WordPress est l’un des constructeurs de sites Web les plus populaires au monde car il offre des fonctionnalités puissantes et une base de code sécurisée. Cependant, cela ne protège pas WordPress ou tout autre logiciel contre les attaques DDoS malveillantes, qui sont courantes sur Internet.
Les attaques DDoS peuvent ralentir les sites Web et éventuellement les rendre inaccessibles aux utilisateurs. Ces attaques peuvent cibler aussi bien les petits que les grands sites Web.
Maintenant, vous vous demandez peut-être comment un site Web de petite entreprise utilisant WordPress peut empêcher de telles attaques DDoS avec des ressources limitées ?
Dans ce guide, nous allons vous montrer comment arrêter et empêcher efficacement une attaque DDoS sur WordPress. Notre objectif est de vous aider à apprendre à gérer la sécurité de votre site Web contre une attaque DDoS comme un vrai pro.
Qu’est-ce qu’une attaque DDoS ?
L’attaque DDoS, abréviation de Distributed Denial of Service attack, est un type de cyberattaque qui utilise des ordinateurs et des appareils compromis pour envoyer ou demander des données à un serveur d’hébergement WordPress. Le but de ces requêtes est de ralentir et éventuellement de planter le serveur ciblé.
Les attaques DDoS sont une forme évoluée d’attaques DoS (Denial of Service). Contrairement à une attaque DoS, ils tirent parti de plusieurs machines ou serveurs compromis répartis dans différentes régions.
Ces machines compromises forment un réseau, parfois appelé botnet. Chaque machine affectée agit comme un bot et lance des attaques sur le système ou le serveur ciblé.
Cela leur permet de passer inaperçus pendant un certain temps et de causer un maximum de dégâts avant d’être bloqués.
Même les plus grandes sociétés Internet sont vulnérables aux attaques DDoS.
En 2018, GitHub, une plate-forme d’hébergement de code populaire, a été témoin d’une attaque DDoS massive qui a envoyé 1,3 téraoctet par seconde de trafic vers leurs serveurs.
Vous vous souvenez peut-être également de la célèbre attaque de 2016 contre DYN (un fournisseur de services DNS). Cette attaque a fait l’objet d’une couverture médiatique mondiale car elle a affecté de nombreux sites Web populaires comme Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit et des milliers d’autres sites Web.
Pourquoi les attaques DDoS se produisent-elles ?
Il existe plusieurs motivations derrière les attaques DDoS. Vous trouverez ci-dessous quelques exemples courants :
- Des gens techniquement avertis qui s’ennuient et trouvent cela aventureux
- Personnes et groupes essayant de faire valoir un point de vue politique
- Groupes ciblant des sites Web et des services d’un pays ou d’une région en particulier
- Attaques ciblées contre une entreprise ou un fournisseur de services spécifique pour leur causer un préjudice financier
- Pour faire chanter et collecter l’argent de la rançon
Quelle est la différence entre une attaque par force brute et une attaque DDoS ?
Les attaques par force brute tentent généralement de pénétrer dans un système en devinant des mots de passe ou en essayant des combinaisons aléatoires pour obtenir un accès non autorisé à un système.
Les attaques DDoS sont purement utilisées pour simplement planter le système ciblé, le rendant inaccessible ou le ralentissant.
Pour plus de détails, consultez notre guide sur la façon de bloquer les attaques par force brute sur WordPress avec des instructions étape par étape.
Quels dommages peuvent être causés par une attaque DDoS ?
Les attaques DDoS peuvent rendre un site Web inaccessible ou réduire les performances. Cela peut entraîner une mauvaise expérience utilisateur, une perte d’activité et les coûts d’atténuation de l’attaque peuvent atteindre des milliers de dollars.
Voici le détail de ces frais :
- Perte d’activité en raison de l’inaccessibilité du site Web
- Coût du support client pour répondre aux requêtes liées aux interruptions de service
- Coût de l’atténuation des attaques en faisant appel à des services de sécurité ou à une assistance
- Le coût le plus important est la mauvaise expérience utilisateur et la réputation de la marque
Comment arrêter et empêcher les attaques DDoS sur WordPress
Les attaques DDoS peuvent être intelligemment déguisées et difficiles à gérer. Cependant, avec certaines meilleures pratiques de sécurité de base, vous pouvez empêcher et facilement empêcher les attaques DDoS d’affecter votre site Web WordPress.
