Bloquer les IP qui tentent de forcer l’entrée de votre blog WordPress

Vous aimez ? Partagez !

hackerCet article était déjà rédigé et prêt à être publié lorsque j’ai trouvé ce matin deux articles (en anglais) relatant des attaques massives qui se déroulent en ce moment même contre les blogs WordPress. À voir ici et ici.

Mon sujet tombe donc juste à propos. Car il s’agit bien de bloquer les IPs qui diffusent des robots agressifs cherchant à pénétrer à l’intérieur de nos blogs pour y mettre le bazar. Et j’ai bien constaté depuis quelques jours que ça y allait grave… 🙁

La solution que je donne plus loin n’est pas forcément LA solution ultime, mais pour ce qui me concerne, je la trouve plutôt efficace (en temps normal) bien qu’un peu contraignante.

À la toute fin de cet article, je vous donnerai une autre solution, pas encore testée, mais que je vais m’empresser d’essayer histoire de ne plus perdre trop de temps à bloquer cet afflux massif d’IPs malveillantes.

Pourquoi faut-il sécuriser son blog WordPress ?

La sécurité sur WordPress, plus on en parle et mieux c’est. Seulement, comment appréhender un problème dont on n’a même pas idée ?

Ceux qui se sont fait hacker l’ont compris après-coup, mais qui les avait prévenus avant que ça n’arrive ? Il paraît même qu’il existe des « formations » pour WordPress qui n’abordent même pas les questions de sécurité… on croit rêver !

De fait, quand on n’est pas au courant que WordPress ressemble à un gruyère, on n’a aucune raison de s’inquiéter. Pourtant, des articles ou des tutos qui abordent les problèmes de sécurité, dès lors qu’on s’intéresse un peu à WordPress et si on se donne un peu la peine de chercher, il y en a plein !

Alors bien sûr, aucun d’entre eux n’est super complet ou parfait, et d’ailleurs, qui pourrait prétendre à cela ? Il existe plusieurs catégories de problèmes de sécurité dans WordPress et il est très difficile, voire impossible, de tout couvrir dans un seul article.

Il existe aussi une quantité phénoménale de plugins gratuits dédiés à la sécurité de nos chers blogs dont certains offrent des fonctionnalités avancées moyennant finance. La plupart des plugins gratuits répertoriés dans la majorité des articles un peu sérieux sont suffisants pour protéger un blog. Ensuite, c’est à chacun de voir selon son degré de paranoïa ! 😀

De toute façon, tôt ou tard, une digue que l’on croyait bien protégée cède sous les attaques d’un développeur plus rusé que les autres… c’est malheureusement inhérent à Internet, il faut faire avec. 🙁

Une liste de plugins de sécurité à installer sur vos blogs

Bien que ce ne soit pas le sujet central de cet article, je peux vous donner tout de suite la liste des plugins de sécurité que j’utilise moi-même sur tous mes blogs. Je n’ai jusqu’à présent eu aucun problème, mais je ne peux en aucun cas garantir que mes blogs sont protégés à 100 %. Disons prudemment qu’ils sont mieux protégés que beaucoup d’autres blogs.

Voici donc cette liste et ensuite je vous expliquerai par quel moyen je bloque les IPs qui cherchent à forcer l’entrée de mes blogs par l’intermédiaire de « robots ».

Je précise que j’installe ces plugins en priorité avant de faire quoi que ce soit d’autre chaque fois que j’installe un blog. C’est devenu un réflexe.

Plusieurs de ces plugins ont des fonctionnalités qui font double emploi, mais chacun d’eux peut apporter des informations complémentaires, donc des garanties supplémentaires.

Mais avant même de parler d’installer une batterie de plugins défensifs, il faut commencer par le commencement.

Trois choses à faire pour limiter ou bloquer l’accès à votre blog

#1

Installer WordPress, c’est facile. Mais la première précaution à prendre, il est toujours bon de le rappeler, c’est de ne JAMAIS laisser « admin » comme nom d’utilisateur par défaut. Vous comprendrez mieux pourquoi plus loin dans cet article.

Lorsque vous faites une installation, créez tout de suite un nom d’utilisateur compliqué d’une dizaine de caractères alphanumériques, minuscules et majuscules mélangées.

Si vous avez créé votre blog avec « admin », je ne peux que vous encourager à vous créer un nouveau profil d’administrateur avec un nouveau nom d’utilisateur et à supprimer ensuite votre ancien profil. Faites-le tout de suite si vous pouvez, ça vous prendra exactement 5 minutes. Voilà déjà une bonne chose de faite.

