Empêcher les tentatives de connexion indésirables

Pour vous protéger contre les tentatives de connexion indésirables à votre compte ou site, assurez-vous d’avoir défini un mot de passe fort sur votre compte et activé l’identification à deux facteurs. Vous pouvez également protéger votre site contre les attaques par force brute, sujet traité dans ce guide.

Les attaques par force brute sont une méthode utilisée par les pirates pour exploiter les vulnérabilités de code sur les sites Web WordPress. Les cybercriminels utilisent de vastes réseaux d’ordinateurs appelés « botnets » pour tenter d’accéder à votre site en utilisant des milliers de combinaisons d’identifiants et de mots de passe différentes, et ce, jusqu’à trouver la bonne.

Il existe deux méthodes principales pour se connecter à un site Web WordPress :

1. wp-login est la page de connexion WordPress située sur /wp-login.php. Sur WordPress.com, vous pouvez vous connecter ici en toute sécurité à l’aide de vos identifiants de connexion WordPress.com.
2. XMLRPC est une méthode utilisée par les applications externes pour authentifier et interagir avec WordPress.

Ces deux méthodes sont vulnérables aux attaques de bots qui tentent d’accéder à des sites Web. Par conséquent, notre extension Jetpack protège ces deux méthodes contre les attaques par force brute sur WordPress.com. En moyenne, Jetpack bloque plus de 5 000 attaques par force brute WordPress sur toute la durée de vie d’un site. 

Quelle que soit la taille de votre site, il y a toujours quelqu’un ou quelque chose qui essaie de s’y introduire. En cas de succès, les attaques par force brute peuvent ralentir ou empêcher votre site de répondre et donner aux cybercriminels un accès non autorisé au contenu et aux données de votre site.

La protection contre les attaques par force brute sur WordPress.com bloque les tentatives de connexion indésirables des attaques de connexion par force brute distribuées et traditionnelles, contribuant ainsi à assurer la sécurité de votre site dès sa création.

Avec la protection contre les attaques par force brute, vous pouvez :

• Bloquer automatiquement les adresses IP suspectes avant qu’elles n’atteignent votre site
• Autoriser les adresses IP fiables pour éviter les faux positifs
• Activer ou désactiver la fonctionnalité selon les besoins

Jetpack utilise les données de millions de sites pour détecter et arrêter les menaces. Par exemple, si un bot ne parvient pas à se connecter à un site, il sera bloqué sur les autres avant même de pouvoir tenter d’y accéder.

Cette section du guide s’applique aux sites utilisant les plans WordPress.com Business et Commerce, ainsi que l’ancien plan Pro. Si vous avez un plan Business, assurez-vous de l’activer. Les sites utilisant les plans Gratuit, Personnel et Premium doivent mettre à niveau leur plan pour avoir accès à cette fonctionnalité.

Les sites hébergés sur WordPress.com ne peuvent pas désactiver l’extension Jetpack, car cela supprimerait votre accès à votre site et supprimerait les fonctionnalités essentielles qu’il fournit. Jetpack est géré automatiquement pour nous permettre de continuer à assurer la sécurité et les performances optimales de votre site. 

Cependant, vous pouvez désactiver des fonctionnalités spécifiques de Jetpack qui, selon vous, pourraient provoquer un conflit. La protection contre les attaques par force brute est activée par défaut lorsque vous créez votre site Web WordPress.com.

 Vous pouvez désactiver et réactiver la fonctionnalité en procédant comme suit :

1. Consultez le tableau de bord de votre site.
2. Accédez à Jetpack → Réglages.
3. Cliquez sur l’onglet Sécurité.
4. Faites défiler vers le bas jusqu’à la section « Protection contre les attaques par force brute » et activez ou désactivez la fonctionnalité :

Vous pouvez autoriser des listes d’adresses IP de liste à empêcher leur blocage. Ceci est utile si vous avez fait plusieurs tentatives de connexion échouées ou si Jetpack a signalé une activité inhabituelle à partir de votre adresse IP actuelle.

Pour ajouter une adresse IP à la liste d’autorisation de votre site :

1. Consultez le tableau de bord de votre site.
2. Accédez à Jetpack → Réglages.
3. Cliquez sur l’onglet Sécurité.
4. Faites défiler vers le bas jusqu’à la section « Toujours autoriser les adresses IP ».
5. Activez le réglage.
6. Ajoutez les adresses IP que vous souhaitez ajouter à la liste blanche (séparées par une virgule). Les adresses IPv4 et IPv6 sont acceptées. Pour spécifier une plage, entrez la valeur basse et la valeur haute en les séparant par un tiret. Exemple : 12.12.12.1-12.12.12.100
7. (Facultatif) Cliquez sur le bouton « Ajouter à la liste Autoriser » pour ajouter facilement votre adresse IP actuelle à la liste blanche.