📝 Guide Sécurité

Protéger wp-admin contre les attaques brute force : 8 méthodes

Votre page de connexion WordPress est la cible n°1 des bots. 26 milliards de tentatives brute force ont été bloquées en 2025. Voici 8 méthodes pour blindez votre wp-admin.

Sécuriser mon admin Les 8 méthodes

Le problème

Pourquoi wp-admin est la cible n°1

Une attaque brute force consiste à tester automatiquement des milliers de combinaisons login/mot de passe jusqu'à trouver la bonne. Les bots ciblent /wp-login.php et /xmlrpc.php parce que :

L'URL est toujours la même sur tous les WordPress (wp-login.php)
Le login "admin" est utilisé sur 40% des sites
WordPress ne bloque pas les tentatives par défaut — aucune limite native
XML-RPC permet de tester 500 mots de passe en une seule requête

Un bot peut tester 10 000 mots de passe par heure sur un WordPress non protégé. Même sans réussir, ces attaques surchargent votre serveur et ralentissent votre site pour les vrais visiteurs.

Les 8 méthodes

8 méthodes pour protéger wp-admin

🔒 1. Limiter les tentatives de connexion

Indispensable. Installez un plugin comme "Limit Login Attempts Reloaded" (gratuit) qui bloque une IP après X tentatives échouées. Configuration recommandée : 3 tentatives, blocage 15 minutes, puis 24h après 3 blocages.

🔒 2. Activer la double authentification (2FA)

La 2FA ajoute un code temporaire (Google Authenticator, Authy) en plus du mot de passe. Même si un bot trouve votre mot de passe, il ne pourra pas entrer sans le code. Plugin recommandé : WP 2FA ou la 2FA intégrée de Wordfence.

🔒 3. Changer l'URL de connexion

Déplacez /wp-login.php vers une URL personnalisée (/connexion-privee) avec le plugin WPS Hide Login. Les bots qui ciblent l'URL par défaut ne trouveront plus votre page de connexion.

🔒 4. Désactiver XML-RPC

XML-RPC permet de tester 500 mots de passe par requête via la méthode system.multicall. Si vous n'utilisez pas l'app mobile WordPress ou Jetpack, désactivez-le. Ajoutez dans .htaccess :

<Files xmlrpc.php> Order Deny,Allow Deny from all </Files>

🛡️ 5. Protection .htaccess (authentification HTTP)

Ajoutez une couche d'authentification HTTP basique devant wp-login.php. Les bots seront bloqués avant même d'atteindre WordPress, ce qui économise énormément de ressources serveur.

🛡️ 6. Bloquer les IP suspectes par pays

Si votre site est français, bloquez les tentatives de connexion venant de pays dont vous n'attendez aucun admin (Russie, Chine, Ukraine, Brésil). Wordfence et SecuPress offrent cette fonctionnalité.

🛡️ 7. Utiliser des mots de passe forts

Cela semble évident, mais "admin/admin123" reste le combo le plus testé. Utilisez des mots de passe de 16+ caractères générés aléatoirement (Bitwarden, 1Password). Et ne réutilisez jamais le même mot de passe.

🛡️ 8. Installer un pare-feu applicatif (WAF)

Un WAF bloque les attaques brute force avant qu'elles n'atteignent WordPress. C'est la solution la plus efficace car elle filtre le trafic malveillant au niveau du réseau.

FAQ

Questions fréquentes

Le brute force peut-il réussir ?

Oui, si votre mot de passe est faible. Un bot teste les 10 000 mots de passe les plus courants. Avec un MDP fort de 16+ caractères, une attaque brute force prendrait des milliers d'années. Mais la 2FA reste la meilleure protection.

Ces attaques ralentissent-elles mon site ?

Oui, considérablement. Chaque tentative de login exécute des requêtes PHP et MySQL. Des milliers de tentatives par heure surchargent votre serveur. C'est pourquoi bloquer en amont (WAF, .htaccess) est essentiel.

Cacher wp-login suffit-il ?

Non, c'est une couche supplémentaire mais pas suffisante seule. Les bots peuvent découvrir l'URL via les redirections ou le code source. Combinez toujours avec rate limiting + 2FA + WAF.

Blindez votre wp-admin par un expert.

Configuration complète : 2FA, WAF, rate limiting, blocage pays. 100% des vecteurs brute force neutralisés.

📞 Sécuriser mon site Nos services