Se protéger contre les attaques par bruteforce(force brute)

1. Pas d’ « admin » pour le nom d’utilisateur.


Ajouter un nouvel utilisateur et supprimer l’utilisateur au nom d’"admin".


2. Ne pas attendre longtemps pour faire les mises à jour


Faites la mise à jour sans tarder.


3. Protéger « wp-config.php ».

.htaccess Après # END WordPress
<Files wp-config.php>
order allow,deny
deny from all
</Files>

4. Protéger « xmlrpc.php ».

.htaccess Après # END WordPress
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

5. Refuser le nom d’utilisateur douteux comme « admin ».

wp-config.php tout au début
if ( isset($_POST['log']) && preg_match('/^(admin|administrator|root|Admin|adm|support)$/i', $_POST['log']) ) {
  header("HTTP/1.1 403 Forbidden");
  die();
}

6. N’accepter que certains nom d’utilisateur.

wp-config.php tout au début
if ( isset($_POST['log']) && !preg_match('/^(username1|username2)$/i', $_POST['log']) ) {
header("HTTP/1.1 403 Forbidden");
die();
}

7. Refuser l’accès par User-Agent.

.htaccess Après # END WordPress
XXXXX = une partie du nom d’User-Agent que vous voulez refuser.
<Files wp-login.php>
SetEnvIf User-Agent "XXXXX" deny_ua
order allow,deny
allow from all
deny from env=deny_ua
</Files>

8. Refuser l’accès de certains IPadress à « wp-login.php ».

.htaccess Après # END WordPress
XXX.XX.XX.XX= IPadress que vous refusez.
<Files wp-login.php>
Order allow,deny
allow from all
deny from XXX.XX.XX.XX
</Files>

9. N’accepter que certains IPadress pour l’accès à « wp-login.php ».

.htaccess Après # END WordPress
XXX.XX.XX.XX= IPadress que vous acceptez.
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from XXX.XX.XX.XX
</Files>

10. N’accepter que certains IPadress pour l’accès à « /wp-admin/ ».

.htaccess dans le dossier wp-admin
XXX.XX.XX.XX= IPadress que vous acceptez.
Order deny,allow
Deny from all
Allow from XXX.XX.XX.XX
<FilesMatch "(admin-ajax.php)$">
    Satisfy Any
    Order allow,deny
    Allow from all
    Deny from none
</FilesMatch>

Référence:
fr:Attaques par Force Brute
WordPressの管理画面に制限をかける(ver3.5.1)
[WordPress] 管理画面へのログイン履歴を保存するプラグイン「Crazy Bone(狂骨)」

thumbnails: FLAT ICON DESIGN