WordPress est l’un des constructeurs de sites Web les plus populaires au monde car il offre des fonctionnalitĂ©s puissantes et une base de code sĂ©curisĂ©e. Cependant, cela ne protĂšge pas WordPress ou tout autre logiciel contre les attaques DDoS malveillantes, qui sont courantes sur Internet.
Les attaques DDoS peuvent ralentir les sites Web et Ă©ventuellement les rendre inaccessibles aux utilisateurs. Ces attaques peuvent cibler des sites Web de grande et de petite taille.
Maintenant, vous vous demandez peut-ĂȘtre comment un site Web de petite entreprise utilisant WordPress peut empĂȘcher de telles attaques DDoS avec des ressources limitĂ©es.
Dans ce guide, nous vous montrerons comment arrĂȘter et empĂȘcher efficacement une attaque DDoS dans WordPress. Notre objectif est de vous aider Ă apprendre Ă gĂ©rer la sĂ©curitĂ© de votre site Web contre une attaque DDoS comme un professionnel total.
Qu’est-ce qu’une attaque DDoS?
L’attaque DDoS, abrĂ©viation de Distributed Denial of Service Attack, est un type de cyberattaque qui utilise des ordinateurs et des appareils compromis pour envoyer ou demander des donnĂ©es Ă partir d’un serveur d’hĂ©bergement WordPress. Le but de ces requĂȘtes est de ralentir et Ă©ventuellement de planter le serveur de destination.
Les attaques DDoS sont une forme Ă©voluĂ©e d’attaques DoS (dĂ©ni de service). Contrairement Ă une attaque DoS, ils profitent de plusieurs machines ou serveurs compromis rĂ©partis dans diffĂ©rentes rĂ©gions.
Ces machines compromises forment un réseau, parfois appelé botnet. Chaque machine affectée agit comme un bot et lance des attaques contre le systÚme ou le serveur cible.
Cela leur permet de passer inaperçu pendant un certain temps et de causer un maximum de dĂ©gĂąts avant d’ĂȘtre bloquĂ©s.
MĂȘme les plus grandes sociĂ©tĂ©s Internet sont vulnĂ©rables aux attaques DDoS.
En 2018, GitHub, une plateforme d’hĂ©bergement de code populaire, a Ă©tĂ© tĂ©moin d’une attaque DDoS massive qui a envoyĂ© 1,3 tĂ©raoctets par seconde de trafic vers ses serveurs.
Vous vous souvenez peut-ĂȘtre Ă©galement de la cĂ©lĂšbre attaque de 2016 contre DYN (un fournisseur de services DNS). Cette attaque a fait l’objet d’une couverture mĂ©diatique mondiale car elle a touchĂ© de nombreux sites Web populaires tels qu’Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit et des milliers d’autres sites Web.
Pourquoi les attaques DDoS se produisent-elles?
Il existe plusieurs motivations derriĂšre les attaques DDoS. Voici quelques exemples courants:
- Des gens férus de technologie qui sont tout simplement ennuyés et aventureux
- Personnes et groupes essayant de faire valoir un point politique
- Groupes ciblant des sites Web et des services dans un pays ou une région en particulier
- Attaques ciblant une entreprise ou un fournisseur de services spécifique pour leur causer un préjudice financier
- Faire chanter et collecter des rançons
Quelle est la différence entre une attaque par force brute et une attaque DDoS?
Les attaques par force brute tentent gĂ©nĂ©ralement de s’introduire dans un systĂšme en devinant des mots de passe ou en essayant des combinaisons alĂ©atoires pour obtenir un accĂšs non autorisĂ© Ă un systĂšme.
Les attaques DDoS sont simplement utilisées pour bloquer le systÚme cible, le rendant inaccessible ou le ralentir.
Pour plus d’informations, consultez notre guide sur la façon de bloquer les attaques par force brute dans WordPress avec des instructions Ă©tape par Ă©tape.
Quels dommages une attaque DDoS peut-elle causer?
Les attaques DDoS peuvent rendre un site Web inaccessible ou rĂ©duire les performances. Cela peut entraĂźner une mauvaise expĂ©rience utilisateur, une perte d’activitĂ© et les coĂ»ts d’attĂ©nuation de l’attaque peuvent atteindre des milliers de dollars.
Voici une ventilation de ces coûts:
- Perte d’activitĂ© due Ă l’inaccessibilitĂ© du site.
- CoĂ»t du service client pour rĂ©pondre aux questions liĂ©es Ă l’interruption de service
- CoĂ»t de l’attĂ©nuation de l’attaque en engageant des services de sĂ©curitĂ© ou de support
- Le plus gros coût est la mauvaise expérience utilisateur et la réputation de la marque.
