Cet article fait suite aux nombreuses attaques de piratage et de force brute visant les WordPress. Certes, nous vous conseillons d’installer l’extension Limit Login Attempts; cependant, dans certains cas, les attaques étant lancées de très gros réseaux de zombies, ce module n’est pas suffisamment performant et n’arrive pas à bloquer toutes les IPs.
Nous vous montrons ici comment ajouter une deuxième authentification à votre WordPress, empêchant ainsi les requêtes malicieuse de s’y rendre. Le but est de faire une double authentification sur le dossier wp-admin et la page d’authentification wp-login.php; nous allons faire cela avec les fichiers .htaccess.
Une fois les manipulations terminées, vous aurez un nouveau pop-up demandant un mot de passe avant d’arriver à la page de connexion :
Note : Le glossaire de PlanetHoster contient des explications sur de multiples sujets et peut être consulté pour clarifier certains termes.
Marche à suivre
Création du fichier passwd
Tout d’abord, il faut créer un fichier passwd qui va contenir votre login et votre mot de passe. Il est recommandé d’employer un utilisateur totalement différent de celui de votre WordPress.
Ici, nous allons mettre ce fichier en dehors du public_html, plus spécifiquement à cet endroit :/home/comptecp/.htpasswds
Pour créer des fichiers htaccess .htpasswd, nous vous recommandons le site https://www.askapache.com/online-tools/htpasswd-generator/. Cela devrait ressembler à ceci :
test:$apr1$hXJoJMrD$Ax/zRnRrOkMD4Niw2N8yH1
Double authentification pour le dossier wp-admin
Une fois ce fichier contenant le login et mot de passe créé, vous devrez créer un fichier .htaccess dans le dossier /wp-admin (/home/comptecp/public_html/wp-admin/.htaccess).
Celui-ci va contenir ces différentes lignes :
ErrorDocument 401 default AuthType Basic AuthName "Double Authentification PlanetHoster" AuthUserFile /home/comptecp/.htpasswds require valid-user
Une fois tout cela fait, vous aurez maintenant un deuxième mot de passe nécessaire pour accéder à votre wp-admin, réduisant ainsi les tentatives de connexions malveillantes par cette avenue.
Double authentification de la page wp-login
Pour sécuriser les pages xmlrpc et wplogin, vous devrez plutôt éditer le .htaccess à la racine de votre hébergement et rajouter les lignes suivantes avant la section « #Begin wordpress » :
ErrorDocument 401 default
<FilesMatch "^((wp-login)\.php|(xmlrpc)\.php)$">
AuthName "Double Authentification PlanetHoster"
AuthType Basic
AuthUserFile /home/comptecp/.htpasswds
Require valid-user
</FilesMatch>
XML-RPC signifie « XML remote procedure call ». Il s’agit en fait d’une composante qui permet à d’autres applications de se connecter au WordPress et d’y effectuer des opérations.