WordPress est l’un des constructeurs de sites Web les plus populaires au monde car il offre des fonctionnalités puissantes et une base de code sécurisée. Cependant, cela ne protège pas WordPress ni aucun autre logiciel contre les attaques DDoS malveillantes, courantes sur Internet.
Les attaques par DDoS peuvent ralentir les sites Web et les rendre finalement inaccessibles aux utilisateurs. Ces attaques peuvent être ciblées à la fois sur des sites Web petits et grands.
Maintenant, vous vous demandez peut-être comment un site Web de petite entreprise utilisant WordPress peut empêcher de telles attaques DDoS avec des ressources limitées?
Dans ce guide, nous allons vous montrer comment arrêter et empêcher efficacement une attaque DDoS sur WordPress. Notre objectif est de vous aider à apprendre à gérer la sécurité de votre site Web contre une attaque par DDoS comme un professionnel.
Qu'est-ce qu'une attaque DDoS?
Une attaque DDoS, en abrégé attaque par déni de service distribué, est un type de cyber attaque qui utilise des ordinateurs et des périphériques compromis pour envoyer ou demander des données à partir d'un serveur d'hébergement WordPress. Le but de ces demandes est de ralentir et éventuellement de mettre le serveur cible en panne.
Les attaques par DDoS sont une forme évoluée d’attaques par déni de service. Contrairement aux attaques par déni de service, ils tirent parti de plusieurs machines ou serveurs compromis répartis dans différentes régions.
Ces machines compromises forment un réseau, parfois appelé botnet. Chaque ordinateur affecté agit comme un bot et lance des attaques sur le système ou le serveur ciblé.
Cela leur permet de passer inaperçus pendant un moment et de causer un maximum de dégâts avant d'être bloqués.
Même les plus grandes entreprises Internet sont vulnérables aux attaques DDoS.
En 2018, GitHub, une plate-forme d'hébergement de code populaire, a été témoin d'une attaque DDoS massive qui a envoyé un trafic de 1,3 téraoctets par seconde à leurs serveurs.
Vous vous souvenez peut-être aussi de l'attaque notoire de 2016 sur DYN (un fournisseur de service DNS). Cette attaque a eu une couverture mondiale en actualités puisqu'elle a affecté de nombreux sites Web populaires tels qu'Amazon, Netflix, PayPal, Visa, AirBnB, le New York Times, Reddit et des milliers d'autres sites Web.
Pourquoi les attaques DDoS se produisent-elles?
Les attaques par DDoS ont plusieurs motivations. Ci-dessous quelques communes:
- Les personnes techniquement avisées qui s'ennuient et le trouvent aventureux
- Les gens et les groupes qui essaient de faire valoir un point politique
- Groupes ciblant des sites Web et des services d'un pays ou d'une région donnés
- Attaques ciblées sur une entreprise ou un fournisseur de services spécifique pour leur causer un préjudice financier
- Faire chanter et percevoir de l'argent de la rançon
Quelle est la différence entre une attaque par force brute et une attaque par DDoS?
Les attaques par force brute tentent généralement de pénétrer dans un système en devinant des mots de passe ou en essayant des combinaisons aléatoires pour obtenir un accès non autorisé à un système.
Les attaques DDoS sont uniquement utilisées pour bloquer le système ciblé, le rendant ainsi inaccessible ou le ralentir.
Pour plus de détails, consultez notre guide sur la façon de bloquer les attaques par force brute sur WordPress avec des instructions pas à pas.
Quels dommages peuvent être causés par une attaque DDoS?
Les attaques DDoS peuvent rendre un site Web inaccessible ou réduire les performances. Cela peut entraîner une mauvaise expérience utilisateur, des pertes d’affaires et des coûts d’atténuation de l’attaque pouvant se chiffrer en milliers de dollars.
Voici une ventilation de ces coûts:
- Perte d'activité en raison de l'inaccessibilité du site Web
- Coût du support client pour répondre aux requêtes relatives aux interruptions de service
- Coût d'atténuation de l'attaque par le recrutement de services de sécurité ou d'assistance
- Le plus gros coût est la mauvaise expérience utilisateur et la réputation de la marque
Comment arrêter et empêcher les attaques par DDoS sur WordPress
Les attaques DDoS peuvent être intelligemment déguisées et difficiles à gérer. Toutefois, grâce aux meilleures pratiques de base en matière de sécurité, vous pouvez empêcher et empêcher facilement les attaques DDoS d’affecter votre site Web WordPress.
