Attaque par force brute: qu’est-ce que c’est et comment la bloquer
La force brute est une méthode pour deviner votre mot de passe en essayant des combinaisons de lettres, de chiffres et de symboles. Certaines attaques par force brute utilisent des dictionnaires de mots de passe, de mots, etc. couramment utilisés afin d’accélérer le processus de devinette des mots de passe des utilisateurs.
La première chose que vous devez faire pour vous protéger contre de telles attaques est de choisir un nom d’utilisateur et un mot de passe appropriés. Essayez de ne pas utiliser de noms usuels pour votre nom d’utilisateur comme admin, administrator, superuser. En ce qui concerne votre mot de passe, essayez d’en utiliser un aussi compliqué que possible et incluez des chiffres, des caractères spéciaux, des lettres majuscules et minuscules. Il existe des générateurs gratuits qui créent des mots de passe longs et forts que vous pouvez utiliser. Si vous avez des difficultés à vous souvenir de mots de passe longs, vous pouvez utiliser des coffres-forts de mots de passe comme 1Password par exemple.
Si vous détectez que quelqu’un a lancé une attaque par force brute contre votre site (de telles attaques génèrent un nombre important d’échecs de tentatives de connexion dans votre journal), vous pouvez empêcher complètement l’adresse IP de l’attaquant d’accéder à votre site. Pour ce faire, ajoutez la ligne suivante à votre fichier .htaccess :
refuser depuis 123.123.123.123 Remplacez 123.123.123.123 par l’adresse IP réelle de l’attaquant.
De plus, limitez les zones d’administration de votre site uniquement à votre adresse. Si vous utilisez WordPress, cela devrait être votre dossier wp-admin.
Si vous utilisez Joomla! 3.x – protège le répertoire administrateur. En fait, c’est une bonne pratique et il est bon de le faire même s’il n’y a pas d’attaque contre votre site. Les règles .htaccess que vous devez placer dans ces dossiers sont:
Refuser de tous
autoriser depuis 222.222.222.222 Remplacez 222.222.222.222 par votre adresse IP. Pour connaître votre adresse IP, vous pouvez utiliser l’un des nombreux sites fournissant ces informations comme whatismyip.com par exemple.
Vous trouverez plus d’informations sur la façon de protéger vos sites web WordPress dans notre tutoriel