Wordpress - Comment vous protéger de cette nouvelle méthode d'attaque par bruteforce ?

http://korben.info/wordpress-comment-vous-proteger-de-cette-nouvelle-methode-dattaque-par-bruteforce.html
Si vous utilisez WordPress pour votre site web, sachez qu’une nouvelle méthode d’attaque par bruteforce permet à un attaquant de tester de très nombreux identifiants et mots de passe avec une simple requête HTTP. Avec une attaque classique, 1 requête = 1 tentative de login. Mais avec cette attaque qui exploite une faiblesse dans XML-RPC,…

Sinon une petite configuration de fail2ban et ça fait du bon boulot (bon il ne faut pas trop avoir de 404 dans le site :wink: )

Perso j’utilise Google Authenticator pour activer the two factor sur mon Wordpress

La deuxième option mentionnée dans l’article ne fonctionnera pas. Multicall ne fait pas partie des méthodes ajoutées à XML-RPC par WordPress. Pour désactiver Multicall, il faudrait le faire dans la librairie IXR de votre serveur.

Il y a d’autres options qui ne sont pas mentionnées dans l’article:

  • Le WAF de Sucuri, équivalent à celui de CloudFlare, mais plus simple à configurer à mon avis. Payant comme CloudFlare.
  • complètement désactiver XML-RPC sur votre site WordPress, si vous n’utilisez aucun service, extension, ou app qui en a besoin. Si vous utilisez une service comme Ifttt, Jetpack, ou l’une des apps mobiles de WordPress, ce n’est pas une bonne solution.
  • Une extension qui gère les attaques Bruteforce, comme Jetpack et son module "Protect "
  • Un WAF gratuit comme fail2ban, si vous avez accès à la configuration de votre serveur. Attention cependant, lorsque vous bloquez les requêtes multicall, vous bloquerez aussi les apps mobiles de WordPress, qui utilisent cette méthode.

Je suis en train de mettre en place deux blogs professionnels plutôt stratégiques et auto-hébergés (actuellement en phase de test), et j’ai envie, une fois installé, de passer plus de temps à poster les articles qu’à mettre la main dans le cambouis.

Avec fréquence de ce genre d’information et la maintenance quasi-permanente que représente un site sous Wordpress, je commence à me demander s’il ne vaut pas mieux regarder du côté de solutions plus légères (genre BlogoText, Pluxml, etc.). Je perdrai l’accès via une app (l’appli Android de Wordpress est vraiment pas mal) mais bon, il faut bien sacrifier quelque chose…

PS : oui, je reconnais, c’était de l’hors-sujet :wink:

Ouais, pareil. Du coup, j’ai tout lâché niveau CMS et je code direct mon site sous Bootstrap. Il y a des avantages et des inconvénients mais bon…

Salut,

Pour avoir déjà eu une attaque de ce type il y a 3 mois, j’ai totalement désactivé le XML RPC dans le wp-config.php :

add_filter('xmlrpc_enabled', '__return_false');

Ca évite les futures failles…

Sinon, il y a le plugin gratuit Wordfence qui permet de bloquer les bruteforces et de bannir leurs auteurs.

Alors là, merci je ne comprenais pas pourquoi j’avais des attaques par bruteforce alors que j’ai mis un htaccess sur login.php . Maintenant tout s’explique !

Bonjour,

Pour ma part j’ai trouvé un article intéressant concernant la configuration Wordpress/Fail2ban.
On verra dans le temps si cela fonctionne mais ça parait cohérent.
http://www.scottbrownconsulting.com/2014/09/countering-wordpress-xml-rpc-attacks-with-fail2ban/

Par contre, ce qui est marrant c’est que l’article est de l’année dernière mais il semble bien correspondre à ce type d’attaque…