protection du dossier wp-admin, de la force brute et du mot de passe
Je ne sais pas comment fonctionnent les attaques par force brute. J'ai protégé le dossier wp-admin avec un mot de passe, en plus du login Wordpress habituel. Comment cette "deuxième couche" inhibe-t-elle les attaques par force brute? Est-ce parce qu'un processus automatisé ne peut pas être relancé pour la deuxième connexion?
Merci.
Protéger uniquement wp-admin ne vous aidera pas beaucoup, du moins ne protégera-t-il pas vos attaques par la force brute.
Une attaque par force brute est une méthode d'essai et d'erreur utilisée pour obtenir des informations telles qu'un mot de passe d'utilisateur ou un numéro d'identification personnel (PIN). Dans une attaque par force brute, un logiciel automatisé est utilisé pour générer un grand nombre de suppositions consécutives quant à la valeur des données souhaitées.
En d'autres termes, l'attaquant tente de deviner le mot de passe en essayant de se connecter avec des informations d'identification différentes.
Pourquoi protéger wp-admin ne vous protège pas? Parce que les attaques par force brute ne sont pas dirigées sur wp-admin. Il existe deux méthodes pour effectuer des attaques par force brute sur WordPress:
- Envoyez les informations d'identification à wp-login.php et vérifiez la réponse.
- Envoyez une requête authentifiée à xmlrpc.php et vérifiez si une erreur d'authentification s'est produite.
Donc, si vous voulez vous protéger contre les attaques brutales, vous devez protéger ces 2 fichiers. De cette façon, l'attaquant ne pourra pas deviner les informations d'identification.
Bien sûr, protéger wp-admin est aussi une bonne idée - de cette façon, même si quelqu'un casse le mot de passe, il ne parviendra toujours pas à la zone wp-admin.
Même si vous devez vous rappeler que la deuxième couche (Basic Auth?) N'est que l'une des méthodes que vous pouvez utiliser pour vous protéger de la force brute. Vous pouvez également mettre en œuvre la limitation de connexion ou le verrouillage temporaire .