WPBeginner - Tutoriels WordPress pour débutants

Tutoriels WordPress de confiance, quand vous en avez le plus besoin.
Guide du débutant pour WordPress
WPB Cup
25 millions+
Sites web utilisant nos plugins
16+
Années d'expérience WordPress
3000+
Tutoriels WordPress par des experts

Comment protéger votre site WordPress contre les attaques par force brute

Par Editorial Staff | | Divulgation du lecteur

Shares 438 ChatGPT Perplexity X LinkedIn WhatsApp

Votre site WordPress est-il vulnérable aux attaques par force brute ? Ces attaques peuvent non seulement ralentir votre site et rendre son accès difficile, mais elles peuvent même permettre aux pirates de déchiffrer vos mots de passe et d'installer des logiciels malveillants. Cela peut gravement nuire à votre site et à votre entreprise.

Chez WPBeginner, nous nous appuyons fortement sur des outils de sécurité tels que Sucuri et Cloudflare pour assurer la sécurité de notre site. Sucuri nous a une fois aidés à bloquer 450 000 attaques WordPress sur une période de 3 mois.

Dans cet article, nous vous montrerons comment protéger votre site WordPress contre les attaques par force brute.

Comment protéger votre site WordPress contre les attaques par force brute

Qu'est-ce qu'une attaque par force brute ?

Une attaque par force brute est une méthode de piratage qui utilise des essais et erreurs pour pénétrer dans un site Web, un réseau ou un système informatique.

Le type d'attaque par force brute le plus courant est la devinette de mot de passe. Les pirates utilisent des logiciels automatisés pour continuer à deviner vos informations de connexion afin de pouvoir accéder à votre site Web.

Ces outils de piratage automatisés peuvent également se déguiser en utilisant différentes adresses IP et localisations, ce qui rend plus difficile l'identification et le blocage des activités suspectes.

Une attaque par force brute réussie peut donner aux pirates informatiques l'accès à la zone d'administration de votre site web. Ils peuvent installer des logiciels malveillants, voler des informations d'utilisateurs et supprimer tout le contenu de votre site.

Même les attaques par force brute infructueuses peuvent causer des ravages en envoyant trop de requêtes à vos serveurs d'hébergement WordPress, ralentissant ou même plantant complètement votre site web.

Cela étant dit, examinons comment protéger votre site web WordPress des attaques par force brute. Voici les étapes que nous allons suivre :

  1. Installer un plugin de pare-feu WordPress
  2. Installer les mises à jour WordPress
  3. Protéger le répertoire d'administration WordPress
  4. Ajouter l'authentification à deux facteurs dans WordPress
  5. Utiliser des mots de passe uniques et forts
  6. Désactiver la navigation dans les répertoires
  7. Désactiver l'exécution des fichiers PHP dans certains dossiers WordPress
  8. Installer et configurer un plugin de sauvegarde WordPress

1. Installer un plugin de pare-feu WordPress

Les attaques par force brute exercent une forte charge sur vos serveurs. Même celles qui échouent peuvent ralentir votre site web ou planter complètement le serveur. C'est pourquoi il est important de les bloquer avant qu'elles n'atteignent votre serveur.

Pour ce faire, vous aurez besoin d'une solution de pare-feu pour site web. Un pare-feu filtre le trafic indésirable et l'empêche d'accéder à votre site.

Comment fonctionne le pare-feu Sucuri

Il existe deux types de pare-feu pour sites web que vous pouvez utiliser :

  • Pare-feu au niveau applicatif : Ils examinent le trafic une fois qu'il atteint votre serveur mais avant le chargement de la plupart des scripts WordPress. Cette méthode n'est pas très efficace car une attaque par force brute peut toujours affecter la charge de votre serveur.
  • Les pare-feu de site Web au niveau DNS acheminent le trafic de votre site Web via leurs serveurs proxy cloud. Cela leur permet de n'envoyer que le trafic légitime à votre serveur d'hébergement Web principal tout en améliorant la vitesse et les performances de votre WordPress.

Nous recommandons d'utiliser Sucuri. Ils sont le leader de l'industrie en matière de sécurité des sites Web et le meilleur pare-feu WordPress du marché. Comme ils disposent d'un pare-feu de site Web au niveau DNS, cela signifie que tout le trafic de votre site Web passe par leur proxy, où le trafic malveillant est filtré.

Nous utilisons Sucuri sur notre site Web, et vous pouvez lire notre avis complet sur Sucuri pour en savoir plus.

2. Installer les mises à jour WordPress

Certaines attaques par force brute ciblent activement les vulnérabilités connues dans les anciennes versions de WordPress, les plugins WordPress populaires, ou les thèmes.

