Résumé : Réduire fortement les tentatives de connexion malveillantes sur l'administration WordPress, principale cible des robots.
Prérequis
- Accès à cPanel et au tableau de bord WordPress
Procédure étape par étape
- Limitez le nombre de tentatives de connexion avec une extension dédiée : après quelques échecs, l'IP est temporairement bloquée.
- Utilisez des identifiants forts et évitez le nom d'utilisateur « admin ».
- Protégez le dossier d'administration par mot de passe via « Protéger un répertoire » dans cPanel pour une couche supplémentaire.
- Activez la double authentification (2FA) sur les comptes administrateurs WordPress.
- Désactivez XML-RPC s'il n'est pas utilisé, car il est souvent exploité pour les attaques par force brute.
Dépannage
- Vous vous êtes bloqué vous-même : retirez la protection via le Gestionnaire de fichiers (renommer l'extension) ou attendez la fin du blocage.
- Attaques persistantes : bloquez les IP récurrentes via l'IP Blocker (voir l'article dédié).
Questions fréquentes
Pourquoi wp-admin est-il tant ciblé ?
C'est la porte d'entrée du site ; les robots tentent des milliers de mots de passe automatiquement.
La 2FA est-elle vraiment utile ?
Oui, même si un mot de passe fuite, le second facteur bloque l'accès.
À lire aussi
- Bonnes pratiques de mots de passe et double authentification
- Bloquer une adresse IP malveillante avec l'IP Blocker de cPanel
