Evitez les attaques Brute Force

  Cet article date du 7 février 2015 et commence à dater, le contenu peut être obsolète !

Wordpress Logo

Évitez les attaques Brute Force sans utiliser de plugin c’est possible, pour allé plus loin dans la sécurisation que de brider l’admin via l’adresse IP vu dans un article précédent, on peut aussi brider la page de login, en effet si vous n’autorisez pas l’inscription de membres sur votre si internet cela ne posera aucun problème pour cela on ajoute un code au fichier .htaccess de la racine de votre WordPress. Dans les exemples suivant, toutes les adresses IP sont autorisées via un allow from.

Lorsqu’une adresse IP inconnue tentera de se connecter à votre page de login elle sera rejetée.

Avec cette solution évitez les attaques Brute Force sur votre installation WordPress.

Serveur Apache :

<Files wp-login.php>
 order deny,allow
 Deny from all
# whitelist maison
 allow from 88.198.173.155
# whitelist travail
 allow from 78.83.140.217
# whitelist vpn
 allow from 88.211.69.11
</Files>

Serveur NGINX :

location ~ wp-login\.php {
# whitelist maison
 allow 88.198.173.155;
# whitelist travail
 allow 78.83.140.217;
# whitelist vpn
 allow 88.211.69.11;
 deny all;
 }

Serveur PHP-FPM :

location ~ wp-login\.php {
 fastcgi_buffers 8 256k;
 fastcgi_buffer_size 128k;
 fastcgi_intercept_errors on;
 include fastcgi_params;
 fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
 fastcgi_pass unix:/dev/shm/php-fpm-www.sock;
# whitelist maison
 allow 88.198.173.155;
# whitelist travail
 allow 78.83.140.217;
# whitelist vpn
 allow 88.211.69.11;
 deny all;
 }

Pour trouver votre IP vous pouvez vous rendre ici : http://www.mon-ip.com/
Pour tester votre paramétrage vous pouvez essayer avec votre smartphone sur le réseau 3G/4G.

Le Chat

Auteur: Le Chat

Une autre façon de voir l'informatique pour chacun d'entre vous et en toute simplicité.

Partager sur

Pin It on Pinterest