WordPress sous le feu des attaques : 37 288 attaques recensées en un seul week-end
Le week-end des 23 et 24 mai a été le plus intense que notre réseau ait connu jusqu'à présent. Les sites membres ont transmis 37 288 rapports d'attaques via ReportedIP , correspondant à 15 066 adresses IP d'attaquants distinctes. Plus d'un quart de ces rapports — soit 10 078 — provenaient de sites WordPress équipés du plugin Hive.
Si vous gérez un site WordPress public et que vous n'êtes pas protégé par un système de blocage basé sur la réputation, une semaine type comprend désormais un week-end entier d'activité intense en arrière-plan. Voici ce que la communauté nous a fourni au cours de ces deux jours, à quoi ressemblent les tendances, et ce que nous avons mis en place en plus.
Comment s'est déroulé le week-end
Trois axes, une infrastructure
Les trois principales catégories d'attaques enregistrées samedi et dimanche étaient les tentatives de piratage (23 019 signalements), les attaques par force brute visant les identifiants de connexion (10 215) et les attaques combinées SSH et WordPress (3 889). Le total est supérieur au nombre d'adresses IP uniques, car les mêmes adresses IP d'attaquants ont touché plusieurs catégories sur le même site en l'espace de quelques minutes : un seul hôte lance une attaque par force brute, échoue, puis effectue immédiatement une nouvelle tentative. wp-config.php.bak et /.env sur la même cible.
C'est cet effet de réseau qui permet à la réputation communautaire de fonctionner : une adresse IP qui bombarde le formulaire de connexion du site A à 14 h 02 UTC figure déjà sur la liste noire du site B à 14 h 03 UTC, avant même d'avoir pu accéder à ce dernier. Au cours du week-end, l'adresse IP moyenne des attaquants est apparue dans 2,5 des 9 catégories de menaces suivies par l'API : il ne s'agit pas de bots à usage unique, mais de véritables boîtes à outils.
Origine : quatre pays totalisent 18 254 adresses IP
La concentration géographique observée ce week-end était inhabituellement restreinte. Quatre pays d'origine ont généré 18 254 des adresses IP uniques des attaquants que nous avons suivies :
- États-Unis : 10 920 adresses IP — principalement des hébergeurs et des réseaux cloud, pas d'adresses résidentielles.
- Inde : 3 038 adresses IP — un large éventail d'ASN d'opérateurs télécoms et de petits fournisseurs de serveurs virtuels.
- Pakistan : 2 281 adresses IP — réparties entre trois grands fournisseurs d'accès à Internet.
- Pays-Bas : 2 015 adresses IP — presque exclusivement des services d'hébergement sécurisés et économiques.
Le blocage par pays est une mesure peu nuancée, et nous ne le recommandons pas par défaut. Toutefois, si vous constatez des tentatives de connexion répétées provenant de l'une de ces quatre origines et que vous n'avez aucune business d'accepter le trafic en provenance de celles-ci, le rapport coût-bénéfice penche rapidement en sa faveur.
WordPress reste la cible principale
Sur les 37 288 signalements, 10 078 (soit 27 %) provenaient de sites WordPress équipés de ReportedIP . Ces sites bloquent collectivement plus de 600 schémas d'attaque distincts chaque jour ; ce week-end, ce chiffre a grimpé à plus de 1 100 schémas par site. Les clients ayant activé le mode de renforcement de Hive ont vu le nouveau système de rétrospective glissante de 2 heures se déclencher deux fois samedi et une fois dimanche, chaque fois qu’une vague coordonnée frappait un groupe de 20 à 50 sites au cours de la même fenêtre de 60 secondes.
Nous avons également reçu, comme d'habitude, quelques appels téléphoniques lundi matin de la part de clients dont les sites n'étaient pas était protégé mais a été piraté : une page d'accueil défigurée, un utilisateur WP-Admin nommé admin-backup qu'ils n'ont jamais créés, ou un dossier de plugins rempli de fichiers PHP obscurcis. Rien de tout cela n'a rien d'exceptionnel, tout cela peut être évité.
Ce qu'a fait Hive à ce sujet
Deux nouveautés ont été mises en ligne dans les jours qui ont suivi le week-end, toutes deux directement inspirées par les suggestions de la communauté via l'API :
- Hive 2.0.15 (publiée le 21 mai) : les notifications d'administration destinées à plusieurs destinataires ne sont plus ignorées en silence par le relais ; le mode de renforcement de sécurité cesse de se réactiver toutes les heures face au même schéma d'attaque ; et le délai d'attente 429 du relais est désormais respecté côté client. Notes de mise à jour complètes →
- Surface de leurre à 40 voies: toute demande de
wp-config.php.bak,.env.production.bak,configuration.php.bak, des fichiers de sauvegarde SQL courants dans le répertoire racine du site web,.aws/credentials,.ssh/id_rsa, ou l'un des 33 autres fichiers leurres, constitue désormais un signal d'attaquant hautement fiable — et ce signal alimente la base de données de réputation de la communauté lorsque Hive fonctionne en mode « Community Network ».
Protégez-vous
Si vous gérez un site WordPress public, la mesure la plus efficace et la moins coûteuse que vous puissiez prendre cette semaine est d'installer Hive en mode « Community Network ». Cela ne coûte rien, cela réduit la charge liée aux attaques par force brute d'un ordre de grandeur, et chaque bloc que vous enregistrez rend le réseau plus rapide pour le site suivant.
- Procurez-vous ReportedIP → Édition complète avec 12 capteurs, une authentification à deux facteurs (2FA) à 4 méthodes et le mode de renforcement de la sécurité.
- Mettre en place un honeypot → Déployer un serveur leurre sur Internet et fournir des informations de haute fiabilité sur les menaces au réseau.
- Référence API → Utilisez directement l'API de réputation si vous exploitez votre propre pile WAF.
Le week-end vient déjà de s'achever. Le prochain approche à grands pas. Les informations continuent d'affluer — le compteur tourne à l'heure où vous lisez ces lignes.