Protéger son site contre les attaques de type brute-force
Comprendre ce qu’est une attaque brute-force
Une attaque de type brute-force consiste à tester automatiquement des milliers de combinaisons de noms d’utilisateurs et de mots de passe jusqu’à trouver la bonne. Ces attaques ciblent notamment la page de connexion WordPress par défaut (/wp-login.php) et peuvent surcharger votre serveur, voire compromettre votre site.
Elles sont souvent menées par des bots qui scannent les sites non protégés. Pour vous en prémunir, il est essentiel de mettre en place des défenses techniques et de bonnes pratiques dès l’installation de votre site WordPress.
Changer l’URL de connexion par défaut
L’une des premières étapes pour contrer les attaques brute-force est de modifier l’URL de connexion par défaut. En changeant l’adresse /wp-login.php vers une URL personnalisée (ex : /connexion-privee), vous limitez l’accès des robots à votre interface d’administration.
Des plugins comme WPS Hide Login permettent de faire ce changement sans toucher au code. C’est une méthode simple et efficace à combiner avec d’autres mesures de sécurité.
Limiter les tentatives de connexion
Installer un plugin comme Limit Login Attempts Reloaded ou activer cette fonction dans un plugin de sécurité global permet de bloquer l’accès après plusieurs tentatives échouées (ex : 3 tentatives). Cela empêche les bots de tester des milliers de combinaisons.
Vous pouvez aussi recevoir une notification lorsqu’un utilisateur est bloqué, ce qui vous permet de surveiller les tentatives suspectes en temps réel.
Activer l’authentification à deux facteurs (2FA)
La double authentification renforce considérablement la sécurité. Même si un mot de passe est compromis, un second code (souvent généré via une application comme Google Authenticator) est nécessaire pour se connecter.
Plusieurs plugins comme Wordfence ou iThemes Security intègrent cette fonctionnalité. Elle est fortement recommandée, notamment pour les comptes administrateurs.
Utiliser des mots de passe forts et uniques
Cela semble basique, mais encore trop de sites utilisent des mots de passe faibles ou génériques. Assurez-vous que vos identifiants :
- comportent au moins 12 caractères
- incluent lettres, chiffres et symboles
- sont différents pour chaque utilisateur
Des gestionnaires comme Bitwarden ou LastPass permettent de générer et stocker des mots de passe complexes facilement.
Installer un plugin de sécurité
Des plugins comme Wordfence, Sucuri ou iThemes Security offrent une protection spécifique contre les attaques brute-force :
- Blocage automatique des IP malveillantes
- Détection des tentatives de connexion suspectes
- Journal d’activité utilisateur
- Alertes par e-mail en cas de comportement anormal
Ces plugins sont un pilier de toute stratégie de cybersécurité WordPress.
Protéger l’accès au fichier wp-login.php et à wp-admin
En complément, il est possible de restreindre l’accès à la page de connexion à certaines adresses IP (dans le fichier .htaccess), ou encore de mettre en place une protection par mot de passe HTTP supplémentaire.
C’est une approche plus technique, mais très efficace pour des sites à fort trafic ou avec des données sensibles.
Utiliser un CDN avec pare-feu applicatif
Des services comme Cloudflare ou Sucuri proposent un pare-feu applicatif (WAF) qui filtre le trafic malveillant avant qu’il n’atteigne votre serveur. Cela permet de bloquer une grande partie des attaques automatisées, y compris les brute-force.
C’est particulièrement recommandé pour les sites exposés ou les boutiques WooCommerce.
Surveiller et réagir rapidement
Mettez en place un système d’alerte pour être prévenu en temps réel des attaques (tentatives de connexion multiples, nouvelles IP bloquées…). Vous pouvez utiliser un plugin ou un outil de monitoring externe.
Pour une protection renforcée, découvrez comment mettre en place des alertes de sécurité efficaces.
Conclusion : sécuriser sa page de connexion est une priorité
Les attaques brute-force sont simples mais redoutablement efficaces sur les sites mal protégés. En mettant en place des mesures préventives simples — changement d’URL, limitation des tentatives, 2FA, plugin de sécurité — vous pouvez bloquer 99 % des menaces de ce type.
Pour aller plus loin, explorez nos autres guides sur la maintenance sécurisée, l’installation d’un CDN, ou encore les fondamentaux de la cybersécurité WordPress.
