Avec ces 7 mesures, vous pouvez faire échouer les Brute Forceattaques

8 Min.
Avec au moins 4 milliards d'attaques individuelles cette année, les Brute Force attaques sont probablement la plus grande menace pour les WordPress sites.
Dernière mise à jour le 10/07/2020

Avec plusieurs milliards d'attaques individuelles par an, les Brute Force attaques sont probablement la plus grande menace pour les WordPress sites. Heureusement, ce type d'attaque est également très maladroit et facile à duper. Nous allons vous montrer quatre mesures simples et rapides contre les attaques de pirates informatiques. Et aussi trois mécanismes de protection plus complexes.

Rien qu'en avril 2017, le fournisseur de sécurité Wordfence plus d'un milliard Brute Force d'attaques comptait sur WordPress -pages dans le monde entier. Et ce n'est qu'une valeur approximative - le nombre de cas non signalés est nettement plus élevé. Cela signifie que les attaques qui tentent de deviner automatiquement les mots de passe et les noms d'utilisateur sont un grand danger pour WordPress les sites du monde entier. Mais pas seulement. Parce qu'à propos de 37,5 pour cent des 10 millions de sites web les plus importants fonctionnant actuellement sous WordPress . Et cela signifie que la question des mécanismes de protection efficaces pour l'Internet dans son ensemble est WordPress également pertinente.

Si vous voulez savoir exactement comment fonctionnent les Brute Force attaques et à quel point elles sont dangereuses, consultez notre Article de fond sur le sujet Brute Force des attaques sur.

Malgré leur grand nombre, il y a une bonne nouvelle : il existe des mesures de sécurité utiles contre Brute Force les attaques que vous pouvez mettre en œuvre vous-même sans trop d'efforts et surtout sans connaissances en programmation. Et il y a des mesures qui exigent au moins une connaissance de base du fichier .htaccess.

Ce sont les sept mesures dont nous discutons aujourd'hui :

  1. Mots de passe forts (très important !)
  2. N'utilisez pas "admin" comme nom d'utilisateur
  3. Limiter le nombre de connexions non valides
  4. Authentification à deux facteurs
  5. Connexion à plusieurs niveaux
  6. Liste noire
  7. Cacher la zone de connexion (est controversé)

1. utiliser un mot de passe fort

Un mot de passe fort est extrêmement importante en tant que protection contre les Brute Force attaques. Les bots et les réseaux de zombies utilisent d'énormes bases de données de mots de passe pour leurs "jeux de devinettes". Celles-ci sont carrément jugées. Plus votre mot de passe est inhabituel et difficile, plus il est probable qu'il n'y figure pas.

Plus votre mot de passe est long et difficile, plus il faudra de temps aux robots pour le déchiffrer s'ils essaient également de le deviner sans liste.

Votre mot de passe doit donc contenir différentes combinaisons de caractères du ...

  • 10 numéros différents (de 0 à 9)
  • 52 lettres différentes (A à Z et a à z)
  • 32 caractères spéciaux différents ...

... et comporter au moins 8 caractères.

Le Password Manager Password Depot en fournit quelques exemples clairs Exemples de calculs prêt. On suppose ici qu'un seul ordinateur puissant peut générer deux milliards de mots de passe par seconde. Plus précisément :

  • Un mot de passe de 5 caractères (3 lettres minuscules, 2 chiffres) comporte 60 466 176 combinaisons possibles et peut être déchiffré en 0,03 seconde.
  • Un mot de passe de 8 caractères (4 lettres minuscules, 2 caractères spéciaux, 2 chiffres) comporte déjà 457 163 239 653 376 combinaisons possibles. Ici, l'ordinateur a besoin d'environ deux jours et demi.
  • Et un mot de passe de 12 caractères (3 lettres majuscules, 4 lettres minuscules, 3 caractères spéciaux, 2 chiffres) ne comporte pas moins de 475 920 314 814 253 376 475 136 combinaisons possibles. Il faut 7,5 millions d'années à un seul ordinateur pour craquer ce mot de passe.

Avec notre WordPress -Codex pour la création de ces mots de passe, la Plugin Forcer des mots de passe forts recommandé. Cela oblige les utilisateurs à choisir des mots de passe complexes. Bien que cela Plugin ne rende pas directement le site plus sûr, cela éduque les utilisateurs à utiliser des mots de passe forts. Et surtout si vous travaillez pour un client, cette petite aide peut être très pratique.

