8 façons de prévenir les attaques violentes de WordPress

Ou un outil automatisé pour accéder à votre site Web.
Les hackers peuvent utiliser des attaques violentes pour accéder au tableau de bord WordPress. Une fois dans la zone de gestion, ils peuvent voler vos données, installer des logiciels malveillants, et même facilement supprimer tout le contenu de votre site. En fait, ce genre de Hacking est parfois considéré comme long parce que le hacker ou le robot doit essayer de tester chaque mot de passe. Plus le mot de passe est complexe, plus il faut de temps pour entrer correctement. Types d’attaques violentes il existe deux types principaux d’attaques violentes, y compris les attaques mixtes (attaques de dictionnaire) et le remplissage des justificatifs d’identité (récupération des justificatifs d’identité).
L’attaque hybride l’attaque hybride est une forme courante d’attaque violente et son fonctionnement est simple. Tous les mots de passe possibles énumérés dans le dictionnaire des mots de passe de test du robot. Ils commenceront par le plus souvent utilisé, puis tenteront plus longtemps. Si votre mot de passe ressemble à \
Cette méthode est basée sur l’habitude de l’utilisateur d’entrer le même nom et mot de passe sur plusieurs plateformes ou réseaux. Une étude récente a montré que 80% des gens réutilisent des mots de passe sur des plateformes presque en ligne. Bien qu’ils puissent se souvenir des mots de passe sans effort, cela crée des vulnérabilités en matière de sécurité en cas de violation des données. Comment savoir si votre site a été attaqué parce que le robot entre à plusieurs reprises tous les noms d’utilisateur et mots de passe possibles dans votre administrateur WordPress, que vous pouvez facilement identifier en regardant le journal. C’est un exemple d’attaque violente contre les États – Unis.
N site Web:
116.110.100.209 – – [30 septembre 2019: 07: 31: 20 – 0700] \
116.110.100.209 – – [30 septembre 2019: 07: 31: 22 – 0700] \
116.110.100.209 – – [30 septembre 2019: 07: 31: 25 – 0700] \
116.110.100.209 – [30 septembre 2019: 07: 31: 29 – 0700] \
Comment bloquer les attaques violentes de WordPress # 1 définir des mots de passe complexes pour tous les comptes utilisateurs pour accéder au site WordPress, un attaquant doit se connecter à l’écran via un administrateur qui nécessite un nom d’utilisateur et un mot de passe. Chaque compte nécessite un mot de passe unique et complexe afin que le robot ne puisse pas deviner ou récupérer les mots de passe utilisés par d’autres magasins de données. La création de mots de passe complexes semble une tâche ardue. Les mots de passe complexes doivent contenir au moins 8 caractères, y compris des lettres (majuscules et minuscules), des chiffres et des caractères spéciaux tels que «! », \
De plus, votre mot de passe ne devrait pas être prévisible. Ne définissez pas votre mot de passe à partir de renseignements personnels ou de personnes proches de vous, comme votre petite amie, votre animal de compagnie et votre nom. Un exemple de mot de passe super fort est [protégé par courriel], qui combine tous les éléments nécessaires: minuscules, majuscules, chiffres, caractères spéciaux; Et a plus de 8 caractères. Comme les mots de passe difficiles à deviner sont parfois difficiles à mémoriser, vous pouvez les noter ou les stocker dans une application de gestion de mot de passe 2 restreindre les tentatives de connexion dans WordPress cette méthode ne vous permet pas d’entrer trop de mots de passe d’erreur dans le tableau de bord WordPress p
L’utilisateur er est dans un court laps de temps. Pour obtenir l’autorisation de tentative de connexion, vous devez installer un plug – in de connexion verrouillé. Le plug – in enregistre l’adresse IP de chaque tentative d’ouverture de session échouée et le Bloque temporairement si le nombre de tentatives échouées dépasse le nombre défini sur une période de temps.
