protection brute force

Eléphant du PHP | 99 Messages

06 mai 2016, 10:31

Bonjour a tous,

J'ai un site qui est actuellement sous attaque brute force.
Le site a une protection qui m'envoie un email à chaque fois qu'une tentative de login échoue et bloque toute adresse ip après un certain nombre d'échecs.

J'ai dans ma boite mail 150 tentatives de login échouées en l'espace de quelques heures. Lorsque je regarde, l'attaque utilise toujours le même identifiant mais l'IP change à chaque tentative, ce qui fait que mon système ne peut pas bloquer l'attaque.

Je ne peux pas non plus bloquer le username utilisé pour l'attaque car il ne correspond à aucun utilisateur enregistré.

Y a-t-il des moyens au niveau php, htaccess, serveur ou autre pour bloquer ce type d'attaque?

En vous remerciant pour vos conseils.

Avatar de l’utilisateur
Administrateur PHPfrance
Administrateur PHPfrance | 7120 Messages

06 mai 2016, 11:08

Bonjour,

Si il utilise toujours le même identifiant et que c'est un identifiant que tu n'utilises pas, alors il te suffit de modifier ton formulaire de vérification pour que si il tombe sur cet identifiant, il ignore la requête.

Une autre solution serait d'ajouter une captcha
Quand tout le reste a échoué, lisez le mode d'emploi...