Cet article date du 7 février 2015 et commence à dater, le contenu peut être obsolète !
Évitez les attaques Brute Force sans utiliser de plugin c’est possible, pour allé plus loin dans la sécurisation que de brider l’admin via l’adresse IP vu dans un article précédent, on peut aussi brider la page de login, en effet si vous n’autorisez pas l’inscription de membres sur votre si internet cela ne posera aucun problème pour cela on ajoute un code au fichier .htaccess de la racine de votre WordPress. Dans les exemples suivant, toutes les adresses IP sont autorisées via un allow from.
Lorsqu’une adresse IP inconnue tentera de se connecter à votre page de login elle sera rejetée.
Avec cette solution évitez les attaques Brute Force sur votre installation WordPress.
Serveur Apache :
<Files wp-login.php> order deny,allow Deny from all # whitelist maison allow from 88.198.173.155 # whitelist travail allow from 78.83.140.217 # whitelist vpn allow from 88.211.69.11 </Files>
Serveur NGINX :
location ~ wp-login\.php {
# whitelist maison
allow 88.198.173.155;
# whitelist travail
allow 78.83.140.217;
# whitelist vpn
allow 88.211.69.11;
deny all;
}
Serveur PHP-FPM :
location ~ wp-login\.php {
fastcgi_buffers 8 256k;
fastcgi_buffer_size 128k;
fastcgi_intercept_errors on;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_pass unix:/dev/shm/php-fpm-www.sock;
# whitelist maison
allow 88.198.173.155;
# whitelist travail
allow 78.83.140.217;
# whitelist vpn
allow 88.211.69.11;
deny all;
}
Pour trouver votre IP vous pouvez vous rendre ici : http://www.mon-ip.com/
Pour tester votre paramétrage vous pouvez essayer avec votre smartphone sur le réseau 3G/4G.