Tout d’abord, allez au plugin → ajoutez un nouveau contenu dans le menu de navigation WordPress et localisez le verrouillage de connexion dans la zone des mots clés. Ensuite, cliquez sur les boutons installer et activer. Immédiatement après l’installation, le plugin est inséré dans la page paramètres du tableau de bord WordPress. Cliquez sur login Lock pour effectuer certains paramètres de base. Le nombre maximum de tentatives de connexion définit le nombre de tentatives de connexion échouées dans la limite de la période d’essai pendant laquelle l’adresse IP est bloquée. La valeur par défaut est 3 fois. La limite de période d’essai (minutes) identifie la période pendant laquelle les tentatives d’accès infructueuses sont autorisées avant qu’un blocage ne se produise. La durée du bloc (minutes) indique la période pendant laquelle le plug – in bloquera temporairement l’utilisateur après le nombre maximum de tentatives de connexion. Par défaut, le plug – in verrouille l’IP dans l’heure qui suit l’échec de 3 tentatives de connexion en 5 minutes. Par défaut, l’option Block invalid user name empêche l’utilisateur d’essayer un nom d’utilisateur invalide. Le masque d’erreur de connexion indique aux utilisateurs pourquoi ils ne peuvent pas accéder au site. Cela peut être dû au fait qu’ils ont entré un nom d’utilisateur invalide ou qu’ils ont entré le bon nom d’utilisateur mais le mauvais mot de passe. Vous pouvez désactiver cette fonctionnalité en activant cette option. N’oubliez pas de cliquer sur mettre à jour les paramètres pour enregistrer vos modifications.
3 insérer un code de vérification sur la page de connexion WordPress
Une autre façon efficace d’éviter les attaques violentes est d’implémenter le Code de vérification sur l’écran de connexion WordPress. Bien que vous puissiez ajouter un code de vérification manuellement, il est fortement recommandé \/ envisagé d’installer un plug – in de code de vérification. Il réduit également les modifications apportées aux fonctions de fichier. Sujet PHP. Parmi les nombreux plug – ins CAPTCHA disponibles dans le dépôt WordPress, Advanced nocaptcha et invisible CAPTCHA sont très efficaces pour refuser aux robots et aux scripts automatisés l’accès à votre zone de gestion. Comme pour le verrouillage de connexion, les plug – ins Advanced nocaptcha et invisible CAPTCHA sont automatiquement ajoutés à la section paramètres de la barre latérale WordPress après l’installation. Vous pouvez sélectionner n’importe quelle version de recaptcha, y compris la case à cocher V2 \
Les contrôles plug – in permettent toutes les mises à jour en même temps. Ensuite, sélectionnez mise à jour dans le menu déroulant actions par lots. Il est important de voir les détails de la nouvelle version avant de mettre à jour le plug – in. À moins que la dernière version ne mentionne une mise à jour de sécurité, vous devriez attendre au moins une semaine. Il est temps de signaler et de corriger les erreurs et les bogues 5 ajouter un plug – in pare – feu chaque fois qu’un attaquant entre un mot de passe, vous devez charger votre serveur. Ce processus peut ralentir votre site. L’installation du pare – feu sucuri sera une bonne solution pour filtrer le trafic négatif. Il existe deux principaux types de pare – feu de site WordPress à choisir: un pare – feu de niveau application et un pare – feu de niveau dns. Pare – feu au niveau de l’application: ce type de plugin pare – feu contrôle le trafic entrant dans le serveur avant de charger la plupart des scripts WordPress. Parce qu’il affecte encore la charge du serveur, ce n’est pas la méthode idéale pour lutter contre les attaques violentes. Pare – feu de site de niveau DNS: ce type de pare – feu fonctionne comme un serveur mandataire Cloud de trafic basé sur le site. Par conséquent, seul le trafic réel sera envoyé à votre serveur hébergé principal, augmentant ainsi votre vitesse WordPress. Sucuri est considéré comme le plug – in de pare – feu leader qui vous permet de bloquer les attaques sur les sites WordPress en fournissant des pare – feu de classe DNS, des services d’intrusion, de prévention de la violence et de suppression de logiciels malveillants. Le plug – in analysera tout le trafic du site via son serveur cloudproxy. Le débit suspect et nocif sera bloqué pendant le passage du débit légal. Veuillez noter que la fonctionnalité pare – feu n’est disponible que dans les versions de sucuri Premium qui nécessitent un abonnement au service pare – feu du site. 6 configuration de l’authentification