En laissant « admin », vous facilitez le boulot de tous les robots qui s’amusent à vouloir entrer sur votre blog : en somme, vous leur épargnez de se casser les dents sur la première devinette, la seconde étant de trouver votre mot de passe.

#2

Maintenant, vous allez comprendre pourquoi c’est important de ne laisser aucun profil avec « admin » comme nom d’utilisateur. Lorsque vous installez Limit Login Attempts, au bout d’à peine quelques jours, vous allez vous rendre compte que la page de connexion à votre blog a reçu de la visite.

Soit dit en passant, si vos statistiques explosent de manière inattendue, c’est suspect. Posez-vous les bonnes questions avant de vous caresser l’ego. 😉

Regardez plutôt…

limit-login-attempts

Etc. En tout, ce sont 94 adresses IPs différentes qui ont envoyé des robots pour tenter de s’introduire plusieurs fois sur ce blog depuis sa réinstallation… qui date de moins de quinze jours !!! C’est dément !

Et vous pouvez facilement voir que tous ces indésirables ont utilisé « admin » pour forcer l’entrée. Donc voilà : CQFD.

Pas vraiment malins les machins. Et un peu bas de plafond. Mais cela démontre aussi que de très nombreux blogs ont été installés avec « admin » par défaut.

Quand on ne sait pas, on ne peut pas deviner. Cette erreur, je l’ai faite aussi dans mes premières installations. J’avais même trouvé à l’époque des tutos qui disaient que laisser « admin », ça n’avait pas grande importance. Les temps ont bien changé depuis.

Pour continuer à l’étape suivante, copiez toutes ces adresses IP, collez-les sur un bloc-notes et sauvegardez ce fichier sur votre ordinateur. Vous serez contents de le retrouver si un jour vous devez réinstaller votre blog.

Continuons.

#3

Si vous avez installé Wordfence Security, vous allez trouver un onglet dans le menu du plugin qui indique Blocked IPs. Rendez-vous sur la page en question.

Maintenant, si votre liste d’IPs est importante, réservez-vous un bon moment de détente, vous allez voyager pour pas cher ! Installez-vous au coin du feu, branchez-vous sur une série américaine, écoutez votre émission de radio préférée… zou, c’est parti !

Inscrivez chaque IP dans le champ signalé dans l’image ci-dessous et cliquez sur le bouton « Manually block IP ». Vous allez voir, c’est assez jouissif. 😀

wordfence

***

Fastidieux aussi, oui, je vous l’accorde. Mais bigrement efficace. Parce que ces IPs bloquées n’auront plus accès à votre blog du tout.

Mais n’ayez aucun regret, car ces « visiteurs » n’ont aucun intérêt pour vous, ce ne sont pas des lecteurs/prospects/clients potentiels. Et de toute façon, qu’auriez-vous à faire de « gens » qui ne cherchent qu’à forcer l’entrée de votre blog ?

D’ailleurs, si vous revenez sur cette page quelque temps après avoir bloqué ces IPs, vous verrez dans la colonne de droite qu’elles ont été effectivement bloquées plusieurs fois, ce qui montre à quel point « elles » sont têtues en plus d’être stupides. Jusqu’au moment où – on peut toujours rêver ! – les petits robots (ou quoi que ce soit d’autre) envoyés par ces IPs iront jouer ailleurs.

Alors, même si cette petite manipulation est en soi assez barbante, amusez-vous plutôt à regarder défiler les pays d’origine des robots… Vous allez rapidement vous prendre au jeu « tiens, j’l’avais pas encore çui-là ». Vous savez, un peu comme quand on était gosses et qu’on s’échangeait des images… 😉

Trêve de plaisanterie, c’est un truc de dingue… et c’est sans fin ! Car vous en trouverez toujours de nouvelles. Donc, en fonction de la quantité d’attaques que vous subissez, prenez régulièrement un moment pour que la mise à jour des blocages ne vous bloque pas à votre tour pendant une heure…

Plusieurs autres solutions

En faisant une petite recherche rapide, j’ai trouvé aussi ces plugins (que je n’ai pas testés), à vous de voir ce qui va vous convenir le mieux :

Pour finir, comme je le disais au début de cet article, en passant une bonne partie de la journée à fouiller le Web pour trouver les meilleures ressources possibles, je suis tombée sur ça : www.cloudflare.com. Il s’agit d’un dispositif permettant entre autres d’optimiser l’affichage de n’importe quel site Web et d’en assurer la protection. Ça me semble pas mal du tout, je vais tester.