Comment arrĂȘter et empĂȘcher les attaques DDoS dans WordPress
Les attaques DDoS peuvent ĂȘtre intelligemment dĂ©guisĂ©es et difficiles Ă gĂ©rer. Cependant, avec certaines meilleures pratiques de sĂ©curitĂ© de base, vous pouvez facilement empĂȘcher et empĂȘcher les attaques DDoS d’affecter votre site Web WordPress.
Voici les Ă©tapes Ă suivre pour prĂ©venir et arrĂȘter les attaques DDoS sur votre site WordPress.
Ăliminer les attaques DDoS / verticales Brute Force Attack
La meilleure chose Ă propos de WordPress est qu’il est trĂšs flexible. WordPress permet aux plugins et outils tiers d’ĂȘtre intĂ©grĂ©s Ă votre site Web et d’ajouter de nouvelles fonctionnalitĂ©s.
Pour ce faire, WordPress met plusieurs API Ă la disposition des dĂ©veloppeurs. Ces API sont des mĂ©thodes permettant aux plugins et services WordPress tiers d’interagir avec WordPress.
Cependant, certaines de ces API peuvent Ă©galement ĂȘtre exploitĂ©es lors d’une attaque DDoS en envoyant une tonne de demandes. Vous pouvez les dĂ©sactiver en toute sĂ©curitĂ© pour rĂ©duire ces demandes.
DĂ©sactiver XML RPC dans WordPress
XML-RPC permet aux applications tierces d’interagir avec votre site Web WordPress. Par exemple, vous avez besoin de XML-RPC pour utiliser l’application WordPress sur votre appareil mobile.
Si vous ĂȘtes comme la grande majoritĂ© des utilisateurs qui n’utilisent pas l’application mobile, vous pouvez dĂ©sactiver XML-RPC en ajoutant simplement le code suivant au fichier .htaccess de votre site Web.
# Block WordPress xmlrpc.php requests order deny,allow deny from all
Pour des méthodes alternatives, consultez notre guide sur la façon de désactiver facilement XML-RPC dans WordPress.
DĂ©sactiver l’API REST dans WordPress
L’API WordPress REST JSON permet aux plugins et aux outils d’accĂ©der aux donnĂ©es WordPress, de mettre Ă jour le contenu et / ou mĂȘme de les supprimer. Voici comment dĂ©sactiver l’API REST dans WordPress.
La premiĂšre chose Ă faire est d’installer et d’activer le plugin Disable API WP Rest. Pour plus de dĂ©tails, consultez notre guide Ă©tape par Ă©tape sur la façon d’installer un plugin WordPress.
Le plugin fonctionne immĂ©diatement et dĂ©sactivera simplement l’API REST pour tous les utilisateurs qui ne sont pas connectĂ©s.
Activer WAF (pare-feu d’application de site Web)
La dĂ©sactivation des vecteurs d’attaque comme l’API REST et XML-RPC offre une protection limitĂ©e contre les attaques DDoS. Votre site Web est toujours vulnĂ©rable aux requĂȘtes HTTP normales.
Bien que vous puissiez attĂ©nuer une petite attaque DOS en essayant de dĂ©tecter les adresses IP de la mauvaise machine et de les bloquer manuellement, cette approche n’est pas trĂšs efficace lorsqu’il s’agit d’une attaque DDoS importante.
Le moyen le plus simple de bloquer les demandes suspectes consiste Ă activer le pare-feu des applications du site Web.
Le pare-feu d’application de site Web agit comme un proxy entre votre site Web et tout le trafic entrant. Il utilise un algorithme intelligent pour dĂ©tecter toutes les demandes suspectes et les bloquer avant qu’elles n’atteignent le serveur de votre site Web.
Nous vous recommandons d’utiliser Sucuri car c’est le meilleur plugin de sĂ©curitĂ© WordPress et pare-feu de site Web. Il s’exĂ©cute au niveau DNS, ce qui signifie qu’ils peuvent dĂ©tecter une attaque DDoS avant de pouvoir faire une demande Ă votre site Web.
Le prix de Sucuri commence à partir de 20 $ par mois (payé annuellement).
Nous utilisons Sucuri dans WPBeginner. Consultez notre Ă©tude de cas sur la façon dont ils aident Ă bloquer des centaines de milliers d’attaques sur notre site Web.
Alternativement, vous pouvez Ă©galement utiliser Cloudflare. Cependant, le service gratuit de Cloudflare n’offre qu’une protection DDoS limitĂ©e. Vous devrez au moins vous inscrire Ă votre plan d’affaires pour la protection DDoS de couche 7, qui coĂ»te environ 200 $ par mois.
Consultez notre article sur Sucuri vs Cloudflare pour une comparaison détaillée cÎte à cÎte.
Remarque: Les pare-feu d’applications Web (WAF) qui s’exĂ©cutent au niveau de l’application sont moins efficaces lors d’une attaque DDoS. Ils bloquent le trafic une fois qu’il a dĂ©jĂ atteint votre serveur Web, ce qui affecte toujours les performances globales de votre site Web.
