Blocage progressif des adresses IP : mettre fin aux attaques par force brute sans faux positifs
Pour bloquer les attaques par force brute sur WordPress sans empêcher les utilisateurs légitimes d'accéder au site, la durée du blocage est tout aussi importante que le critère de déclenchement. ReportedIP utilise un système progressif : une première infraction entraîne un blocage de 5 minutes, tandis qu'un attaquant récidiviste peut se voir infliger un blocage allant jusqu'à 7 jours.
Ce guide explique le fonctionnement du classement, la période de réinitialisation de 30 jours et pourquoi les blocages manuels ne sont jamais annulés.
Qu'est-ce que ReportedIP ?
ReportedIP est un plugin de sécurité WordPress complet : 12 capteurs d'attaques, quatre méthodes d'authentification à deux facteurs (2FA) et un blocage progressif des adresses IP, le tout dans un plugin prêt à l'emploi, gratuit et sous licence GPL-2.0. Le blocage fonctionne entièrement hors ligne en mode « Local Shield ». Consultez la liste complète des fonctionnalités ReportedIP pour avoir une vue d'ensemble.
L'échelle d'escalade par défaut
Lorsqu'un seuil de capteur est dépassé, le contrôleur IP entre dans la séquence de commande implémentée dans ReportedIP_Hive_Block_Escalation (ajouté dans la version 1.5.0). Chaque nouvelle infraction fait monter d'un cran :
- 1re infraction — 5 minutes
- 2e — 15 minutes
- 3e — 30 minutes
- 4e — 24 heures
- 5e — 48 heures
- À partir de la 6e semaine — 7 jours (maximum)
La liste des durées est entièrement modifiable sous forme de liste de durées séparées par des virgules dans la section Paramètres → Blocage. Un bouton permet de conserver le mode classique à durée unique pour les sites qui préfèrent une durée de bloc fixe.
Pourquoi une faute de frappe ne coûte jamais 24 heures
Un visiteur qui commet une première erreur — qu'il s'agisse d'un administrateur maladroit ou d'un utilisateur légitime derrière une adresse CGNAT partagée — se voit infliger un délai d'attente de 5 minutes avant de pouvoir continuer. Seule une adresse IP qui revient sans cesse s'expose à des suspensions plus longues. Après 30 jours sans nouvelle infraction, l'adresse IP revient au niveau 1 ; ainsi, une erreur ponctuelle ne laisse jamais de trace permanente.
Les blocages manuels l'emportent toujours
Lorsque vous cliquez sur « Bloquer cette adresse IP » ou que vous importez un fichier CSV contenant des plages d'adresses IP malveillantes connues, ce blocage respecte la durée que vous avez choisie et n'est jamais annulé par le système d'escalade. L'escalade automatique ne s'applique qu'aux adresses IP détectées de manière autonome par les capteurs.
Testez avant de mettre en application
Utilisez le mode « Rapport uniquement » sous Paramètres → Blocage pour surveiller les décisions relatives au classement dans les journaux sans rejeter personne. La page d'erreur 403 elle-même est compatible avec la mise en cache — elle définit DONOTCACHEPAGE et Cache-Control: no-store, de sorte que WP Rocket, W3TC, WP Super Cache et LiteSpeed ne fournissent jamais de bloc mis en cache à un visiteur légitime.
Guides connexes
- Les 12 capteurs qui alimentent l'échelle de blocs
- Le mode de renforcement du système resserre les seuils en cas d'attaque
- Réseau communautaire : bloquer les pirates déjà repérés sur d'autres sites
Vous trouverez la configuration complète dans la documentation du plugin WordPress. Consultez les autres guides du pluginReportedIP ou examinez la classe d'escalade sur GitHub.