Back to Question Center
0

Conseils de Semalt: Bloquer WP-Login.php Attaques de force brute avec les règles de page CloudFlare

1 answers:

Les cyber-criminels utilisent les attaques de force brute pour compromettre leurs comptes. L'attaquant essaie autant de noms d'utilisateur et de mots de passe que possible à un rythme rapide. Les attaques provoquent des pics de mémoire et parfois des plantages lorsque la charge mémoire est trop élevée - digital jersey stoff.

Michael Brown, éminent spécialiste de Semalt , fournit ici des méthodes pratiques pour réussir à cet égard .

Puisque les attaquants de Force Brute doivent tenter de se connecter plus rapidement que les humains pour être efficaces, les règles de limitation de fréquence peuvent être utilisées pour les bloquer.

CloudFlare offre une protection de base contre les robots et les DDoS. L'un des outils fournis par CloudFlare est «Protect Your Login», un outil qui crée une règle pour bloquer les clients qui tentent de se connecter plus de 5 fois en 5 minutes. Cette règle est adéquate pour bloquer les bots et les attaquants qui tentent d'utiliser des attaques Brute-Force. Ils ne peuvent pas accéder à votre connexion WordPress (wp-login.php).

L'autre avantage de l'utilisation des règles de page est que l'accès par les visiteurs réels n'est pas affecté. La vitesse à laquelle l'attaquant envoie des requêtes est beaucoup plus celle d'une personne. Les possibilités de verrouillage d'un utilisateur légitime sont minimes, sauf si l'utilisateur a mal saisi leurs informations d'identification .

Comment utiliser les règles de page CloudFlare pour bloquer les attaques de force brutes

Les attaques Brute-Force ne sont pas spécifiques à Wordpress. L'attaque peut se produire avec toutes les autres applications Web. Mais puisque WordPress est une plate-forme assez populaire, c'est certainement l'une des plus grandes cibles des pirates informatiques. Ces attaques ciblent principalement le wp-login.php.

Que faites-vous quand vous recevez une attaque? L'intention principale est de créer une règle de page CloudFlare qui peut effectuer une inspection approfondie du navigateur pour le fichier wp-login.php et éliminer tous les robots et les pirates .

Après vous être connecté à votre compte CloudFlare, sélectionnez Règles de page> Créer une règle de page. Vous devrez ensuite effectuer les réglages suivants:

  • Si vous utilisez des sous-domaines, définissez Si l'URL correspond au «sous-domaine cible».
  • Cliquez sur + Ajouter un paramètre puis sélectionnez Vérification de l'intégrité du navigateur
  • Ajoutez un autre paramètre pour Niveau de sécurité et choisissez le niveau de sécurité Je suis sous attaque

Sauvegardez ces paramètres et déployez.

Avec les règles de page de CloudFlare, la sécurité de la page de connexion est renforcée et les mauvais robots sont empêchés d'accéder à la page. Le seul inconvénient de cet outil est que chaque fois que vous effacez le cache de votre navigateur, ou chaque fois que les cookies de votre site expirent, vous devez attendre 5 secondes après la connexion pour que la vérification d'intégrité du navigateur commence à fonctionner.

Les règles de page traitent tout ce qui se passe sur votre page comme une attaque potentielle. Comme indiqué précédemment, les visiteurs légitimes ne sont pas affectés mais doivent subir une vérification de navigateur CloudFlare. Il existe d'autres méthodes de blocage des attaques Brute Force. Cependant, la méthode Page Rules est simple à comprendre et à implémenter.

N'attendez pas que votre hébergeur vous dise que vos ressources ont été compromises. Si vous comptez sur les serveurs de votre entreprise, ne laissez aucune chance aux attaquants de Brute-Force d'utiliser vos ressources. Les règles de page peuvent vous aider à améliorer l'expérience utilisateur et à maintenir une sécurité renforcée pour votre domaine, à améliorer les performances du site et à minimiser l'utilisation de la bande passante.

Le nombre de règles de page dépend du type de plan que vous avez choisi. Le plan libre comporte trois règles, mais vous pouvez acheter un plan comportant plus de règles pour répondre à vos exigences de sécurité.

November 26, 2017