Une attaque par force brute (brute force attack) est une méthode d’intrusion qui consiste à tester automatiquement et systématiquement toutes les combinaisons possibles de nom d’utilisateur et de mot de passe jusqu’à trouver les identifiants valides. Sur WordPress, la cible principale est la page de connexion /wp-login.php.
Comment se déroule une attaque brute force sur WordPress
Les attaquants utilisent des scripts automatisés (bots) capables de tester des milliers de combinaisons par minute. Ils s’appuient sur des listes de mots de passe courants (wordlists) et de noms d’utilisateurs standards comme « admin » ou des adresses email récupérées publiquement. L’attaque génère un volume anormal de requêtes POST vers /wp-login.php, visible dans les logs serveur.
Indicateurs d’une attaque brute force en cours
- Ralentissement ou indisponibilité du site dû à la charge serveur générée par les requêtes
- Volumes anormaux dans les logs d’accès (centaines de requêtes répétées vers wp-login.php)
- Alertes de tentatives de connexion échouées envoyées par votre plugin de sécurité
- Consommation CPU ou mémoire inhabituellement élevée sans explication
Comment protéger son WordPress contre le brute force
La protection passe par plusieurs mesures complémentaires :
- Limiter les tentatives de connexion : bloquer automatiquement une IP après 3 à 5 tentatives échouées
- Activer l’authentification à deux facteurs (2FA) sur tous les comptes administrateurs
- Changer l’URL de connexion depuis
/wp-login.phpvers une URL personnalisée (via WPS Hide Login ou équivalent) - Utiliser des mots de passe longs et aléatoires : minimum 16 caractères générés par un gestionnaire de mots de passe
- Bloquer les IP malveillantes au niveau du serveur ou via un WAF avant même d’atteindre WordPress
