Utiliser un CMS comme WordPress pour éditer son site web est devenu courant et très simple, surtout pour un utilisateur novice.
Ceux qui analysent les logs http de leur site web auront constaté des centaines, voire des milliers de lignes de type « /wp-login.php » appelées depuis des adresses IP plus ou moins exotiques. De fait autant de tentatives de connexions pour essayer d’accéder à l’interface d’administration en devinant le nom d’utilisateur et/ou son mot de passe.
Dans le jargon on appel cela des attaques par « brute force » où un script automatisé va essayer de nombreuses combinaisons pour gagner l’accès.
On ne rappellera jamais assez les règles de base :
- modifier systématiquement le nom d’utilisateur « admin » proposé par défaut par WordPress
- choisir un mot de passe suffisamment long et complexe
Vous pouvez utiliser ce petit site pour générer un mot de passe http://www.mot2passe.fr/ - appliquer les mises à jour de sécurité de WordPress et des plug-ins installés.
Vous pouvez aussi choisir le service d’infogérance CMS WordPress proposé par One2Net.
Au-delà de ces règles essentielles, il existe le plug-in WordPress Limit Login Attempts.
Une fois installé, ce plug-in va bloquer les adresses IP qui génèrent trop d’erreurs de connexion.
Il ne s’agit pas d’une solution ultime, mais cela découragera la majorité des attaques de type brute force et vous permettra d’être plus serein.
Pour télécharger le plug-in, c’est ici : http://wordpress.org/plugins/limit-login-attempts/