Voilà, c’était ma petite astuce à moi pour laisser à la porte les IPs qui n’ont rien d’amical. Il doit y avoir plusieurs autres façons de faire, si vous en connaissez une qui fonctionne bien, ce serait sympa de nous en parler. 😉

***

separator

  1. MarieBo
    MarieBo04-13-2013

    Bonjour Alexandra,
    Heureusement qu’il a neigé au Québec et que le temps est super moche (tons de gris et de beige sales). Tu viens de me fournir des suggestions de loisirs pour quelques heures !
    Heureusement, avec tous ces voyages dans la toile, on ne perdra pas nos valises MDR
    Un grrrrros merci !
    MarieBo Mon dernier article… Booster votre estime de soi avec votre journal intimeMy Profile

    • Alexandra
      Alexandra04-13-2013

      Ha ha ha salut MarieBo ! 😉

      Ouais, tu as vu, c’est pas mal pour se payer un peu d’exotisme sans quitter ses charentaises et sans risquer de paumer ses petites affaires !

      Blague à part, ça devient complètement cinglé ce truc. Parce que là pour le coup, avec tous les blogs qui ne sont pas du tout protégés, va y avoir du dégât. 🙁

      Je te souhaite un bon tour du monde en accéléré ! À très bientôt !
      Alexandra
      Alexandra Mon dernier article… Bloquer les IP qui tentent de forcer l’entrée de votre blog WordPressMy Profile

  2. MarieBo
    MarieBo04-13-2013

    Hi again,

    J’ai mis un lien avec ton article pour les abonnés de Cloudbraining (J-P Touzeau).

    Si tu as plusieurs visites tout à coup, noooooooon, ce n’est pas une invasion 😀
    MarieBo Mon dernier article… Journal intime, version papier ou numérique ? (1)My Profile

  3. MarieBo
    MarieBo04-13-2013

    Ha ! Ha ! Ha !

    J’ai l’impression que les hackers se font bien rares dans le groupe Cloudbraining. 😀

    Mémères WordPress, unissons-nous !
    MarieBo Mon dernier article… Pistes à explorer pour booster votre journal intime (1)My Profile

  4. MarieBo
    MarieBo04-16-2013

    Bonjour Alexandra,
    Je te recommande aussi le plugin IQ Block Country pour bloquer les pays qui n’ont rien à faire sur notre blog. Il faut s’assurer de faire la mise à jour de la base de données de GeoIP à chaque mois, mais c’est moins long que de bloquer les IP identifiés par Wordfence.
    À la prochaine !
    MarieBo Mon dernier article… Journal intime, version papier ou numérique ? (1)My Profile

    • Alexandra
      Alexandra04-17-2013

      Hello MarieBo, 🙂

      ah très bien, merci pour l’info à propos de ce plugin, cela peut être une solution en effet.

      Pour ma part, je suis assez réservée pour bloquer des pays en particulier, car il peut toujours y avoir des francophone expatriés qui pourraient légitimement avoir envie d’accéder à mes blogs.

      Et puis, autre remarque : concernant cette attaque en force qui se déroule en ce moment même, ça ne résout rien parce que les IPs compromises dans cette attaque sont pour la plupart des IPs de gens comme toi et moi qui ont été assujetties à des fins malveillantes. Tu auras d’ailleurs remarqué qu’elles sont basées absolument dans tous les pays du monde et pas seulement dans quelques-uns.

      Nous sommes certainement responsables de la sécurité de nos blogs, mais nos hébergeurs doivent aussi prendre des mesures pour limiter les dégâts. Au besoin, ça peut être bien de les contacter pour en discuter.

      Il y a énormément de publications ces jours-ci à propos de ce problème, voici un article que j’ai trouvé particulièrement explicite (il renvoie vers d’autres articles tout aussi intéressants).

