Mode de renforcement : renforcement automatique des défenses face à une attaque coordonnée
La force brute distribuée est conçue pour rester en dessous des seuils fixés par adresse IP : de nombreuses adresses, avec quelques tentatives chacune. Le mode de renforcement ReportedIP est la réponse à ce type d'attaque coordonnée contre WordPress: dès qu'il détecte la formation d'un botnet, il resserre tous les seuils à l'échelle du réseau pendant une heure.
Ce guide explique le fonctionnement du déclencheur, les changements qui interviennent lorsqu'une fenêtre de renforcement de la sécurité est active, et comment la gérer.
Qu'est-ce que ReportedIP ?
ReportedIP est un plugin de sécurité WordPress complet : 12 capteurs d'attaques, quatre méthodes d'authentification à deux facteurs (2FA), un blocage progressif et des informations sur les menaces issues de la communauté (sur inscription). Le mode « Hardening » est inclus dans la formule Professionnelle. L'ensemble des fonctionnalités ReportedIP permet de déterminer si ce plugin vous convient.
Le seuil de déclenchement : 3 adresses IP, 20 échecs, une minute
Ajouté dans la version 2.0.8, le mode de renforcement s'active lorsque le capteur d'attaques coordonnées détecte ≥ 3 adresses IP distinctes produisant ≥ 20 tentatives de connexion infructueuses au cours de la même minute. Le déclencheur en temps réel s'intègre directement à wp_login_failed avec un délai anti-rebond de 60 secondes, ce qui garantit un temps de réaction inférieur à une minute. Une tâche cron horaire est maintenue en place à titre de filet de sécurité au cas où le traitement en temps réel ne serait pas effectué.
Qu'est-ce qui se resserre pendant la phase de durcissement ?
- Le seuil de tentatives de connexion infructueuses passe de 5 en 15 minutes à 2 en 5 minutes.
- Le seuil de blocage pour des raisons de réputation passe de 75 % à 60 %, de sorte que les adresses IP signalées par la communauté dans des cas limites sont désormais également refusées.
- Par défaut, la fenêtre dure 60 minutes; elle est configurable entre 5 et 360 minutes.
En conséquence, une attaque par force brute distribuée s'interrompt en cours d'exécution au lieu de passer inaperçue en se glissant sous le seuil par adresse IP. Une fois la période d'expiration écoulée, les seuils reviennent automatiquement à leur valeur de référence configurée.
Visibilité et contrôle
Les surfaces de renforcement actives apparaissent sous la forme d'un nœud rouge dans la barre d'administration de WordPress, accompagnées d'un compte à rebours et d'un lien de gestion ; chaque ligne de journal enregistrée pendant cette période est signalée par un badge « Renforcement ». Les événements hardening_mode_activated (niveau de gravité élevé) et hardening_mode_deactivated (niveau de gravité faible) : enregistrer chaque activation ainsi que l'acteur impliqué — administrateur, interface CLI ou expiration automatique. Depuis le shell, wp reportedip hardening status|activate|deactivate le commande directement.
Configuration (formule Professionnelle)
Ouvrez l'onglet dédié Paramètres → Mode de renforcement, activez le commutateur principal et définissez la durée. Les champs secondaires sont visuellement désactivés tant que le commutateur principal est désactivé. Sur les formules Free et Contributor, l'onglet affiche une carte de vente incitative explicite ; la détection des attaques coordonnées dépend quant à elle de l'activation du réseau communautaire, car le seuil de réputation fait partie des paramètres renforcés.
Guides connexes
- Le durcissement progressif par paliers alimente
- Les 12 capteurs qui détectent le motif coordonné
- Réseau communautaire et seuil de réputation
Vous trouverez les détails de configuration dans la documentation du plugin WordPress. Consultez l'intégralité des guides du pluginReportedIP ou lisez la classe « hardening » sur GitHub.