Une des méthodes qu’utilisent de nombreux pirates pour accéder à un site WordPress est de lancer une attaque par force brute. A l’instar de toute tentative de piratage, ces attaques ont pour objectif de permettre aux pirates d’accéder au système pour qu’ils soient en mesure de supprimer du contenu, ajouter leur propre contenu ou exécuter toute autre action machiavélique. Une attaque par force brute est un des moyens les plus simples d’accéder à un système.

L’idée de base sur laquelle repose ce type de piratage est simple : l’attaquant (habituellement un système automatisé) essaie autant de mots de passe que possible jusqu’à ce qu’il trouve celui qui fonctionne. On pourrait avoir l’impression que cette approche prend un certain temps, mais elle est réellement efficace puisque beaucoup de gens n’utilisent pas de mots de passe complexes. En plus de finir par compromettre votre système, ces attaques ralentissent aussi le temps de chargement du site. Elles peuvent aussi complètement le faire planter, car l’attaquant essaie habituellement dix mots de passe toutes les quelques secondes.

Comment pouvez-vous protéger votre système WordPress de ces types d’attaques ? Il existe plusieurs moyens. Une des méthodes les plus courantes consiste à renommer le fichier wp-login.php. Il s’agit de la page de connexion par défaut, celle par laquelle attaquent les pirates. Un plug-in peut être utilisé à cette fin. Ce plug-in, Rename wp-login.php, est disponible sur le site de WordPress.

Suite à son installation et son activation, ce plug-in dirigera les utilisateurs à la section Permalinks de la page des paramètres du panneau de configuration. Il donnera aux utilisateurs la possibilité de saisir une nouvelle URL de connexion. Vous y trouverez d’autres options également. La plupart des experts de WordPress recommandent de modifier aussi les paramètres communs (Common Settings) de la valeur par défaut (Default) au nom du billet (Post Name).

Pour l’URL de connexion, vous pouvez le laisser comme tel, mais vous pouvez aussi le modifier en quelque d’assez inhabituel. Dans ce cas, l’URL complète de connexion sera votre site/le nom de votre page de connexion. N’oubliez pas qu’il faudrait ajouter à vos favoris ou noter le nom que vous avez donné à la page de connexion pour ne pas l’oublier ! Vous devrez également partager cette nouvelle URL avec les personnes qui auront besoin de se connecter à votre site WordPress.

Les pirates vont maintenant voir une page d’erreur 404 qui indique que la page est introuvable quand ils arriveront à wp-login.php. Cependant, WordPress consacrera encore des ressources au chargement de cette page. Une autre astuce consiste à éditer le fichier .htaccess (htaccess file). Ajoutez le code suivant à la fin du fichier :

<Files wp-login.php>

</Files>

Ceci renverra une erreur 403 plutôt qu’une erreur 404. Il s’agit de l’erreur d’interdiction – toute personne qui tente d’accéder à wp-login.php verra un message disant qu’elle n’a pas l’autorisation d’accéder à /wp-login.php. Lorsqu’une erreur 403 est affichée, WordPress ne charge aucune ressource. Par conséquent, aucun ralentissement ne se produit.

Il existe d’autres méthodes pour protéger WordPress contre les attaques par force brute, mais celle-ci est l’une des plus faciles et plus rapides à mettre en place. Un autre avantage qui découle du fait que cette méthode peut complètement empêcher aux pirates d’accéder à votre page de connexion, c’est qu’elle peut également vous protéger contre d’autres formes de piratage.