WPBeginner - Tutoriels WordPress pour débutants

Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Coupe WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Comment protéger votre site WordPress contre les attaques par force brute

Dernière mise à jour le par Editorial Staff | Révisé par : Syed Balkhi

Partager Facebook Messenger WhatsApp
Note éditoriale : Nous percevons une commission sur les liens des partenaires sur WPBeginner. Les commissions n'affectent pas les opinions ou les évaluations de nos rédacteurs. En savoir plus sur Processus éditorial.

Voulez-vous protéger votre site WordPress contre les attaques par force brute ?

Une attaque par force brute peut ralentir votre site, le rendre inaccessible et même craquer vos mots de passe pour installer des logiciels malveillants sur votre site.

Dans cet article, nous allons vous afficher comment protéger votre site WordPress des attaques par force brute.

protecting WordPress from brute force attacks

Qu’est-ce qu’une attaque par force brute ?

Une attaque par force brute est une méthode de piratage qui utilise l’essai et l’erreur pour s’introduire dans un site, un réseau ou un système informatique.

Le type d’attaque par force brute le plus courant est la devinette de mot de passe. Les pirates utilisent des logiciels automatisés pour deviner vos informations de connexion afin d’accéder à votre site.

Ces outils de piratage activés peuvent également se déguiser en utilisant différentes adresses IP et différents Emplacements, ce qui complique l’identification et le blocage des activités suspectes.

Une attaque par force brute bien réussie peut permettre à des pirates d’accéder à la zone d’administration de votre site. Ils peuvent alors installer des logiciels malveillants, voler des informations sur les utilisateurs/utilisatrices et supprimer tout ce qui se trouve sur votre site.

Même les attaques par force brute infructueuses peuvent faire des ravages en envoyant trop de demandes aux serveurs de votre hébergeur WordPress, ralentissant ou même faisant complètement échouer votre site.

Ceci étant dit, voyons comment protéger votre site WordPress contre les attaques par force brute. Voici les étapes par lesquelles nous allons passer :

  1. Install a WordPress Firewall Plugin
  2. Install WordPress Updates
  3. Protect WordPress Admin Directory
  4. Add Two-Factor Authentication in WordPress
  5. Use Unique and Strong Passwords
  6. Disable Directory Browsing
  7. Disable PHP File Execution in Specific WordPress Folders
  8. Install and Set Up a WordPress Backup Plugin

1. Installer une extension de pare-feu WordPress

Les attaques par force brute pèsent lourdement sur vos serveurs. Même celles qui n’aboutissent pas peuvent ralentir votre site ou faire complètement planter le serveur. C’est pourquoi il est important de les bloquer avant qu’elles n’atteignent votre serveur.

Pour ce faire, vous aurez besoin d’une solution de pare-feu pour site web. Un pare-feu filtre le mauvais trafic et l’empêche d’accéder à votre site.

Website firewall

Il existe deux types de pare-feu pour sites web :

  • Lespare-feu au niveau de l’application examinent le trafic une fois qu’il atteint votre serveur, mais avant de charger la plupart des scripts WordPress. Cette méthode n’est pas aussi efficace car une attaque par force brute peut encore affecter la charge de votre serveur.
  • Lespare-feux de sites web de niveau DNS acheminent le trafic de votre site via leurs serveurs proxy dans le cloud. Cela leur permet d’envoyer uniquement le trafic authentique à votre serveur hébergeur principal tout en donnant un coup de pouce à la vitesse et aux performances de votre WordPress.

Nous recommandons d’utiliser Sucuri. Ils sont le leader de l’industrie en matière de sécurité des sites et le meilleur pare-feu WordPress sur le marché. Comme ils ont un pare-feu de site Web au niveau DNS, cela signifie que tout le trafic de votre site passe par leur proxy, où le mauvais trafic est filtré.

Nous utilisons Sucuri sur notre site, et vous pouvez lire notre avis complet sur Sucuri pour en savoir plus.

2. Installer les mises à jour de WordPress

Certaines attaques par force brute courantes ciblent activement des vulnérabilités connues dans des versions plus anciennes de WordPress, des extensions WordPress populaires ou des thèmes.

Le cœur de WordPress et la plupart des extensions WordPress populaires sont des logiciels libres, et les vulnérabilités sont souvent corrigées très rapidement par une mise à jour. Cependant, si vous n’installez pas les mises à jour, vous laissez votre site vulnérable à ces anciennes menaces.

Il suffit d’aller sur la page Tableau de bord  » Mises à jour dans la zone d’administration de WordPress pour vérifier si des mises à jour sont disponibles. Cette page affiche toutes les mises à jour du cœur, des extensions et des thèmes de WordPress.