Voici les étapes à suivre pour prévenir et arrêter les attaques DDoS sur votre site WordPress.
Supprimer les verticaux d'attaque DDoS / Brute Force
La meilleure chose à propos de WordPress est qu’il est très flexible. WordPress permet d'intégrer des plugins et des outils tiers à votre site Web et d'ajouter de nouvelles fonctionnalités.
Pour ce faire, WordPress met plusieurs API à la disposition des programmeurs. Ces API sont des méthodes dans lesquelles des plugins et des services WordPress tiers peuvent interagir avec WordPress.
Cependant, certaines de ces API peuvent également être exploitées lors d'une attaque DDoS en envoyant une tonne de requêtes. Vous pouvez les désactiver en toute sécurité pour réduire ces demandes.
Désactiver XML RPC dans WordPress
XML-RPC permet aux applications tierces d'interagir avec votre site Web WordPress. Par exemple, vous avez besoin de XML-RPC pour utiliser l'application WordPress sur votre appareil mobile.
Si la majorité des utilisateurs n’utilisent pas l’application mobile, vous pouvez désactiver XML-RPC en ajoutant simplement le code suivant au fichier .htaccess de votre site Web.
# Block WordPress xmlrpc.php requestsorder deny,allow deny from all
Pour d'autres méthodes, consultez notre guide sur la façon de désactiver facilement XML-RPC dans WordPress.
Désactiver l'API REST dans WordPress
Les API WordPress JSON REST permettent aux plug-ins et aux outils d'accéder aux données WordPress, de mettre à jour le contenu et / ou même de le supprimer. Voici comment vous pouvez désactiver l'API REST dans WordPress.
La première chose à faire est d’installer et d’activer le plug-in Disable WP Rest API. Pour plus de détails, consultez notre guide étape par étape sur l’installation d’un plugin WordPress.
Le plug-in fonctionne immédiatement et désactive simplement l'API REST pour tous les utilisateurs non connectés.
Activer WAF (Site Web Firewall)
La désactivation des vecteurs d'attaque tels que l'API REST et XML-RPC offre une protection limitée contre les attaques DDoS. Votre site web reste vulnérable aux requêtes HTTP normales.
Bien que vous puissiez atténuer une petite attaque DOS en essayant d’attraper les adresses IP de machines défectueuses et de les bloquer manuellement, cette approche n’est pas très efficace pour traiter une grande attaque DDoS.
Le moyen le plus simple de bloquer les requêtes suspectes consiste à activer le pare-feu d’une application de site Web.
Un pare-feu d'application de site Web agit en tant que proxy entre votre site Web et tout le trafic entrant. Il utilise un algorithme intelligent pour détecter toutes les demandes suspectes et les bloquer avant qu’elles n’atteignent le serveur de votre site Web.
Nous vous recommandons d’utiliser Sucuri car c’est le meilleur plugin de sécurité WordPress et pare-feu de site Web. Il fonctionne au niveau DNS, ce qui signifie qu'ils peuvent intercepter une attaque DDoS avant de pouvoir envoyer une requête à votre site Web.
Les prix pour Sucuri commencent à 20 $ par mois (payés annuellement).
Nous utilisons Sucuri sur WPBeginner. Consultez notre étude de cas sur la manière dont ils aident à bloquer des centaines de milliers d'attaques sur notre site Web.
Alternativement, vous pouvez également utiliser Cloudflare. Cependant, le service gratuit de Cloudflare ne donne qu’une protection limitée contre les attaques DDoS. Vous devez au moins souscrire à leur plan d’entreprise pour la protection contre les attaques DDoS de couche 7, qui coûte environ 200 dollars par mois.
Voir notre article sur Sucuri vs Cloudflare pour une comparaison détaillée côte à côte.
Remarque: Les pare-feu pour applications de site Web (WAF) fonctionnant au niveau de l'application sont moins efficaces lors d'une attaque DDoS. Ils bloquent le trafic une fois qu'il a déjà atteint votre serveur Web, de sorte qu'il affecte toujours les performances globales de votre site Web.
