WordPress est un CMS populaire et par conséquent très exposé aux attaques. L’une des plus basiques et qui ne nécessite aucune connaissance particulière est l’attaque par force brute de vos codes d’accès à l’administration. Elle est effectuée à partir d’un très grand nombre d’ordinateurs coordonnées par des outils de botnet. le principe est trivial. Il s’agit tout simplement de tester toutes les combinaisons possibles login/mot de passe avec des outils automatiques. cette opération est facilité par le fait que le nom de login est souvent un terme très répandu comme Login, Admin, etc. Il ne reste plus à l’attaquant qu’à tester une série de mots de passe comme indiqué ci-desssous:
Logs signalant une attaque par force brute des codes d’accès à l’administration d’un CMS WordPress. La méthode Post est associée au fichier de login POST/ wp-login.php
Chez Ovh, la liste des logs est disponible à l’adresse: https://logs.ovh.net/votre_site.com et permet d’ideentifier la nature des attaques.
il existe de nombreux plugins pour bloquer les attaques pirates sur les mots de passe. Evitez des plugins obsolètes, incompatibles avec les versions récentes de WordPress et très complexes à configurer tels fail2ban. L’extension (autre nom d’un plugin) Limit Login Attemptsà télécharger ici est efficace et très simple à utiliser. Ce plugin bannit les IP qui essaient de se connecter indument à votre interface d’administration. Il suffit d’indiquer le nombre de tentatives de connexion et la durée de l’interdiction de se connecter.
Après téléchargement, décompressez l’archive zip dans le répertoire plugins, soit wp-contents/plugins sur votre hébergement. Activez-le puis effectuez les réglages nécessaire. Les réglages par défaut conviennent à la plupart des situations.
Réglages du plugin Limit Login Attempts dans WordPress
Si une attaque sévère a déjà eu lieu, il faut mettre les mains dans la cambouis et examiner l’ensemble des fichiers figurant chez votre hébergeur pour déterminer le type de l’attaque. Nettoyez ensuite les fichiers contaminés et installez les protections côté serveur. Cet aspect ne peut être traité dans ce billet. Vous trouverez ici des solutions pour traiter un serveur compromis (en anglais)
Rappel: Effectuez des sauvegardes régulières, mettez à jour WordPress et les plugins. Bien noter que cette mise à jour peut parfois révéler des incompatibilités entre les différentes versions des extensions et celle de WordPress. Un retour à l’état antérieur peut alors s’imposer.
Info: Si vous n’utilisez pas Google Analytics, vous pouvez consulter vos statistiques détaillées via l’outil proposé par OVH URCHIN6: https://logs.ovh.net/votre_domaine/urchin6/ .
( Mis à jour le 28 septembre 2015 ) Comme l’indique le site silicon.fr , le FBI a émis une alerte, mardi 7 avril 2015, sur des attaques par « défacement » de sites crées avec le […]