Le cœur de WordPress et la plupart des plugins WordPress populaires sont open source, et les vulnérabilités sont souvent corrigées très rapidement avec une mise à jour. Cependant, si vous ne parvenez pas à installer les mises à jour, vous laissez votre site Web vulnérable à ces anciennes menaces.

Allez simplement dans la page Tableau de bord » Mises à jour dans la zone d'administration de WordPress pour vérifier les mises à jour disponibles. Cette page affichera toutes les mises à jour pour votre cœur de WordPress, vos plugins et vos thèmes.

Mise à jour du cœur de WordPress depuis le tableau de bord

Pour plus de détails, consultez nos guides sur comment mettre à jour WordPress en toute sécurité et comment mettre à jour correctement les plugins WordPress.

3. Protéger le répertoire d'administration de WordPress

La plupart des attaques par force brute sur un site WordPress tentent d'accéder à la zone d'administration de WordPress. Vous pouvez ajouter une protection par mot de passe à votre répertoire d'administration WordPress au niveau du serveur. Cela bloquera l'accès non autorisé à votre zone d'administration WordPress.

Connectez-vous simplement à votre panneau de contrôle d'hébergement WordPress (cPanel) et cliquez sur l'icône « Confidentialité du répertoire » dans la section Fichiers.

Note : Nous utilisons Bluehost dans notre capture d'écran, mais des paramètres similaires sont disponibles sur d'autres sociétés d'hébergement de premier plan comme HostGator également.

Cliquez sur l'option Confidentialité du répertoire dans la section Fichiers

Ensuite, vous devez localiser le dossier wp-admin.

Une fois que vous l'avez trouvé, vous devriez cliquer sur son bouton « Modifier ».

Utiliser la confidentialité du répertoire pour protéger wp-admin par mot de passe

Sur la page suivante, vous pouvez définir les paramètres de sécurité du dossier.

Tout d'abord, vous devez cocher la case « Protéger ce répertoire par mot de passe ». Ensuite, vous pouvez entrer un nom pour le répertoire protégé.

Protéger un répertoire par mot de passe

Ensuite, il vous sera demandé de fournir un nom d'utilisateur et un mot de passe.

Ces informations vous seront demandées chaque fois que vous tenterez d'accéder à ce répertoire.

Fournir un nom d'utilisateur et un mot de passe pour un répertoire protégé

Après avoir saisi ces informations, cliquez sur le bouton « Enregistrer » pour sauvegarder vos paramètres.

Votre répertoire d'administration WordPress est maintenant protégé par mot de passe.

Vous verrez une nouvelle invite de connexion lorsque vous visiterez votre zone d'administration WordPress.

Exemple de protection par mot de passe de l'administration WordPress

Si vous rencontrez une erreur 404 ou un message d'erreur trop de redirections, vous devez ajouter la ligne suivante à votre fichier .htaccess WordPress :

ErrorDocument 401 default
Hosted with ❤️ by WPCode
1-click Use in WordPress

Pour plus de détails, consultez notre article sur la façon de protéger par mot de passe le répertoire d'administration WordPress.

4. Ajouter l'authentification à deux facteurs dans WordPress

L'authentification à deux facteurs ajoute une couche de sécurité supplémentaire à votre écran de connexion WordPress. Les utilisateurs auront besoin de leur téléphone pour générer un code d'accès unique en plus de leurs identifiants de connexion pour accéder à la zone d'administration de WordPress.

Les utilisateurs doivent saisir un code d'authentification avant de se connecter

L'ajout de l'authentification à deux facteurs rendra plus difficile pour les pirates d'obtenir l'accès, même s'ils parviennent à déchiffrer votre mot de passe WordPress.

Pour des instructions détaillées étape par étape, consultez notre guide sur comment ajouter l'authentification à deux facteurs dans WordPress.

5. Utilisez des mots de passe uniques et forts

Les mots de passe sont les clés pour accéder à votre site WordPress ou à votre boutique de commerce électronique. Vous devez utiliser des mots de passe uniques et forts pour tous vos comptes. Un mot de passe fort est une combinaison de chiffres, de lettres et de caractères spéciaux.

Il est important d'utiliser des mots de passe forts non seulement pour vos comptes d'utilisateurs WordPress, mais aussi pour votre client FTP, le panneau de contrôle de votre hébergement web et votre base de données WordPress.

De nombreux débutants nous demandent comment se souvenir de tous ces mots de passe uniques. Eh bien, vous n'avez pas besoin de le faire. Il existe d'excellentes applications de gestion de mots de passe disponibles qui stockeront vos mots de passe en toute sécurité et les rempliront automatiquement pour vous.

Pour en savoir plus, consultez notre guide pour débutants sur les meilleures façons de gérer les mots de passe pour WordPress.