Vous n'avez pas besoin de vous souvenir des mots de passe !

Les gestionnaires de mots de passe vous aident à créer et à gérer des mots de passe sécurisés. Tout ce dont vous devez vous souvenir est un mot de passe principal (bien sûr aussi complexe que possible). Le programme fera le reste pour vous. Les ordinateurs Apple ont déjà une application correspondante appelée "Keychain Management". Les programmes de gestion des mots de passe basés sur le cloud, tels que 1Password, LastPass ou KeyPass, fonctionnent de la même manière.

Vous n'avez donc pas à vous souvenir de tous vos mots de passe. Surtout si vous gérez plusieurs sites et utilisez divers services, une gestion professionnelle des mots de passe est une bénédiction.

FREE DEV Programme RAIDBOXES

2. n'utilisez pas le nom d'utilisateur "admin".

Comme nous l'avons déjà mentionné : Brute Force les attaques sont essentiellement des tentatives de deviner. Vous devez donc faire en sorte que les pirates informatiques aient le plus de mal possible à deviner votre nom d'utilisateur. N'utilisez donc pas le nom d'utilisateur par WordPress défaut "admin" - et donc n'utilisez pas celui que le système a défini pour vous. Ce nom d'utilisateur est également utilisé par défaut pour tous les autres WordPress utilisateurs.

3. "verrouiller" la page de connexion après un trop grand nombre de tentatives infructueuses

Brute Force Les attaques testent des milliers et des milliers de combinaisons de noms d'utilisateurs et de mots de passe. Inversement, cela signifie que vous générez des milliers et des milliers de tentatives de connexion pour limiter.

Votre serveur est donc bien conscient que quelque chose se passe. Avec un correspondantPlugin , vous pouvez spécifier que l'accès est bloqué après un certain nombre de tentatives infructueuses, de sorte que les pirates doivent mettre leur attaque en attente. Vous pouvez fixer cette protection par exemple avec unPlugin Tentatives de connexion à la limite WP ou Limiter les tentatives de connexion rechargées mettre en œuvre.

Chaque WordPress installation RAIDBOXES a la fonction de limiter les tentatives de connexion, intégré en tant que norme. Si une personne ou un robot essaie de se connecter à votre site trop souvent avec des données d'accès erronées, nous bloquons d'abord l'IP en question pendant 20 minutes. Si les tentatives de connexion se poursuivent avec des données incorrectes, l'IP est même bloquée pendant 24 heures. Bien entendu, vous pouvez également définir vous-même le nombre de tentatives et la période de blocage.

Limiter les tentatives d'ouverture de session et autres ont une date d'expiration

Toutefois, il y a une chose importante à comprendre à ce sujet Plugins : la limitation des tentatives de connexion d'une adresse IP présente une grave faiblesse. Il ne peut pas anticiper le changement d'une adresse IP. Cela signifie que les attaques de botnets, par exemple, ne peuvent être combattues qu'avec un effort raisonnable, voire pas du tout. De plus, avec la nouvelle génération d'adresses IP (les adresses IPv6), un seul attaquant peut changer son adresse IP en une fraction de seconde. Ce fait augmente le danger que représentent les attaques de botnets.

Et : un grand nombre d'Brute Force attaques ne devraient pas être de simples devinettes. Comme le montre le calcul dans la section sur les mots de passe sécurisés, même un réseau de zombies comptant un million de dispositifs ne peut pas deviner les mots de passe sécurisés. C'est pourquoi de nombreux hackers travaillent avec des listes de mots de passe. Cela réduit le nombre de tentatives de connexion aux combinaisons possibles de la bibliothèque de mots de passe respective.

Bien que la limitation des tentatives de connexion par IP soit toujours logique, l'importance de ce mécanisme de sécurité va rapidement diminuer à l'avenir. Le seul mécanisme de protection vraiment sûr contre les attaques avec des IP changeantes est l'authentification à deux facteurs.

