Chaque jour, des millions de bots parcourent le web à la recherche de sites WordPress vulnérables. Les attaques par force brute – qui consistent à tester des milliers de combinaisons identifiant/mot de passe – représentent 80 % des tentatives de piratage selon Sucuri. Un site non protégé reçoit en moyenne 26 000 tentatives de connexion frauduleuses par jour.

Comprendre les attaques par force brute

Les attaquants utilisent des dictionnaires de mots de passe courants (« admin123 », « password2026 ») et des listes de logins récupérées lors de fuites de données. Ils ciblent la page /wp-login.php et le fichier xmlrpc.php qui permet de tester plusieurs mots de passe en une seule requête. La méthode est brutale mais efficace : un bot peut tester 100 000 combinaisons par heure.

Limiter les tentatives de connexion

La première défense est de limiter le nombre de tentatives de connexion. Après 3 échecs, l’adresse IP est bloquée pendant 15 minutes, puis 24 heures en cas de récidive. Les plugins Wordfence et Limit Login Attempts Reloaded offrent cette fonctionnalité gratuitement. C’est la mesure la plus simple et la plus efficace.

Activer la double authentification (2FA)

La double authentification rend les attaques par force brute quasi impossibles. Même si l’attaquant devine le mot de passe, il ne peut pas se connecter sans le code temporaire généré par l’application d’authentification (Google Authenticator, Authy). C’est la protection la plus robuste disponible.

Modifier l’URL de connexion

Par défaut, WordPress utilise /wp-login.php et /wp-admin. En modifiant cette URL (par exemple /connexion-securisee), vous éliminez 99 % des attaques automatisées car les bots ne trouveront plus la page de connexion. Le plugin WPS Hide Login fait ça en un clic.

Désactiver XML-RPC

Le protocole XML-RPC permet de tester plusieurs mots de passe en une seule requête HTTP via la méthode system.multicall. Si vous n’utilisez pas l’application mobile WordPress ou Jetpack, désactivez-le complètement. Ajoutez simplement dans votre .htaccess : Deny from all sur le fichier xmlrpc.php.

Utiliser un pare-feu applicatif (WAF)

Un pare-feu applicatif filtre le trafic malveillant avant qu’il n’atteigne votre serveur. Cloudflare (gratuit) ou Sucuri Firewall (payant) bloquent les bots connus, les IP malveillantes et les patterns d’attaque. C’est une couche de protection essentielle qui réduit aussi la charge serveur.

Mots de passe forts et gestion centralisée

Un mot de passe de 16 caractères avec majuscules, minuscules, chiffres et symboles résiste à toute attaque par force brute (des milliards d’années de calcul nécessaires). Utilisez un gestionnaire comme Bitwarden ou 1Password pour générer et stocker des mots de passe uniques et robustes.

Odyssix protège votre WordPress

Notre hébergement WordPress sécurisé intègre toutes ces protections nativement : limitation des tentatives, WAF, monitoring temps réel et sauvegardes automatiques. Contactez nos experts pour sécuriser votre site WordPress.

Questions fréquentes

Combien de temps faut-il pour sécuriser une PME ?

Un premier niveau de sécurité (antivirus pro, sauvegarde, double authentification) se met en place en 1 à 2 jours. Un plan de sécurité complet avec pare-feu, formation et monitoring prend 2 à 4 semaines. L’important est de commencer par les bases — elles bloquent déjà 80% des attaques courantes.
Odyssix intervient-il partout en France ?

Oui, nous intervenons sur l’ensemble du territoire français. La majorité de nos prestations (audit, monitoring, support, formation) se font à distance. Pour les interventions sur site (installation réseau, câblage, déploiement serveur), nous nous déplaçons chez vous.
Proposez-vous un audit de cybersécurité gratuit ?

Oui, nous proposons un premier diagnostic de sécurité gratuit et sans engagement. En moins de 48h, nous identifions vos points critiques et vous présentons un plan d’action chiffré. Contactez-nous au 04 28 29 09 45 ou via notre formulaire.
Questions fréquentes
3 questions

Vérifiez les logs de connexion dans Wordfence ou consultez les logs serveur (/var/log/auth.log). Des signes courants : ralentissement du site, consommation CPU élevée, et des centaines de tentatives de connexion échouées dans les logs.

Un mot de passe fort est nécessaire mais pas suffisant. Il faut aussi limiter les tentatives de connexion, activer la 2FA, et idéalement changer l'URL de connexion. La sécurité se construit en couches (défense en profondeur).

Le blocage d'IP individuelles est peu efficace car les attaquants utilisent des milliers d'adresses différentes (botnets). Préférez la limitation automatique des tentatives et un WAF qui maintient des listes noires actualisées en temps réel.

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter