Protéger WordPress des attaques bruteforce par requête HTTP

Depuis quelques temps, WordPress est victime d’une recrudescence d’attaques dîtes par bruteforce.

Le principe est simple, il consiste à tester une multitude de combinaisons (identifiants et/ou mots de passe) visant à obtenir l’accès au backoffice de WordPress.

Habituellement on peut aisément s’en protéger à l’aide de plugins de sécurité classique (Login Lockdown, Wordfence ou iThemes Security), mais depuis peu il est possible de tester des milliers de combinaisons en une fois via XML-RPC et la méthode system.multicall.

Pour le moment WordPress ne propose pas de patch correctif pour cette faille de sécurité !

Pour vous protéger de ces attaques par bruteforce vous devez mettre en place vos propres contre-mesures…

Si vous utilisez Cloudflare en version payante, vous pouvez activer les règles WP comme expliquer dans cet article.

Sinon, vous pouvez appliquer directement ce filtre WordPress pour désactiver les appels de la méthode system.multicall dans le fichier functions.php.

Supprimer les attaques bruteforce via la méthode system.multicall

function mmx_remove_xmlrpc_methods( $methods ) {
 unset( $methods['system.multicall'] );
 return $methods;
 }
 add_filter( 'xmlrpc_methods', 'mmx_remove_xmlrpc_methods');

Vous pouvez aussi désactivé complètement XML RPC dans le fichier wp-config.php avec le filtre suivant si vous n’avez lié votre WordPress à aucun service qui le requiert (Buffer, IFTTT etc…) :

add_filter(‘xmlrpc_enabled’, ‘__return_false’);

Une dernière chose, vérifiez bien la robustesse de vos mots de passe et modifiez les au besoin en vous aidant d’un générateur de mot de passe complexe.

Pour rappel, un mot de passe fort doit avoir une longueur d’au moins 8 caractères et doit contenir des lettres minuscules, des lettres majuscules, des chiffres et des caractères spéciaux.
Histoire de compliquer la tâche aux vilains hackers !