6. Désactiver la navigation dans les répertoires

Par défaut, lorsque votre serveur web ne trouve pas de fichier d'index (tel que index.php ou index.html), il affiche automatiquement une page d'index montrant le contenu du répertoire.

Navigation dans les répertoires

Lors d'une attaque par force brute, les pirates peuvent utiliser la navigation dans les répertoires comme celle-ci pour rechercher des fichiers vulnérables. Pour résoudre ce problème, vous devez ajouter la ligne suivante en bas de votre fichier .htaccess WordPress en utilisant un service FTP :

Options -Indexes
Hosted with ❤️ by WPCode
1-click Use in WordPress

Pour plus de détails, consultez notre article sur la façon de désactiver la navigation dans les répertoires dans WordPress.

7. Désactiver l'exécution des fichiers PHP dans des dossiers WordPress spécifiques

Les pirates informatiques peuvent vouloir installer et exécuter un script PHP dans vos dossiers WordPress. WordPress est principalement écrit en PHP, ce qui signifie que vous ne pouvez pas désactiver cela dans tous les dossiers WordPress.

Cependant, il existe certains dossiers qui n'ont pas besoin de scripts PHP, comme votre dossier de téléchargements WordPress situé à l'adresse /wp-content/uploads.

Vous pouvez désactiver en toute sécurité l'exécution PHP dans le dossier de téléchargements, qui est un endroit courant que les pirates utilisent pour cacher des fichiers de porte dérobée.

Tout d'abord, vous devez ouvrir un éditeur de texte comme le Bloc-notes sur votre ordinateur et coller le code suivant :

<Files *.php>
deny from all
</Files>
Hosted with ❤️ by WPCode
1-click Use in WordPress

Maintenant, enregistrez ce fichier sous le nom .htaccess et téléchargez-le dans les dossiers /wp-content/uploads/ de votre site web à l'aide d'un client FTP.

8. Installer et configurer un plugin de sauvegarde WordPress

Les sauvegardes sont l'outil le plus important de votre arsenal de sécurité WordPress. Si tout le reste échoue, les sauvegardes vous permettront de restaurer facilement votre site web.

La plupart des sociétés d'hébergement WordPress proposent des options de sauvegarde limitées. Cependant, ces sauvegardes ne sont pas garanties, et vous êtes seul responsable de la création de vos propres sauvegardes.

Il existe plusieurs excellents plugins de sauvegarde WordPress qui vous permettent de planifier des sauvegardes automatiques.

Nous recommandons d'utiliser Duplicator. Il est convivial pour les débutants et vous permet de configurer rapidement des sauvegardes automatiques et de les stocker dans des emplacements distants tels que Google Drive, Dropbox, Amazon S3, OneDrive, et plus encore.

Duplicator

Il existe également une version gratuite de Duplicator que vous pouvez utiliser pour commencer.

Pour des instructions étape par étape, vous pouvez suivre ce guide sur comment sauvegarder votre site WordPress avec Duplicator.

Tous les conseils mentionnés ci-dessus vous aideront à protéger votre site WordPress contre les attaques par force brute. Pour une configuration de sécurité plus complète, vous devriez suivre les instructions de notre guide ultime de la sécurité WordPress pour les débutants.

Nous espérons que cet article vous a aidé à apprendre comment protéger votre site WordPress contre les attaques par force brute. Vous voudrez peut-être aussi consulter notre guide sur comment réparer un site WordPress piraté et nos meilleurs choix de meilleurs plugins de pare-feu WordPress.

Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.

Populaire sur WPBeginner En ce moment !

Avis : Notre contenu est financé par nos lecteurs. Cela signifie que si vous cliquez sur certains de nos liens, nous pouvons percevoir une commission. Voir comment WPBeginner est financé, pourquoi c'est important et comment vous pouvez nous soutenir. Voici notre processus éditorial.

La boîte à outils WordPress ultime

Accédez GRATUITEMENT à notre boîte à outils - une collection de produits et de ressources liés à WordPress que tout professionnel devrait posséder !

Télécharger maintenant

Interactions des lecteurs

16 CommentsLeave a Reply

  1. Ce sont des conseils très précieux. Une attaque par force brute peut être très dangereuse, surtout si le fournisseur d'hébergement n'a pas de solutions de fond et, surtout, si les utilisateurs ont des mots de passe faibles composés de phrases simples. Personnellement, tout commence toujours par le mot de passe. Caractères, symboles, chiffres… c'est la seule bonne combinaison. Les noms et les phrases sont le pire. Si les gens comprennent cela, ils sont largement protégés, à condition que les mots de passe aient au moins huit caractères ou plus. Cependant, il est difficile d'apprendre cela aux gens, car ils veulent des mots de passe dont ils se souviennent. C'est pourquoi il est bon d'utiliser des moyens mnémotechniques pour les mots de passe. J'utilise des mots de passe qui n'ont pas de sens mais je m'en souviens grâce à des moyens mnémotechniques. L'ajout d'une couche de sécurité supplémentaire améliore la sécurité globale, et je considère l'authentification à deux facteurs comme la meilleure deuxième couche. Avec elle, le risque de violation devient presque minime.