Déterminer s’il s’agit d’une attaque brutale ou DDoS
La force brute et les attaques par DDoS utilisent intensivement les ressources du serveur, ce qui signifie que leurs symptômes sont assez similaires. Votre site Web va devenir plus lent et peut se bloquer.
Vous pouvez facilement savoir s’il s’agit d’une attaque par force brute ou d'une attaque DDoS en consultant simplement les rapports de connexion du plug-in Sucuri.
Simplement, installez et activez le plugin gratuit Sucuri puis allez à Sucuri Security »Dernières connexions page.
Si vous voyez un grand nombre de demandes de connexion aléatoires, cela signifie que votre wp-admin est sous une attaque par force brute. Pour l'atténuer, consultez notre guide sur la manière de bloquer les attaques par force brute dans WordPress.
Choses à faire pendant une attaque DDoS
Les attaques DDoS peuvent survenir même si vous avez un pare-feu pour applications Web et d’autres protections en place. Des sociétés telles que CloudFlare et Sucuri gèrent ces attaques régulièrement, et la plupart du temps, vous n'en entendrez jamais parler car elles peuvent facilement les atténuer.
Toutefois, dans certains cas, lorsque ces attaques sont importantes, elles peuvent quand même vous affecter. Dans ce cas, il vaut mieux être prêt à atténuer les problèmes pouvant survenir pendant et après l’attaque DDoS.
Vous trouverez ci-dessous quelques mesures à prendre pour réduire l’impact d’une attaque DDoS.
1. Alertez les membres de votre équipe
Si vous avez une équipe, vous devez alors informer vos collègues du problème. Cela les aidera à se préparer aux demandes d'assistance des clients, à détecter les problèmes éventuels et à aider pendant ou après l'attaque.
2. Informer les clients sur les inconvénients
Une attaque par déni de service peut affecter l'expérience de l'utilisateur sur votre site web. Si vous exploitez un magasin WooCommerce, vos clients pourraient ne pas être en mesure de passer une commande ou de se connecter à leur compte.
Vous pouvez annoncer via vos comptes de médias sociaux que votre site Web rencontre des difficultés techniques et que tout reviendra bientôt à la normale.
Si l'attaque est importante, vous pouvez également utiliser votre service de marketing par courriel pour communiquer avec les clients et leur demander de suivre les mises à jour de vos médias sociaux.
Si vous avez des clients VIP, vous souhaiterez peut-être utiliser votre service de téléphonie professionnelle pour passer des appels individuels et leur dire comment vous travaillez pour restaurer les services.
La communication en ces temps difficiles contribue énormément à maintenir la réputation de votre marque.
3. Contacter le support d'hébergement et de sécurité
Contactez votre fournisseur d'hébergement WordPress. L'attaque à laquelle vous assistez pourrait faire partie d'une attaque plus vaste visant leurs systèmes. Dans ce cas, ils pourront vous fournir les dernières mises à jour sur la situation.
Contactez votre service de pare-feu et faites-leur savoir que votre site Web est soumis à une attaque DDoS. Ils pourront peut-être atténuer la situation encore plus rapidement et vous fournir plus d’informations.
Dans les fournisseurs de pare-feu tels que Sucuri, vous pouvez également définir vos paramètres pour être en mode paranoïaque, ce qui permet de bloquer de nombreuses demandes et de rendre votre site Web accessible aux utilisateurs normaux.
Garder votre site WordPress sécurisé
WordPress est assez sécurisé hors de la boîte. Cependant, en tant que constructeur de sites Web le plus populaire au monde, il est souvent ciblé par les pirates.
Heureusement, il existe de nombreuses meilleures pratiques de sécurité que vous pouvez appliquer sur votre site Web pour le rendre encore plus sécurisé.
Nous avons compilé un guide complet de sécurité WordPress étape par étape pour les débutants. Il vous guidera à travers les meilleurs paramètres de sécurité WordPress pour protéger votre site Web et ses données contre les menaces courantes.
Nous espérons que cet article vous a aidé à apprendre à bloquer et à prévenir une attaque par DDoS sur WordPress. Vous pouvez également consulter notre guide sur les erreurs WordPress les plus courantes et sur la façon de les résoudre.
Si vous avez aimé cet article, abonnez-vous à nos tutoriels vidéo sur la chaîne YouTube pour WordPress. Vous pouvez aussi nous trouver sur Twitter et Facebook.