1 à 2 facteurs 2 facteurs la méthode d’authentification (2fa) vous permet d’ajouter une couche de sécurité supplémentaire, comme un code de vérification ou un mot de passe unique, à la page d’atterrissage WordPress. Ce mot de passe sera envoyé par SMS au téléphone de l’utilisateur. Google authenticator offre une solution complète pour protéger votre site Web et son contenu avec 2fa et s’assurer qu’il n’y a pas d’accès non autorisé à votre site. Lorsque 2fa est activé, allez à l’utilisateur → votre profil et trouvez la section options à deux facteurs. Activez le mot de passe unique basé sur le temps (Google authenticator r), puis cliquez sur le lien afficher les options pour définir l’authentification. Vous verrez maintenant le Code QR. Installez l’application Google authenticator sur votre téléphone et numérisez le Code QR avec votre appareil photo pour utiliser l’option 2fa sur le site Web. Après avoir vérifié le compte, appuyez sur le bouton mettre à jour le profil pour enregistrer les modifications. À partir de maintenant, lorsque vous vous connectez au tableau de bord WordPress, vous devez d’abord entrer votre nom d’utilisateur et votre mot de passe dans le formulaire de connexion. Saisissez ensuite le Code de vérification envoyé au téléphone par SMS 7 protection des répertoires de gestion WordPress vous pouvez protéger les répertoires de gestion WordPress par mot de passe pour empêcher les utilisateurs non autorisés d’accéder à votre zone de gestion. Le Guide en 5 étapes suivant vous montre comment le faire: connectez – vous au tableau de bord du panneau cpanel cliquez sur le Répertoire de confidentialité sélectionnez le fichier WP – admin et sélectionnez son nom pour créer un compte utilisateur avec un nom d’utilisateur et un mot de passe forts pour enregistrer les modifications Votre site WordPress est maintenant protégé par mot de passe. Seuls ceux qui ont les données de connexion correctes peuvent accéder au site 8 restreindre l’accès aux logins WP. Si seulement quelques personnes ont besoin d’accéder au tableau de bord de gestion WordPress, vous pouvez bloquer l’accès aux logins WP. P
HP est disponible par fichier pour tous les utilisateurs, à l’exception de ces utilisateurs spécifiques. Htaccess ou Web. Configuration. C’est aussi connu sous le nom de liste blanche IP. Pour appliquer cette méthode, utilisez quel est mon outil IP pour rechercher votre adresse IP? Créez un fichier dans un éditeur de texte simple nommé. Htaccess et ajouter le code suivant: # Block access to WP login. Php. Ordre refusé, autorisé
Permis 116.110.100.208
Rejeté par tous En ajoutant plusieurs lignes allow by, vous pouvez permettre à plusieurs adresses IP d’accéder au tableau de bord de gestion WordPress, par exemple: # bloquer l’accès aux logins WP. Php. Ordre refusé, autorisé
Permis 116.110.100.208
Autorisé à partir du 69.89.31.226
Permis 172.16.254.1
Rejeté par tous
N’oubliez pas de remplacer 116.110.100.208, 69.89.31.226 et 172.16.254.1 par l’adresse IP à laquelle vous avez l’intention d’accorder l’accès. L’écran du tableau de bord WordPress n’est désormais accessible qu’aux utilisateurs ayant les IP énumérées. Arrêtez les attaques violentes! Les attaques violentes de WordPress sont invincibles et peuvent se produire à tout moment sur n’importe quel site Web. Au lieu de chercher des solutions temporaires pour corriger les conséquences de ce risque dangereux pour la sécurité, envisagez un moyen efficace de le prévenir lorsque vous commencez à construire votre site afin d’économiser du temps et de l’énergie. Même si vous êtes un expert technique ou un profane, les méthodes ci – dessus peuvent vous aider à arrêter facilement les attaques violentes contre les sites WordPress. Si vous avez des questions sur la façon d’empêcher une personne non autorisée de commettre une agression violente, laissez un commentaire ci – dessous.