Sécurité WordPress: Se protéger d’une attaque par force brute
De Mars à Avril 2013 le nombre d’attaques par force brute – brute force cracking en anglais – a presque triplé avait annoncé Daniel Cid, chef des services technologiques de Sucuri Security. Aujourd’hui encore la menace de cette attaque par exhaustivité est loin d’être écartée.
Chaque jour votre blog est attaqué dans le but d’y injecter une « porte dérobée » – Backdoor – et des programmes malveillants ce qui permet aux pirates de les exploiter pour commettre par exemple des actions criminelles. Un blog piraté crée également des dégâts à votre référencement web, aux ordinateurs de vos lecteurs, aux serveurs et à votre e-réputation. De ce fait la sécurité de votre blog / site WordPress n’est plus une option mais un devoir, une obligation.
Chaque semaine plusieurs centaines d’attaques par force brute tentent, à votre insu, d’accéder à votre blog. Rien n’est infaillible sur le Net mais il existe toujours des solutions de sécurité, c’est justement ce que je vous propose aujourd’hui dans le document ci-dessous. Vous y trouverez une liste de conseils pour sécuriser votre blog WordPress.
WordPress, un CMS vulnérable ?
Je vous pose la question: Est-ce que WordPress est un CMS vulnérable ? Une bonne part de soi-disant spécialistes vous conseilleront d’éviter ce CMS ou de l’abandonner pour un autre CMS prétenduement plus sûr en terme de sécurité, la vérité est qu’ils ne connaissent pas suffisamment WordPress pour le sécuriser comme il le faudrait, et d’autres raisons leur appartiennent.
Il y a quelque temps j’avais publié un article dont le contenu avait suscité des réactions peu pertinentes. L’article s’intitule Pourquoi vous ne devez pas choisir WordPress pour votre blog. WordPress a des qualités, certes, mais aussi des défauts auxquels un spécialiste du blogging doit faire face. Installer WordPress ne suffit pas, il faut le paramétrer et le maintenir souvent. Si j’excluais les qualités de WordPress, il est certain que ce CMS ne serait pas une solution à choisir pour créer un blog, d’où le titre de l’article que je ne regrette pas d’avoir choisi.
Bref, WordPress n’est pas plus vulnérable qu’un autre CMS et il n’est pas non plus LE meilleur CMS. Le nombre d’attaques de blogs WordPress est proportionnellement lié à sa popularité, c’est du bon sens. Avec l’effet de médiatisation – sites de presse, blogs et réseaux sociaux – la proportion peut paraître beaucoup plus grande qu’elle ne l’est en réalité.
Les conseils de sécurité pour WordPress.
Hoareau Cédric
17 juin 2013 12 h 16 minBonjour,
Merci pour l’article, super !
J’avais protéger mon WP avec Google Authenticator mais, après avoir changer la carte mémoire et réinstallé l’application Android sur mon téléphone, impossible de se reconnecter en Admin sur WP.
Les codes ne sont plus valables. Obligé de désactiver le plug-in via la base de données.
J’étais un peu embêté !
Alex
20 juin 2013 0 h 53 minPersonnellement j’utilise le plugin Better Wp Security sur mes sites, que je trouve extrêmement complet. D’ailleurs en étudiant les logs détaillés du plugin, c’est assez bluffant de voir toutes les tentatives de bruteforce sur wordpress… tout site confondu.
Yassine A.
20 juin 2013 1 h 19 minC’est vrai que quand on voit ça pour la première fois on est surpris de voir toutes ces tentatives. Sécuriser un blog WordPress est une obligation aujourd’hui.