4. authentification à deux facteurs

L'idée qui sous-tend le concept d'authentification à deux facteurs est d'exiger une deuxième confirmation en plus du mot de passe lors de la connexion. Il s'agit généralement d'un autre code alphanumérique. Ce qui est particulier, c'est qu'elle est transmise en dehors du processus d'enregistrement proprement dit - par exemple, via un générateur de code ou un téléphone portable. Et seul le propriétaire de cet appareil peut enfin se connecter.

Avec le Google App Google Authenticator et un autre correspondantPlugin , l'authentification avancée peut être WordPress mise en œuvre relativement facilement. Sont fréquemment utilisés, par exemple, les Plugins Google Authenticator par Hendrik Schack ou Google Authenticator de miniOrange.

Pour ajouter une protection de sécurité supplémentaire, téléchargez l'application Google sur votre téléphone et installez-la Plugin dans WordPress . Un code QR sera généré ici, que vous pouvez scanner avec l'application. Vous pouvez également créer le compte manuellement. Votre compte d'WordPress utilisateur et l'application de votre téléphone sont maintenant liés.

L'application génère désormais un nouveau code de sécurité toutes les 30 secondes. Chaque utilisateur pour lequel l'authentification à deux facteurs est activée voit désormais la ligne "Code d'authentification Google" en plus de "Nom d'utilisateur" et "Mot de passe" dans la zone de connexion. Pour se connecter, ils ont besoin du smartphone sur lequel les codes sont générés. Les grands plugins de sécurité, comme par exemple, Wordfence offrent en partie un mécanisme similaire.

Le processus de double authentification peut sembler complexe, mais du point de vue de la sécurité, il constitue une très bonne protection contre les Brute Force attaques. Surtout compte tenu du passage des adresses IPv4 à IPv6 mentionné plus haut.

Les mots de passe forts, les changements de nom d'utilisateur tels Plugins que les tentatives de connexion limitées et l'authentification à deux facteurs sont autant de mesures que vous pouvez mettre en œuvre facilement, rapidement et sans connaissances en programmation. Et surtout, l'authentification supplémentaire et les mots de passe vraiment forts protègent aussi efficacement contre les Brute Force attaques.

Mais si vous voulez, vous pouvez faire plus. Vous pouvez sécuriser votre espace WP-Admin avec un mot de passe supplémentaire, créer une liste noire ou blanche, ou créer votre Cacher la zone d'administration du WP. Cependant, toutes ces mesures ne tendent pas à offrir plus de sécurité, mais doivent plutôt être considérées comme des options ou des alternatives.

5. protection supplémentaire par mot de passe

Si vous faites tourner votre WordPress site sur un serveur Apache, vous avez la possibilité de faire tourner votre site sur un serveur Apache sans Plugin introduire une procédure de connexion à plusieurs niveaux. Chaque WordPress installation sur un serveur Apache contient un fichier dit "htaccess". Dans ce fichier, vous pouvez ajouter un code pour une authentification HTTP supplémentaire afin de protéger la page de connexion avec un mot de passe supplémentaire. Le serveur exige déjà un mot de passe pour permettre aux visiteurs d'accéder à la page de connexion.

# Protéger le wp-login
AuthUserFile ~/.htpasswd
 Nom d'auteur "Accès privé
 AuthType Basic
 nécessitent l'utilisateur mysecretuser

Avec cette commande, une demande de mot de passe est créée avant même que la zone wp-admin ne soit accessible. Ici, vous entrez un nom d'utilisateur et un mot de passe supplémentaires pour accéder à la zone de connexion. Toutefois, les données relatives à l'utilisateur supplémentaire doivent être définies dans le .htpasswd. À cette fin, le nom d'utilisateur et le mot de passe doivent être insérés dans le fichier sous forme cryptée. Le WordPress -Codex explique comment ce processus fonctionne fondamentalement.

EBook : Mesurez la performance de votre site comme un professionnel

6. liste noire et liste blanche

En parlant de .htaccess : Avec ce fichier, vous pouvez mettre en œuvre une autre protection puissante Quelques lignes de code permettent de s'assurer que seuls certains IP ont accès au WordPress tableau de bord ou aux répertoires individuels.

