Jump to content
View in the app

A better way to browse. Learn more.
Forum Supreme-Elite

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

WordPress "“ Comment vous protéger de cette nouvelle méthode d'attaque par bruteforce ?

Korben
in Actu du Net

Featured Replies

Si vous utilisez WordPress pour votre site web, sachez qu'une nouvelle méthode d'attaque par bruteforce découverte au début du mois par la société Sucuri permet à un attaquant de tester de très nombreux identifiants et mots de passe avec une simple requête HTTP.

Avec une attaque classique, 1 requête = 1 tentative de login. Mais avec cette attaque qui exploite une faiblesse dans XML-RPC, 1 requête = x tentatives de login.

http://korben.info/wp-content/uploads/2015/10/wordpress-xmlrpc-brute-force-amplification.png

Évidemment, comme vous ne verrez plus des tonnes de tentatives débouler dans vos logs, cette attaque est plus difficile à détecter. Comme XML-RPC permet de faire passer du XML via HTTP vers WordPress pour déclencher des actions (cron, api, manipulation de données...etc), il est très simple d'encapsuler non pas une mais un grand nombre de demandes de logins dans la même requête XML grâce à la méthode system.multicall.

Ce nombre de demandes est limité uniquement par la mémoire accordée à PHP. Autant dire que plus votre PHP a de mémoire, plus l'attaquant va pouvoir tester en même temps des centaines, voire des milliers d'identifiants en même temps.

Alors, comment se protéger ? Et bien si vous utilisez Cloudflare et que vous avez accès au WAF (Firewall applicatif présent dans la version payante de CF), pensez à activer les règles liées à WordPress.

 http://korben.info/wp-content/uploads/2015/10/f1-650x380.png

Cliquez sur le jeu de règles et bloquez la WP0018.

http://korben.info/wp-content/uploads/2015/10/af2-650x101.png

Autrement, il vous reste l'option "code" qui consiste à désactiver les appels à la méthode system.multicall en ajoutant ceci dans votre fichier functions.php, en attendant que WordPress publie un patch.

function mmx_remove_xmlrpc_methods( $methods ) {

unset( $methods['system.multicall'] );

return $methods;

}

add_filter( 'xmlrpc_methods', 'mmx_remove_xmlrpc_methods');

Ainsi vous serez protégé des scripts kiddies qui seraient tentés de s'en prendre à votre site. Pensez aussi à mettre un mot de passe un peu plus complexe qui sera difficile de casser avec un simple dictionnaire.

Cet article merveilleux et sans aucun égal intitulé : WordPress – Comment vous protéger de cette nouvelle méthode d’attaque par bruteforce ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.



Voir l'article complet
https://forum.supreme-elite.fr/topic/18320-wordpress-%C3%A2%E2%82%AC%E2%80%9C-comment-vous-prot%C3%A3%C2%A9ger-de-cette-nouvelle-m%C3%A3%C2%A9thode-d%C3%A2%E2%82%AC%E2%84%A2attaque-par-bruteforce/
Go to topic listing

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.