VPS et serveurs dédiés Gén 4
VPS et serveurs dédiés Gén 3

GoDaddy Aide

Nous avons fait de notre mieux afin de traduire cette page pour vous. La page en anglais est également disponible.

Attaques WordPress courantes

Il existe deux fichiers couramment utilisés pour les attaques par force brute WordPress: xmlrpc.php et wp-login.php. Cet article détaille comment trouver des preuves d'une attaque.

Attaques contre xmlrpc.php

Qu’est-ce que XML-RPC?

XML-RPC (xmlrpc.php) permet les mises à jour à distance de WordPress à partir d'autres applications. Ce n'est plus nécessaire avec les versions actuelles de WordPress et le laisser activé rend votre site vulnérable. Il est courant de trouver des attaques par force brute en utilisant ce fichier.

Comment savoir si je suis victime d’une attaque?

Si vous constatez plusieurs tentatives d'accès depuis la même adresse IP en peu de temps, cela peut indiquer une attaque.

Dans l'exemple ci-dessous, IP 12.34.56.789 a essayé d'accéder à la page xmlrpc.php plusieurs fois à la fois ( 10 / sep / 2022: 05: 12: 02 ):

acoolexample.com-ssl_log: 12.34.56.789 - - [10 / sept / 2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP / 1.1" 200438 "-" "Mozilla / 5.0 (Windows NT 10.0 ; Win64; x64) AppleWebKit / 537.36 (KHTML, comme Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / sept / 2022: 05: 12: 02 -0700]" POST //xmlrpc.php HTTP / 1.1 "200 438" - "" Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, comme Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com- ssl_log: 12.34.56.789 - - [10 / sept / 2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP / 1.1" 200438 "-" Mozilla / 5.0 (Windows NT 10.0; Win64; x64 ) AppleWebKit / 537.36 (KHTML, comme Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / sept / 2022: 05: 12: 02 -0700]" POST // xmlrpc .php HTTP / 1.1 "200438" - "" Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, comme Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "

Attaques contre wp-login.php (wp-admin).

Les pirates utilisent souvent des bots qui essaieront des dizaines, voire des centaines de connexions à la fois pour accéder à votre panneau wp-admin.

Comment savoir si je suis victime d’une attaque?

Si vous constatez plusieurs tentatives d'accès depuis la même adresse IP en peu de temps, cela peut indiquer une attaque. Les utilisateurs autorisés qui ont du mal à se souvenir de leur mot de passe afficheront généralement quelques minutes entre les tentatives.

Dans l'exemple ci-dessous, l'IP 12.34.56.789 a essayé d'accéder à la page wp-login.php plusieurs fois à la fois ( 10 / septembre / 2022: 08: 39: 15 ):

acoolexample.com-ssl_log: 12.34.56.789 - - [10 / sept / 2022: 08: 39: 15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, comme Gecko) Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / septembre / 2022: 08:39:15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, comme Gecko) Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / sept. / 2022: 08:39:15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, comme Gecko) Chrome / 103.0.0.0 Safari / 537.36 "

Étapes suivantes

  • Vérifiez la propriété de l'IP à l'aide d'une recherche Whois. Si l'adresse IP vient de Chine et que vous n'avez aucun client / visiteur chinois, il se peut qu'elle soit malveillante. Si l'adresse IP appartient à (par exemple) Cloudflare, il est peu probable qu'elle soit malveillante.
  • Bloquez l'attaque.