Voici les étapes à suivre pour prévenir et arrêter les attaques DDoS sur votre site WordPress.
Supprimer les attaques verticales DDoS / Brute Force
La meilleure chose à propos de WordPress est qu’il est très flexible. WordPress permet aux plugins et outils tiers de s’intégrer à votre site Web et d’ajouter de nouvelles fonctionnalités.
Pour ce faire, WordPress met plusieurs API à la disposition des programmeurs. Ces API sont des méthodes dans lesquelles les plugins et services WordPress tiers peuvent interagir avec WordPress.
Cependant, certaines de ces API peuvent également être exploitées lors d’une attaque DDoS en envoyant une tonne de requêtes. Vous pouvez les désactiver en toute sécurité pour réduire ces demandes.
Désactiver XML RPC dans WordPress
XML-RPC permet aux applications tierces d’interagir avec votre site Web WordPress. Par exemple, vous avez besoin de XML-RPC pour utiliser l’application WordPress sur votre appareil mobile.
Si vous êtes comme une grande majorité d’utilisateurs qui n’utilisent pas l’application mobile, vous pouvez désactiver XML-RPC en ajoutant simplement le code suivant au fichier .htaccess de votre site Web.
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all </Files>
Pour d’autres méthodes, consultez notre guide sur la façon de désactiver facilement XML-RPC dans WordPress.
Désactiver l’API REST dans WordPress
L’API WordPress JSON REST permet aux plugins et aux outils d’accéder aux données WordPress, de mettre à jour le contenu et/ou même de le supprimer. Voici comment désactiver l’API REST dans WordPress.
La première chose à faire est d’installer et d’activer le Désactiver WP Rest API brancher. Pour plus de détails, consultez notre guide étape par étape sur la façon d’installer un plugin WordPress.
Le plugin fonctionne immédiatement et désactivera simplement l’API REST pour tous les utilisateurs non connectés.
Activer WAF (Pare-feu d’application de site Web)
La désactivation des vecteurs d’attaque tels que l’API REST et XML-RPC offre une protection limitée contre les attaques DDoS. Votre site Web est toujours vulnérable aux requêtes HTTP normales.
Bien que vous puissiez atténuer une petite attaque DOS en essayant d’attraper les mauvaises adresses IP de la machine et en les bloquant manuellement, cette approche n’est pas très efficace face à une grande attaque DDoS.
Le moyen le plus simple de bloquer les demandes suspectes consiste à activer un pare-feu d’application de site Web.
Un pare-feu d’application de site Web agit comme un proxy entre votre site Web et tout le trafic entrant. Il utilise un algorithme intelligent pour intercepter toutes les demandes suspectes et les bloquer avant qu’elles n’atteignent le serveur de votre site Web.
Nous vous recommandons d’utiliser Sucuri car c’est le meilleur plugin de sécurité WordPress et pare-feu de site Web. Il s’exécute au niveau DNS, ce qui signifie qu’ils peuvent intercepter une attaque DDoS avant de pouvoir envoyer une demande à votre site Web.
Le prix de Sucuri commence à partir de 20 $ par mois (payé annuellement).
Nous utilisons Sucuri sur Themelocal. Consultez notre étude de cas sur la façon dont ils aident à bloquer des centaines de milliers d’attaques sur notre site Web.
Alternativement, vous pouvez également utiliser Cloudflare. Cependant, le service gratuit de Cloudflare n’offre qu’une protection DDoS limitée. Vous devrez vous inscrire au moins à leur plan d’affaires pour la protection DDoS de couche 7 qui coûte environ 200 $ par mois.
Consultez notre article sur Sucuri vs Cloudflare pour une comparaison côte à côte détaillée.
Noter: Les pare-feu d’application de site Web (WAF) qui s’exécutent au niveau de l’application sont moins efficaces lors d’une attaque DDoS. Ils bloquent le trafic une fois qu’il a déjà atteint votre serveur Web, ce qui affecte toujours les performances globales de votre site Web.
