Attaque par force brute sur WordPress

Résumé rapide du problème

Une attaque par force brute WordPress consiste à tester automatiquement des milliers de combinaisons identifiant/mot de passe sur la page de connexion pour forcer l'accès. Même sans succès, elle surcharge le serveur ; si elle réussit, le pirate prend le contrôle du site.

Solution rapide

Limitez les tentatives de connexion, activez la double authentification, utilisez des mots de passe forts, et protégez wp-login.php avec un pare-feu ou une restriction d'accès.

Résumer ce guide avec une IA :ChatGPT Claude Gemini Perplexity

Comment reconnaître ce bug

De très nombreuses tentatives de connexion échouées dans les logs
Le plugin de sécurité envoie des alertes répétées de connexion
Le site ralentit ou devient indisponible aux heures d'attaque
Des erreurs 429 « Too Many Requests » apparaissent

Qu'est-ce que ce bug WordPress ?

La force brute est une méthode d'attaque automatisée : un robot essaie systématiquement des combinaisons d'identifiants jusqu'à trouver la bonne. Sur WordPress, elle cible wp-login.php et le fichier XML-RPC. Les comptes nommés « admin » et les mots de passe faibles sont les premières victimes. L'attaque consomme aussi beaucoup de ressources serveur.

Pourquoi ce problème apparaît-il ?

Mot de passe faible

Un mot de passe court ou courant est rapidement deviné par un robot.

Identifiant prévisible

Les comptes nommés « admin » sont les premières cibles des attaques.

XML-RPC activé

Le fichier xmlrpc.php permet de tester de nombreux mots de passe en une seule requête.

Aucune limite de tentatives

Sans restriction, un robot peut essayer un nombre illimité de combinaisons.

Comment réparer ce bug WordPress

Limiter les tentatives de connexion

Installez une protection qui bloque une IP après plusieurs échecs de connexion.

Activer la double authentification

Ajoutez une vérification en deux étapes pour que le mot de passe seul ne suffise plus.

Renforcer les identifiants

Supprimez le compte « admin », utilisez des identifiants uniques et des mots de passe longs et complexes.

Protéger les points d'entrée

Restreignez l'accès à wp-login.php, désactivez XML-RPC si inutile et activez un pare-feu.

Comment éviter que ce bug revienne

Imposez des mots de passe forts à tous les comptes
Activez la double authentification sur les accès administrateurs
Limitez le nombre de tentatives de connexion
Désactivez XML-RPC s'il n'est pas utilisé

Questions fréquentes (FAQ)

Une attaque par force brute échouée est-elle dangereuse ?

Même sans accès gagné, elle consomme des ressources serveur et peut ralentir ou faire tomber le site. Et tant que la protection n'est pas en place, le risque de réussite demeure.

Comment savoir si une attaque a réussi ?

Vérifiez la liste des utilisateurs, les dernières connexions et les fichiers récemment modifiés. Un compte inconnu ou une connexion réussie depuis une IP étrangère est un signal d'alerte.

Faut-il vraiment désactiver XML-RPC ?

Si aucune application externe (ancienne appli mobile, certains services) n'en dépend, oui : XML-RPC est une cible privilégiée de la force brute et son blocage réduit fortement la surface d'attaque.

Changer l'URL de connexion protège-t-il vraiment ?

Cela réduit les attaques automatisées qui visent wp-login.php par défaut, mais ce n'est pas une protection suffisante seule. Elle doit s'accompagner de mots de passe forts et de la double authentification.

L'équipe Mr.WordPress

Experts en dépannage WordPress

Notre équipe technique intervient chaque jour sur des sites WordPress en panne — erreurs serveur, piratages, lenteurs, conflits de plugins. Chaque guide est rédigé et vérifié à partir de cas réels d'intervention.

En savoir plus sur Mr.WordPress →

Partager :X Facebook LinkedIn