Lorsque vous avez un accès par login ouvert à tous sur Internet, un des risques possibles est l’attaque par bruteforce. C’est à dire, un bot qui va essayer de se loguer avec tous les mots de passe inimaginables avant de trouver le bon. C’est une course contre le temps.
Les services de login implémentent alors souvent un mécanisme qui ralentit ces attaques (le login met excessivement 3 sec à vérifier que votre login est valide ou pas). Mais on peut faire encore mieux en bannissant les IPs des attaquants pendant 10 minutes si ils n’ont pas le bon login au bout de 5 essais. Ca tue leur espoir de vous bruteforcer direct :).
Fail2ban est un logiciel qui fait ça. Ca marche d’office avec votre service SSH. Ca s’installe simplement depuis le gestionnaire de paquets de votre distribution Et si vous voulez aussi que votre login WordPress soit protégé? Installez simplement le plugin WP fail2ban .
Ping WordPress | Pearltrees
Ping Nono’s Vrac 93 « m0le'o'blog
J’ai basculé début septembre mon site SPIP vers WordPress. Dans les heures qui ont suivi, moi qui étais peinard sous SPIP j’ai eu 209 tentatives d’intrusion par bruteforce, très majoritairement de serveurs russes et ukrainiens. Heureusement que j’avais installé le plugin Limit-login Attempts qui bloque les tentatives de connexion à 4 par défaut (avec 20 mn de blocage), et qui bannit l’IP 24 heures après 3 blocages successifs. Devant l’avalange, j’ai d’ailleurs durci ces conditions. Depuis les attaques se sont arrêtées. Cependant, j’ai compris qu’avec WP, il fallait vraiment renforcer les mesures de sécurisation, et j’y travaille.