Logo de ORC Webhosting

Blocage des attaques par force brute sur WordPress

Hébergement Wordpress et blog

Attaques par force brute sur WordPress

L'un des moyens les plus simples d'attaquer un site Web est de le faire via un Système de gestion de contenu comme WordPress d'obtenir un accès. À cette fin, les pirates tentent de forcer une connexion à l'installation WordPress d'un site en utilisant des mots de passe fréquemment utilisés. Ce type d'attaque est appelé attaque par force brute.

L'essor des attaques par force brute à grande échelle

La plupart des sites web ont mis au point des contre-mesures qui limitent le nombre d'inscriptions. Les pirates ont donc mis au point différents types d'attaques par force brute. Au lieu de lancer des millions de tentatives de connexion sur un seul site, ils utilisent désormais des tentatives de connexion limitées sur des millions de sites différents.

orcwebhosting

Ce type d'attaque par force brute à grande échelle exploite le fait que les utilisateurs font souvent plusieurs tentatives de connexion lorsqu'ils oublient ou écrivent mal leurs mots de passe. Il est difficile de distinguer ces incidents des tentatives de piratage, c'est pourquoi les administrateurs laissent pour ainsi dire la porte ouverte. En bloquant l'accès après plusieurs tentatives de connexion infructueuses, ils risquent d'exclure les utilisateurs légitimes.

Lorsqu'une attaque par force brute complète sur un compte WordPress réussit, un attaquant peut souvent modifier un thème pour y insérer du code de porte dérobée, comme illustré ici :

orcwebhosting

Les attaques à grande échelle sont un problème croissant

L'équipe de produits Imunify360 a étudié plus de 2000 domaines WordPress attaqués dans le monde entier le 22 avril 2020 (AUCUN site web n'a été attaqué/piraté par nous) et a tiré les conclusions et prévisions suivantes :

orcwebhosting

Ce qu'on a trouvé, c'est ça :

Les 10 000 mots de passe les plus utilisés l'ont été dans la moitié des tentatives de connexion.

En moyenne, un attaquant doit essayer 64 domaines, avec 14 tentatives de connexion chacun, pour identifier un compte avec un mot de passe faible.

Des mots de passe faibles ont été utilisés pour environ 10% des tentatives de connexion réussies. Cela signifie que les sites Web utilisant des mots de passe d'utilisateur faibles peuvent être piratés ou l'ont déjà été.

Fondamentalement, notre analyse a montré que les mots de passe utilisateur faibles dans WordPress sont comme une autoroute à plusieurs voies sur laquelle les pirates peuvent prendre le contrôle des sites Web.

Imunify360 protège contre les attaques de grande envergure

La dernière version d'Imunify360, version 4.7, a été développée pour bloquer les attaques par force brute de grande envergure. Pour ce faire, les mots de passe utilisés lors des tentatives de connexion sont vérifiés à l'aide d'une liste de mots de passe faibles connus. Si l'un de ces mots de passe est utilisé lors d'une tentative de connexion, l'utilisateur est redirigé vers une page l'invitant à modifier son mot de passe :

orcwebhosting

Lorsque l'utilisateur clique sur le bouton "Réinitialiser le mot de passe", il est redirigé vers la page de réinitialisation du mot de passe WordPress. La fonctionnalité de WordPress n'est pas affectée, car la réinitialisation du mot de passe ne nécessite pas que l'utilisateur soit connecté.

Image de Silvio Mazenauer

Silvio Mazenauer

Depuis plus de 20 ans, j'aide nos clients à s'y retrouver avec l'hébergement web, les domaines, les sites web ou cPanel. Et je suis là pour t'aider aussi.

Reste à jour :

Tu trouveras ici des informations utiles et intéressantes sur les domaines, l'hébergement web, le référencement, WordPress et bien plus encore. ....

Également intéressant

Hébergement rapide de WordPress pour ton site web

Développe le plein potentiel de ton site web avec notre hébergement WordPress performant

Ta plateforme de travail numérique GRATUITE. Avec XtraMail, ton bureau t'accompagne partout.

Vivez votre email comme jamais auparavant avec XtraMail.

Ta solution de messagerie pour les particuliers et les entreprises : XtraMail Webmail. Avec des e-mails, des vidéoconférences, des documents, des calendriers, des contacts et une application mobile - plus plus de 40 autres fonctions utiles.

xtramail webmail teamwork