Une technique couramment utilisée par les pirates pour obtenir un accès non autorisé à des sites Web est appelée « force brute ». Grâce à cette technique, les pirates utilisent un logiciel conçu pour analyser un site Web à la recherche de vulnérabilités et y accéder en exploitant l'une d'entre elles. Nous utilisons Sucuri pour la sécurité de nos sites Web car ils bloquent activement les demandes malveillantes. Un point d’entrée courant que ces robots par force brute tentent d’exploiter consiste à exécuter des analyses d’auteur. Dans cet article, nous allons vous montrer comment décourager la force brute en bloquant les analyses d'auteur dans WordPress.
Remarque : Si vous utilisez Limit Login Attempt et Google Authenticator, vous êtes alors assez bien protégé contre les attaques par force brute.
Comprenons d’abord ce que ces tentatives de force brute tentent de faire. Au début, ils essaient de trouver un nom d’utilisateur sur votre blog ou l’identifiant de l’auteur. Souvent, le nom d’utilisateur utilisé pour se connecter à WordPress et le nom de l’auteur sont identiques. Une fois qu’ils ont trouvé un nom d’utilisateur, cela résout 50 % du puzzle. Maintenant, ils forcent brutalement votre site à déchiffrer le mot de passe en essayant différentes combinaisons de mots de passe.
Pour bloquer l'analyse des auteurs sur votre site Web, ajoutez simplement ce code dans le fichier .htaccess du répertoire racine de WordPress.
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans Cela empêchera les robots d’exécuter des analyses d’auteur sur votre site Web. Les utilisateurs de votre site Web peuvent toujours accéder aux pages des auteurs, mais les robots ne pourront pas le faire.
Nous espérons que vous avez trouvé cette astuce utile. Nous tenons à souligner que cela n’empêche pas les attaques par force brute. Il s’agit simplement d’une mesure de précaution que vous pouvez prendre pour décourager le pirate informatique. Lorsque quelqu’un souhaite désespérément attaquer votre site, il trouvera un moyen de le faire. Nous vous recommandons fortement d'utiliser Sucuri et de conserver des sauvegardes WordPress régulières. P.S. voici 5 raisons pour lesquelles nous utilisons Sucuri.
Ce conseil a été envoyé par : Ian Armstrong