    Reply

  2. C'est un excellent guide pour sécuriser votre site WordPress ! Un conseil supplémentaire que je recommanderais est de surveiller régulièrement vos tentatives de connexion. De nombreux plugins de sécurité offrent des journaux détaillés où vous pouvez suivre les tentatives de connexion, y compris les adresses IP d'origine. Cela peut vous aider à identifier les activités suspectes et potentiellement à bloquer les IP malveillantes.

    Reply

    • Merci pour votre recommandation.
      J'avais l'habitude de vérifier les détails des journaux pour identifier l'adresse IP des tentatives de connexion. Mais y a-t-il un moyen de recevoir directement une notification par e-mail pour les tentatives de connexion ?
      Connaissez-vous un plugin qui fait cela ?

      Reply

      • Je pense que le plugin Limit Login Attempts Reloaded peut envoyer des notifications par e-mail pour les tentatives de connexion. Vous pouvez l'essayer.

        Reply

        • Ok, merci pour votre réponse, Dayo. Il est difficile et prend du temps de se connecter fréquemment pour vérifier les tentatives de journal d'erreurs sur plusieurs sites Web, c'est pourquoi je préfère recevoir des e-mails à chaque tentative. Merci.

  3. J'ai remarqué que vous n'aviez pas inclus l'option de changer l'URL de l'administration WordPress dans la liste. Y a-t-il une raison à cela ? C'est aussi l'une des très bonnes méthodes pour prévenir les attaques, car les attaquants ne connaîtront pas l'URL de l'administration du site Web.

    Reply

    • Nous ne recommandons pas cela car cela peut causer des problèmes avec les plugins et le débogage et n'ajoute pas grand-chose à la sécurité d'un site.

      Reply

      Admin

      • Eh bien, vous avez probablement de l'expérience avec cela. Je l'utilise sur mon blog et je n'ai jamais eu de problème sur tous les sites. J'ai supposé que changer l'URL pourrait rendre l'administration plus sécurisée en ne connaissant pas l'URL pour l'attaquant, mais je suivrai votre conseil.

        Reply

  4. C'est un problème très courant pour les utilisateurs de WordPress. La plupart du temps, nous accordons peu ou pas d'attention à la protection de notre site web ou de notre blog, puis nous nous plaignons lorsque quelque chose de ce genre se produit.
    J'ai été victime de cette attaque par force brute en 2017 et depuis lors, je me suis assuré d'utiliser des sauvegardes de mon site web complet et une authentification à deux facteurs pour me connecter.
    Existe-t-il un moyen d'identifier si un logiciel malveillant a été installé ou si notre tableau de bord a été compromis ?

    Reply

  5. BONJOUR,
    Pour la protection de l'administrateur à l'étape 3, nous devons afficher la connexion uniquement dans WP-admin, mais elle s'affiche également sur le site. Veuillez donc nous aider à savoir comment l'afficher uniquement dans WP-admin.

    Reply

    • Si vous voulez dire que c'est dans votre zone de widgets, vous voudrez peut-être vérifier un widget méta sous Apparence>Widgets

      Reply

      Admin

  6. Je suis actuellement sous attaque par force brute provenant de différentes IP. Que puis-je faire pour protéger mon site immédiatement ?

    Reply

    • Vous pouvez utiliser l'une des méthodes de cet article pour commencer à combattre l'attaque par force brute.

      Reply

      Admin

Laisser un commentaire

Merci d'avoir choisi de laisser un commentaire. N'oubliez pas que tous les commentaires sont modérés conformément à notre politique de commentaires, et votre adresse e-mail ne sera PAS publiée. Veuillez NE PAS utiliser de mots-clés dans le champ du nom. Ayons une conversation personnelle et significative.

Copyright © 2009 - 2025 WPBeginner LLC. Tous droits réservés. WPBeginner® est une marque déposée.

Géré par Awesome Motive | Hébergement WordPress par SiteGround

La marque WordPress® est la propriété intellectuelle de la WordPress Foundation. L'utilisation des noms WordPress® sur ce site web est uniquement à des fins d'identification et n'implique aucune approbation par la WordPress Foundation. WPBeginner n'est pas approuvé, possédé ou affilié à la WordPress Foundation.

J'ai besoin d'aide avec…

Recherches populaires :

Lancer un blog SEO WordPress Performance WordPress Erreurs WordPress Sécurité WordPress Créer une boutique en ligne