      Je crois que le mieux, une fois qu’on a fait ce qu’il fallait au niveau sécurité de base, c’est d’attendre que ça se calme. Sur ce blog, les attaques semblent se tasser un peu depuis hier. 😉

      Bonne journée à toi et à bientôt !
      Alexandra
      Alexandra Mon dernier article… Bloquer les IP qui tentent de forcer l’entrée de votre blog WordPressMy Profile

  5. Delfosse
    Delfosse04-22-2013

    Bien le bonsoir. Merci pour ces conseils…

    Heuuu ?
    Est-ce normal que, par deux fois, le site m’envoie ce message : « You have used too many words in your name. Please go back and remove some » ?
    Delfosse Mon dernier article… Êtes-vous jeune, ou vieux ?My Profile

  6. Delfosse
    Delfosse04-22-2013

    Bon travail, alors…Et bonne fête (je crois me rappeler que c\’est la Ste Alexandra, un de ces jours, et peut-être même aujourd\’hui)…

  7. Adenine
    Adenine05-28-2013

    Oui pas mal,Mais l\’article étant assez récent je me serais attendu à quelque chose de plus abouti car ca fait quelques années que l\’on sécurité WordPress est prix en compteUn plugin qui est pas mal est \ »Better WP Security\ » qui finalement fait ce que tu dis dans ton article ma

    • Alexandra
      Alexandra06-25-2013

      Bonjour Adenine,

      en effet Better WP Security est bien aussi, mais je trouve qu’il y a pas mal de réglages un peu effrayants pour des gens qui ne savent pas trop ce qu’ils font sur leurs blogs.

      Ceci dit, je l’ai utilisé pour blacklister en bloc une série de plus de 430 IP qui ont tenté de forcer l’entrée en à peine quelques jours, ça m’a fait gagner du temps. Comme quoi, les attaques arrivent par vagues… c’est tranquille pendant quelques semaines et d’un coup, ça se déchaîne. C’est franchement pénible ! 🙁

      Alexandra
      Alexandra Mon dernier article… Un plugin bien pratique pour lister vos articlesMy Profile

  8. sandrine
    sandrine11-24-2013

    Bonjour,
    je vous remercie pour ce tutoriel très complet.
    Je voulais savoir, avant de remplacer mon compte admin par un autre : les commentaires que j’ai posté en tant qu’administrateur seront-ils supprimés ?

    • Alexandra
      Alexandra11-26-2013

      Bonjour Sandrine,

      lors du processus de suppression de l’ancien compte admin, vous aurez l’option de réaffecter tous vos articles au nom de votre choix (nom affiché pour les publications qui se détermine dans votre profil), il vous faudra cocher la case « Attribuer tous les articles à » et sélectionner le nom que vous avez choisi (et pas votre nouveau pseudo de login !). En toute logique, les commentaires devraient suivre le même chemin.

      Bonne journée à vous et merci pour votre visite !
      Alexandra
      Alexandra Mon dernier article… Au bon endroit au bon moment – 75 photos extraordinairesMy Profile

  9. Elerynna
    Elerynna02-08-2014

    Merci beaucoup pour ces plugins !

    Je viens de les installer et je vais pouvoir jeter un œil à tout cela.

    Merci 🙂

    • Alexandra
      Alexandra02-09-2014

      Bonjour Elerynna et merci pour votre visite,

      oui, vous faites bien d’installer ces plugins, car les tentatives d’intrusion ne cessent jamais, ça vient par vagues, parfois ça se calme un peu et puis ça repart de plus belle. C’est fatigant, mais on n’y peut rien. 🙁

      Bon courage, amicalement,
      Alexandra
      Alexandra Mon dernier article… Kit Graphique Pro : un pack graphique de très grande classeMy Profile

  10. Graveson
    Graveson12-13-2014

    Un+plugin+que+j\’aime+bien+rajouter+Edit+Author+Slug+qui+permet+de+changer+les+permaliens+des+auteurs+et+ainsi+compliquer+un+peu+plus+la+tâche+des+robots.

    • Alexandra
      Alexandra12-26-2014

      Bonjour, merci pour ce plugin que je ne connaissais pas. Je ne comprends pas bien en quoi ça peut compliquer la tâche des robots qui visent aveuglément des installations WP… dès que j’ai un moment je vais cogiter là-dessus, quoique… vu la multiplication des attaques, je commence à me demander si le mieux, ce n’est pas de renoncer à WP tout simplement… ou de carrément quitter le Web qui ressemble de plus en plus à un champ de bataille !
      Alexandra Mon dernier article… Un éditeur visuel révolutionnaire pour WordPressMy Profile

Laisser une réponse

CommentLuv badge

Ce blog utilise CommentLuv Premium qui vous autorise à associer des mots-clés à votre nom si vous avez effectué 3 commentaires approuvés. Utilisez votre vrai nom puis @ et vos mots-clés (maximum de 5).