Updates page in WordPress admin area

Pour plus de détails, consultez nos guides sur la façon de mettre à jour WordPress en toute sécurité et de mettre à jour correctement les extensions WordPress.

3. Protéger le répertoire d’administration de WordPress

La plupart des attaques par force brute sur un site WordPress tentent d’obtenir l’accès à la zone d’administration de WordPress. Vous pouvez ajouter une protection par mot de passe à votre répertoire d’administration WordPress au niveau du serveur. Cela bloquera l’accès non autorisé à la zone d’administration de WordPress.

Il vous suffit de vous connecter au panneau de contrôle de votre hébergeur WordPress (cPanel) et de cliquer sur l’icône « Confidentialité du répertoire » dans la section Fichiers.

Note : Nous utilisons Bluehost dans notre capture d’écran, mais des réglages similaires sont disponibles sur d’autres entreprises d’hébergement de premier plan comme HostGator.

Click on the Directory Privacy option in the Files section

Ensuite, vous devez localiser le dossier wp-admin.

Une fois que vous l’avez trouvé, cliquez sur le bouton « Modifier ».

Using Directory Privacy to Password-Protect wp-admin

Sur la page suivante, vous pouvez définir les Réglages de sécurité pour le dossier.

Tout d’abord, vous devez cocher la case « Protéger ce répertoire par un mot de passe ». Saisissez ensuite un nom pour le répertoire protégé.

Password Protecting a Directory

Ensuite, il vous sera demandé de fournir un identifiant et un mot de passe.

Ces informations vous seront demandées chaque fois que vous tenterez d’accéder à ce répertoire.

Providing a Username and Password for a Protected Directory

Après avoir saisi/saisie ces informations, cliquez sur le bouton « Enregistrer » pour stocker vos Réglages.

Votre répertoire d’administration WordPress est désormais protégé par un mot de passe.

Vous verrez une nouvelle invite de connexion lorsque vous visiterez votre zone d’administration WordPress.

Login prompt

Si vous rencontrez un message d’erreur 404 ou de trop grand nombre de redirections, vous devez alors ajouter la ligne suivante à votre fichier WordPress .htaccess:

ErrorDocument 401 default
Hosted with ❤️ by WPCode
1-click Use in WordPress

Pour plus de détails, consultez notre article sur la protection par mot de passe du répertoire d’administration de WordPress.

4. Ajouter l’authentification à deux facteurs dans WordPress

L’authentification à deux facteurs ajoute une calque de sécurité supplémentaire à votre écran de connexion WordPress. Les utilisateurs/utilisatrices auront besoin de leur téléphone pour générer un code à usage unique en même temps que leurs info connexions pour accéder à la zone d’administration de WordPress.

Enter two-step authentication code

L’ajout d’une authentification à deux facteurs rendra plus difficile l’accès des pirates, même s’ils parviennent à craquer votre mot de passe WordPress.

Pour des instructions détaillées étape par étape, consultez notre guide sur l’ajout de l’authentification à deux facteurs dans WordPress.

5. Utiliser des mots de passe uniques et forts

Les mots de passe sont les clés qui permettent d’accéder à votre site WordPress ou à votre stock d’e-commerce. Vous devez utiliser des mots de passe uniques et forts pour tous vos comptes. Un mot de passe fort est une combinaison de chiffres, de lettres et de caractères spéciaux.

Il est important que vous utilisiez des mots de passe forts non seulement pour vos comptes utilisateurs/utilisatrices WordPress, mais aussi pour votre client FTP, le panneau de contrôle de votre hébergeur et votre base de données WordPress.

De nombreux débutants nous demandent comment se souvenir de tous ces mots de passe uniques. Eh bien, ce n’est pas nécessaire. Il existe d’excellentes applis de gestion de mots de passe qui stockeront vos mots de passe en toute sécurité et les rempliront automatiquement pour vous.

Pour en savoir plus, consultez notre guide du débutant sur les meilleures façons de gérer les mots de passe pour WordPress.

6. Désactiver la navigation dans les répertoires

Par défaut, lorsque votre serveur web ne trouve pas de fichier d’index (tel que index.php ou index.html), il affiche automatiquement une page d’index affichant le contenu du répertoire.

Directory Index

Lors d’une attaque par force brute, les pirates peuvent utiliser la navigation dans les répertoires comme celle-ci pour rechercher des fichiers vulnérables. Pour corriger ce problème, vous devez ajouter la ligne suivante au bas de votre fichier WordPress .htaccess à l’aide d’un service FTP:

Options -Indexes
Hosted with ❤️ by WPCode
1-click Use in WordPress

Pour plus de détails, consultez notre article sur la désactivation de la navigation dans les répertoires sur WordPress.

