue le grade d »initiée », je n’ai aucune formation informatique poussée et je tâtonne. J’en suis désolée.

    Bonne journée.

    Lavandine

    rajout 9h19 : j’ai tenté une inscription par http …. on tombe sur https pour le message d’accueil puis pour la confirmation de l’inscription.  Cela ne veut peut-être rien dire …

    • Cette réponse a été modifiée le il y a 3 années par lavandine67. Raison: rajout
    #2392414
    Flobogo
    Modérateur
    Maître WordPress
    20656 contributions

    Désolée, je pensais qu’il s’agissait de problèmes identiques. Il est possible que la cause soit la même, en tous cas. Et c’est (potentiellement) l’URL en HTTP.

    Oui, vos publications sont toutes en HTTPS, parce que c’est défini dans les réglages généraux. Mais toutes vos publications et votre site entier existent aussi en version HTTP : allez sur une de vos pages, dans la barre d’adresse, enlevez le s à la suite de http et affichez la page, vous verrez votre page en HTTP. C’est un « indice » pour les pirates, comme si vous affichiez un panneau indiquant « ce site est mal sécurisé ».

    Bref, il faut mettre quelques lignes de code dans le fichier .htaccess :

    • par FTP (Filezilla) ou dans le panneau de gestion des fichiers de votre hébergeur, accédez aux dossiers et fichiers de votre installation
    • à la racine du site (à côté des dossiers wp-admin / wp-content / etc…), il y a un fichier .htaccess
    • ouvrez-le avec Notepad++ ou équivalent, et ajoutez ces lignes à la suite de celles déjà présentes :
    # Redirection vers HTTPS 
    RewriteCond %{SERVER_PORT} ^80$ [OR]
    RewriteCond %{HTTPS} =off
    RewriteRule ^(.*)$ https://monsite.com/$1 [R=301,L]
    rediriger vers HTTPS

    Bien sûr, dans ce code, vous remplacez monsite.compar votre adresse de site

    • Pour finir, renvoyez ce nouveau fichier .htaccess sur l’hébergement
    #2392417
    Flobogo
    Modérateur
    Maître WordPress
    20656 contributions

    Et au fait, pour revenir au sujet initial, à savoir « empêcher les multiples tentatives de connexion », je suis pour ma part favorable au déplacement de l’URL de connexion nom-du-site/wp-login.php

    J’utilise pour ma part WPS Hide Login. Bien sûr, le risque, c’est d’oublier soi-même comment on se connecte. Je vous donne une solution simple : quand vous allez configurer dans les réglages de l’extension votre nouvelle URL de connexion personnalisée, vous choisissez ce que vous voulez (mais sans accent ni cédille ni caractère spécial ni espace) et vous faites une capture d’écran que vous enregistrez sur votre ordi, avec toutes vos sauvegardes WP.

    Et si vous oubliez l’URL de connexion, un petit coup d’œil à votre capture écran, et hop, ça revient 😉 Bon, si vous oubliez où vous avez mis la capture d’écran, c’est qu’Alzheimer vous guette. 😁

    Autre solution (et vous pouvez les cumuler) : enregistrer votre nouvelle URL de connexion dans vos favoris de navigateur. (utile si vous vous connectez tout le temps avec le même ordi, le même navigateur)

    Et enfin, la parade ultime en cas de problème : en passant par FTP, il suffit de renommer l’extension → dossier wp-content/plugins/wps-hide-login en ajoutant -X ou -OLD à la fin, et vous retrouvez l’URL « normale » de connexion en wp-login.php

8 sujets de 1 à 8 (sur un total de 8)
  • Vous devez être connecté pour répondre à ce sujet.