Pour ce faire, vous devez ajouter un .htaccess supplémentaire avec le code suivant dans le répertoire approprié - de préférence wp-admin :

# Bloquer l'accès au wp-admin.
 ordonner le refus, autoriser
 permettre à partir de x.x.x.x
 nier de tous

x.x.x.x.x vous devez remplacer par les IP qui doivent avoir accès au site, bien entendu. L'exemple montre une liste blanche, une liste d'IPs qui sont autorisés à accéder à la page. Cela permet de verrouiller la page de connexion pour tous les autres IP. L'ordre des commandes - "autoriser" suivi de "refuser" - est d'ailleurs extrêmement important, car elles sont exécutées dans l'ordre. Si c'est d'abord "nier de tous", vous serez aussi devant des portes fermées.

Une liste noire mettrait en œuvre le mécanisme exactement inverse : Il déterminerait quels sont les IP qui ne sont pas autorisés à accéder au site. Bien sûr, il existe aussi des solutions de plugin pour les deux. Par exemple, des plug-ins de sécurité bien connus tels que Sécurité du WP tout en un, Wordfence ou Sucurichacun ayant une fonction de liste noire ou de liste blanche. Toutefois, il convient de noter que ces trois entités peuvent bien Plugins sûr faire bien plus que créer des listes noires ou des listes blanches. Vous ne devez donc pas les installer exclusivement pour ces fonctions. Une alternative populaire ici serait la Plugin Loginizerqui compte actuellement plus de 500 000 installations actives.

7. cacher la zone d'enregistrement

Brute Force Les attaques attaquent votre page de connexion. Un moyen très simple de prévenir ces attaques est d'empêcher les attaquants d'entrer sur votre page de connexion. À cette fin, certains webmasters cachent la page de connexion. La zone de connexion n'est alors accessible que via une URL secrète.

Cette mesure suit le principe (controversé) La sécurité par l'obscurité et ne constitue pas en soi une mesure de sécurité significative. Nous RAIDBOXES ne sommes pas de grands amis de ce principe. En effet, si vous appliquez les mesures susmentionnées, vous avez déjà très bien sécurisé votre zone de connexion et vous n'avez pas besoin de la déplacer davantage. Toutefois, cette mesure peut contribuer à la perception de la sécurité, ce qui peut être particulièrement important pour la perception de vos clients.

Si vous voulez cacher la zone wp-admin vous pouvez utiliser l'un des grands plugins de sécurité (qui, comme je l'ai dit, offrent beaucoup plus de fonctionnalités). Ou vous pouvez essayer l'un de ces modèles populaires Plugins :

Comme nous l'avons déjà dit : à notre avis, cacher le wp-admin n'est pas une mesure sensée - du moins pas pour protéger votre site des Brute Force attaques. Si vous avez choisi un mot de passe fort et mis en œuvre une méthode d'exclusion de la propriété intellectuelle ou une authentification à deux facteurs, vous avez déjà réduit de manière significative le risque d'une Brute Force attaque réussie.

Conclusion

Avec une part de marché actuelle de plus de 32 %, c'est WordPress de loin le plus grand CMS du monde. Cela ne changera probablement pas à l'avenir. Le Probabilité de devenir la cible d'un Brute Force attentat est donc, purement mathématiquement, extrêmement élevé. Vous devez en être conscient. Heureusement, il est également très facile de se protéger contre eux. Car quelques mesures, à savoir des mots de passe sécurisés et une authentification à deux facteurs, peuvent être mises en œuvre en quelques instants et complètement sans connaissance de la programmation.

Et vous pouvez également Plugins mettre en œuvre des mesures soi-disant plus difficiles, telles que la liste noire ou blanche, une protection supplémentaire par mot de passe ou un mécanisme de blocage de la zone de connexion. Ainsi, si vous ne faites attention qu'aux trois ou quatre premiers points de ce poste, vous êtes déjà bien protégé contre les Brute Force attaques. Bien entendu, vous pouvez toujours en faire plus, c'est-à-dire créer une protection supplémentaire par mot de passe ou établir des listes noires ou blanches. Mais dans de tels cas, vous devez vous demander si les mécanismes de sécurité supplémentaires en valent vraiment la peine, notamment en ce qui concerne l'effort administratif.

En tant qu'administrateur système, Tobias veille sur notre infrastructure et trouve tous les moyens possibles pour optimiser les performances de nos serveurs. Grâce à ses efforts inlassables, il est souvent Slack retrouvé la nuit.

Articles connexes

Commentaires sur cet article

Ecrire un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués par * .