7. Désactiver l’exécution de fichiers PHP dans des dossiers spécifiques de WordPress

Des pirates peuvent vouloir installer et exécuter un script PHP dans vos dossiers WordPress. WordPress est principalement écrit en PHP, ce qui signifie que vous ne pouvez pas le désactiver dans tous les dossiers WordPress.

Cependant, certains dossiers n’ont pas besoin de scripts PHP, comme le dossier des téléversements de WordPress situé dans /wp-content/uploads.

Vous pouvez désactiver en toute sécurité l’exécution de PHP dans le dossier Téléversés, qui est un endroit couramment utilisé par les pirates pour masquer des fichiers de portes dérobées.

Tout d’abord, vous devez ouvrir un éditeur de texte tel que Notepad sur votre ordinateur et coller le code suivant :

<Files *.php>
deny from all
</Files>
Hosted with ❤️ by WPCode
1-click Use in WordPress

Enregistrez maintenant ce fichier en tant que .htaccess et téléversez-le dans les dossiers /wp-content/uploads/ de votre site à l’aide d’un client FTP.

8. Installer et configurer une extension de sauvegarde WordPress

Les sauvegardes sont l’outil le plus important de votre arsenal de sécurité WordPress. Si tout le reste échoue, alors les sauvegardes vous permettront de restaurer facilement votre site.

La plupart des entreprises d’hébergement WordPress proposent des options de sauvegarde limitées. Cependant, ces sauvegardes ne sont pas garanties, et vous êtes seul responsable de la réalisation de vos propres sauvegardes.

Il existe plusieurs excellents plugins de sauvegarde WordPress qui vous permettent de planifier des sauvegardes automatiques.

Nous vous recommandons d’utiliser Duplicator. Il est convivial pour les débutants et vous permet de configurer rapidement des sauvegardes automatiques et de les stocker sur des emplacements distants tels que Google Drive, Dropbox, Amazon S3, One Drive, etc.

Duplicator WordPress backup plugin

Il existe également une version gratuite de Duplicator que vous pouvez utiliser pour Premiers pas.

Pour des instructions étape par étape, vous pouvez suivre ce guide sur la façon de sauvegarder votre site WordPress avec Duplicator.

Toutes les astuces mentionnées ci-dessus vous aideront à protéger votre site WordPress contre les attaques par force brute. Pour une configuration de sécurité plus complète, vous devriez suivre les instructions de notre guide ultime de sécurité WordPress pour les débutants.

Nous espérons que cet article vous a aidé à apprendre comment protéger votre site WordPress contre les attaques par force brute. Vous pouvez également consulter notre guide sur la façon de corriger un site WordPress piraté et nos choix d’experts pour les meilleurs constructeurs de pages WordPress par glisser-déposer.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Populaire sur WPBeginner Dès maintenant !

Divulgation : Notre contenu est soutenu par les lecteurs. Cela signifie que si vous cliquez sur certains de nos liens, nous pouvons gagner une commission. Consultez comment WPBeginner est financé, pourquoi cela compte et comment vous pouvez nous soutenir. Voici notre processus éditorial.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

L'ultime WordPress Toolkit

Accédez GRATUITEMENT à notre boîte à outils - une collection de produits et de ressources liés à WordPress que tous les professionnels devraient avoir !

Télécharger maintenant

Reader Interactions

9 commentairesLaisser une réponse

  1. Syed Balkhi says

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Moinuddin Waheed says

    This is very common problem for wordpress users. most of the times we give little to no concern to protect our website or blog and then complain when something of this kind happens.
    I have been a victim of this brute force attack back in 2017 and since then I have ensured to use backup of my full website and two factor authentication to log in.
    Is there a way we can identify if any malicious software has been installed or our dashboard has been compromised?

    Répondre

  3. Renuga says

    HI,
    For step-3 admin protection, we need to show the login in WP-admin only but its showing in site also. So, please help us how to show only in WP-admin.

    Répondre

    • WPBeginner Support says

      If you mean it is in your widget area you may want to check for a meta widget under Appearance>Widgets

      Répondre

      Administrateur

Laisser une réponse

Merci d'avoir choisi de laisser un commentaire. Veuillez garder à l'esprit que tous les commentaires sont modérés selon notre politique de commentaires, et votre adresse e-mail ne sera PAS publiée. Veuillez NE PAS utiliser de mots-clés dans le champ du nom. Ayons une conversation personnelle et significative.

Copyright © 2009 - 2024 WPBeginner LLC. Tous droits réservés. WPBeginner® est une marque déposée.

Géré par Awesome Motive | Hébergement WordPress par SiteGround

J'ai besoin d'aide pour…

Recherches populaires :

Démarrer un blog WordPress SEO WordPress Performance Erreurs WordPress Sécurité WordPress Créer une boutique en ligne