DĂ©couvrir s’il s’agit d’une Brute Force ou d’une attaque DDoS
Les attaques par force brute et DDoS utilisent intensivement les ressources du serveur, ce qui signifie que leurs symptĂŽmes sont assez similaires. Votre site Web ralentira et pourrait se bloquer.
Vous pouvez facilement savoir s’il s’agit d’une attaque par force brute ou d’une attaque DDoS simplement en consultant les rapports de connexion du plugin Sucuri.
Il vous suffit d’installer et d’activer le plugin gratuit Sucuri, puis d’aller sur Sucuri Security »DerniĂšres connexions page.
Si vous voyez beaucoup de demandes de connexion alĂ©atoires, cela signifie que votre administrateur wp est soumis Ă une attaque par force brute. Pour l’attĂ©nuer, vous pouvez voir notre guide sur la façon de bloquer les attaques par force brute dans WordPress.
Choses Ă faire lors d’une attaque DDoS
Des attaques DDoS peuvent se produire mĂȘme si vous disposez d’un pare-feu d’application Web et d’autres protections. Des entreprises comme CloudFlare et Sucuri traitent rĂ©guliĂšrement ces attaques, et la plupart du temps vous ne le dĂ©couvrirez jamais car elles peuvent facilement les attĂ©nuer.
Cependant, dans certains cas, lorsque ces attaques sont importantes, cela peut toujours vous affecter. Dans ce cas, il vaut mieux ĂȘtre prĂȘt Ă attĂ©nuer les problĂšmes pouvant survenir pendant et aprĂšs l’attaque DDoS.
Voici quelques mesures que vous pouvez prendre pour minimiser l’impact d’une attaque DDoS.
1. Alertez les membres de votre Ă©quipe
Si vous avez une Ă©quipe, vous devez en informer vos collĂšgues. Cela les aidera Ă se prĂ©parer aux demandes de service client, Ă rechercher les problĂšmes potentiels et Ă les aider pendant ou aprĂšs l’attaque.
2. Informez les clients des inconvénients.
Une attaque DDoS peut affecter l’expĂ©rience utilisateur sur votre site Web. Si vous gĂ©rez une boutique WooCommerce, vos clients peuvent ne pas ĂȘtre en mesure de passer une commande ou de se connecter Ă leur compte.
Vous pouvez annoncer par le biais de vos comptes de réseaux sociaux que votre site Web rencontre des difficultés techniques et que tout reviendra bientÎt à la normale.
Si l’attaque est importante, vous pouvez Ă©galement utiliser leur service de marketing par e-mail pour communiquer avec les clients et leur demander de suivre leurs mises Ă jour sur les rĂ©seaux sociaux.
Si vous avez des clients VIP, vous pouvez utiliser le service téléphonique de votre entreprise pour passer des appels téléphoniques individuels et leur faire savoir comment vous travaillez pour restaurer les services.
La communication pendant ces moments difficiles fait une grande différence pour maintenir la réputation de votre marque.
3. Contacter le service de sĂ©curitĂ© et d’hĂ©bergement
Contactez votre hĂ©bergeur WordPress. L’attaque dont vous ĂȘtes peut-ĂȘtre tĂ©moin pourrait faire partie d’une attaque plus large ciblant vos systĂšmes. Dans ce cas, ils seront en mesure de vous fournir les derniĂšres mises Ă jour sur la situation.
Contactez votre service de pare-feu et informez-le que votre site Web fait l’objet d’une attaque DDoS. Ils peuvent peut-ĂȘtre attĂ©nuer la situation encore plus rapidement et peuvent vous fournir plus d’informations.
Chez les fournisseurs de pare-feu comme Sucuri, vous pouvez Ă©galement dĂ©finir vos paramĂštres pour qu’ils soient en mode paranoĂŻaque, ce qui aide Ă bloquer de nombreuses demandes et Ă rendre votre site Web accessible aux utilisateurs normaux.
Protégez votre site Web WordPress
WordPress est assez sûr hors de la boßte. Cependant, en tant que constructeur de sites Web le plus populaire au monde, il est souvent attaqué par des pirates.
Heureusement, il existe de nombreuses meilleures pratiques de sécurité que vous pouvez appliquer sur votre site Web pour le rendre encore plus sécurisé.
Nous avons compilé un guide de sécurité WordPress étape par étape complet pour les débutants. Il vous guidera à travers les meilleurs paramÚtres de sécurité WordPress pour protéger votre site Web et vos données contre les menaces courantes.
Nous espĂ©rons que cet article vous a aidĂ© Ă apprendre Ă bloquer et Ă empĂȘcher une attaque DDoS dans WordPress. Vous pouvez Ă©galement consulter notre guide des erreurs WordPress les plus courantes et comment les corriger.
Si vous avez aimé cet article, abonnez-vous à notre chaßne YouTube pour regarder des vidéos de didacticiel WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