Découvrir s’il s’agit d’une attaque par force brute ou DDoS
Les attaques par force brute et DDoS utilisent toutes les deux les ressources du serveur de manière intensive, ce qui signifie que leurs symptômes sont assez similaires. Votre site Web deviendra plus lent et pourrait planter.
Vous pouvez facilement savoir s’il s’agit d’une attaque par force brute ou d’une attaque DDoS en consultant simplement les rapports de connexion du plugin Sucuri.
Simplement, installez et activez le logiciel gratuit Sucuri plugin puis allez à Sucuri Security » Dernières connexions page.
Si vous voyez un grand nombre de demandes de connexion aléatoires, cela signifie que votre administrateur wp est soumis à une attaque par force brute. Pour l’atténuer, vous pouvez consulter notre guide sur la façon de bloquer les attaques par force brute dans WordPress.
Choses à faire pendant une attaque DDoS
Les attaques DDoS peuvent se produire même si vous disposez d’un pare-feu d’application Web et d’autres protections. Des entreprises comme CloudFlare et Sucuri traitent régulièrement ces attaques, et la plupart du temps, vous n’en entendrez jamais parler car elles peuvent facilement les atténuer.
Cependant, dans certains cas, lorsque ces attaques sont importantes, elles peuvent toujours vous affecter. Dans ce cas, il est préférable d’être prêt à atténuer les problèmes pouvant survenir pendant et après l’attaque DDoS.
Voici quelques mesures que vous pouvez prendre pour minimiser l’impact d’une attaque DDoS.
1. Alertez les membres de votre équipe
Si vous avez une équipe, vous devez informer vos collègues du problème. Cela les aidera à se préparer aux requêtes du support client, à rechercher les problèmes possibles et à aider pendant ou après l’attaque.
2. Informez les clients de l’inconvénient
Une attaque DDoS peut affecter l’expérience utilisateur sur votre site Web. Si vous exploitez une boutique WooCommerce, vos clients peuvent ne pas être en mesure de passer une commande ou de se connecter à leur compte.
Vous pouvez annoncer via vos comptes de réseaux sociaux que votre site Web rencontre des difficultés techniques et que tout reviendra bientôt à la normale.
Si l’attaque est importante, vous pouvez également utiliser votre service de marketing par e-mail pour communiquer avec les clients et leur demander de suivre vos mises à jour sur les réseaux sociaux.
Si vous avez des clients VIP, vous souhaiterez peut-être utiliser votre service téléphonique professionnel pour passer des appels téléphoniques individuels et leur faire savoir comment vous travaillez pour restaurer les services.
La communication en ces temps difficiles fait une énorme différence pour maintenir la réputation de votre marque.
3. Contacter l’assistance en matière d’hébergement et de sécurité
Contactez votre hébergeur WordPress. L’attaque dont vous pourriez être témoin pourrait faire partie d’une attaque plus large ciblant leurs systèmes. Dans ce cas, ils seront en mesure de vous fournir les dernières mises à jour sur la situation.
Contactez votre service de pare-feu et informez-le que votre site Web fait l’objet d’une attaque DDoS. Ils peuvent être en mesure d’atténuer la situation encore plus rapidement et peuvent vous fournir plus d’informations.
Dans les fournisseurs de pare-feu comme Sucuri, vous pouvez également définir vos paramètres pour qu’ils soient en mode paranoïaque, ce qui permet de bloquer de nombreuses demandes et de rendre votre site Web accessible aux utilisateurs normaux.
Assurer la sécurité de votre site WordPress
WordPress est assez sécurisé dès la sortie de la boîte. Cependant, en tant que constructeur de sites Web le plus populaire au monde, il est souvent ciblé par les pirates.
Heureusement, il existe de nombreuses bonnes pratiques de sécurité que vous pouvez appliquer sur votre site Web pour le rendre encore plus sécurisé.
Nous avons compilé un guide de sécurité WordPress complet étape par étape pour les débutants. Il vous guidera à travers les meilleurs paramètres de sécurité WordPress pour protéger votre site Web et ses données contre les menaces courantes.
Nous espérons que cet article vous a aidé à apprendre comment bloquer et empêcher une attaque DDoS sur WordPress. Vous pouvez également consulter notre guide sur les erreurs WordPress les plus courantes et comment les corriger.