Applies to: VPS et serveurs dédiés Gén 3, VPS et serveurs dédiés Gén 4

GoDaddy Aide

Nous avons fait de notre mieux afin de traduire cette page pour vous. La page en anglais est également disponible.

Bloquer les attaques WordPress courantes

Il existe deux fichiers couramment utilisés pour les attaques par force brute WordPress: xmlrpc.php et wp-login.php. Cet article détaille comment vous pouvez bloquer ces attaques.

Attention: toutes les adresses IP ne sont pas malveillantes! Le blocage d'une adresse IP incorrecte peut provoquer des temps d'arrêt (c'est-à-dire le blocage d'une adresse IP CDN).

Comment arrêter une attaque xmlrpc?

  • Utilisez un plug-in pour désactiver xmlrpc .
  • Désactivez xmlrpc.php via le bouton.htacess fichier.
    • Dans votre fichier .htaccess, ajoutez ce code: 
    Fichiers xmlrpc.php > Order Allow, Deny Deny from all / Fichiers >

Cela a-t-il fonctionné?

Si vous avez correctement bloqué l'accès à xmlrpc.php, le journal d'accès contiendra des entrées similaires à:

[Tue Aug 02 02: 37: 11.052622 2022] [authz_core: error] [pid 1449: tid 140380133652224] [client 220.85.221.65:51590] AH01630: client refusé par la configuration du serveur: /var/www/vhosts/acoolexample.com/ httpdocs / xmlrpc.php [Tue Aug 02 02: 37: 11.962665 2022] [authz_core: error] [pid 1449: tid 140380007773952] [client 134.122.112.76:51696] AH01630: client refusé par la configuration du serveur: / var / www / vhosts /acoolexample.com/httpdocs/xmlrpc.php [Tue Aug 02 02: 37: 14.016124 2022] [authz_core: error] [pid 1329: tid 140380243957504] [client 14.232.245.48:51854] AH01630: client refusé par la configuration du serveur: / var / www / vhosts / acoolexample.com / httpdocs / xmlrpc.php

Comment arrêter une attaque wp-login.php (wp-admin)?

  • Utilisez un plug-in pour limiter les tentatives de connexion .
  • Limitez l'accès à la page de connexion WordPress par adresse IP via le.htacess fichier.
    • Dans votre fichier .htaccess, ajoutez ce code: 
    Fichiers wp-login.php > Order deny, allow allow from xx.xxx.xx.xxx deny from all / Fichiers >
Remarque: chaque adresse IP autorisée (vous, votre développeur, etc.) devra avoir une règle d'autorisation ajoutée.

Étapes suivantes

Voici quelques autres suggestions que vous pouvez utiliser pour bloquer le trafic malveillant:
  • Bloquer les adresses IP dans le pare-feu du serveur
  • Changer l'utilisateur par défaut de «admin» à un autre nom
  • Bloquer l'accès à xmlrpc.php et / ou wp-login.php dans la configuration Apache