Comment arrêter une attaque DDoS sur un site web WordPress

WordPress est le système de gestion de contenu le plus utilisé et le plus populaire. Le système de base de WordPress est très sécurisé et fiable, et de nombreux sites web populaires sont construits dessus. Son système de plugins flexible peut étendre presque toutes les fonctionnalités possibles au noyau. comment arrêter une attaque DDoS sur un site web WordPress Mais peu importe la robustesse de votre structure, il y a des intrus là-bas qui tentent d’attaquer vos sites en lançant des attaques DDoS. Apprenez à empêcher qu’une attaque DDoS ne fasse tomber votre site web.

Qu’est-ce que les attaques DDoS ?

Une attaque par déni de service distribué (DDoS) est un tiers qui perturbe le trafic de votre site en envoyant de multiples requêtes superflues

En 2017 déjà, même le grand hébergeur web DreamHost a fait face à une attaque DDoS massive. attaque ddos contre dreamhost Peu importe qui vous êtes, les attaques DDoS peuvent être ciblées n’importe où s’il y a une faille de sécurité.

Lisez un guide complet pour sécuriser votre site web WordPress contre les pirates avec des options avancées.

Ici, nous vous guiderons avec les moindres détails pour tenir toutes les menaces des attaques DDoS à distance !

Qu’est-ce que DDoS ?

DDoS, abrégé pour Distributed Denial of Service, est une attaque sur votre site qui envoie de multiples requêtes superflues à votre site web depuis différentes sources pour surcharger le système. Son objectif est de ralentir les temps de réponse d’un site web jusqu’à ce qu’il ne soit plus accessible pour que les requêtes légitimes soient satisfaites. Une fois que ces attaques sont réussies, les intrus peuvent injecter un morceau de code dans votre site et éventuellement le pirater. Comment arrêter une attaque DDoS sur un site web WordPress Les requêtes sont envoyées depuis d’autres sites (WordPress) et hôtes infectés par des logiciels malveillants. Ces sites sont utilisés comme moyen d’attaquer. Cela rend le serveur de votre site occupé avec toutes ces requêtes et finit par cesser de répondre à un certain point, rendant impossible pour vous de récupérer le site. Les attaques sont ciblées à travers différents appareils, ce qui les rend insoupçonnables, rendant ainsi encore plus facile de réussir l’attaque. Si vous pensez que votre site est sécurisé, réfléchissez à nouveau car des entreprises plus importantes comme Amazon, DreamHost et PayPal ont également été victimes il y a quatre ans. Imaginez la perte de leur côté. C’est pourquoi la prévention vaut mieux que de faire face aux conséquences.

Quelles sont les raisons derrière les attaques DDoS ?

Voici les multiples raisons pour lesquelles les attaquants lancent des attaques DDoS :

  • La rançon : collecter de l’argent tout en gardant votre site en otage est l’une de ces raisons.
  • Les attaquants y trouvent du plaisir et le font pour s’amuser.
  • Les personnes qui aiment attaquer un groupe spécifique de personnes.
  • La concurrence : Le concurrent veut vous causer des dommages monétaires, peut engager quelqu’un ou attaquer votre site lui-même.

Qu’est-ce que l’attaque BruteForce ?

Les pirates essaient de se connecter en devinant différentes combinaisons de nom d’utilisateur et de mot de passe. Une fois qu’ils ont accès, ils peuvent ajouter du code malveillant à votre site. Souvenez-vous, les attaques BruteForce et DDoS sont en quelque sorte différentes.

Types d’attaques DDoS

Il existe différents types d’attaques DDoS, mais les plus répandues sont les suivantes :

C’est le type le plus courant d’attaque DDoS qui signifie inonder le site de requêtes insensées, ce qui en retour ralentit le site web ou entraîne simultanément un arrêt complet du site web.

Les attaquants ne mettent pas le site complètement hors service mais le ralentissent avec des attaques constantes.

Toutes ces attaques nécessitent du temps et des efforts, mais celle-ci en particulier demande plus que de simples attaques. Les intrus cherchent minutieusement pour trouver les points faibles, et c’est là que tout part en vain de votre côté. Une fois que les attaquants trouvent vos points faibles, ils plantent leur morceau de code, ce qui fait que votre site finit dans de pires conditions.

Celui-ci exploite complètement le serveur et fait planter le site, le laissant sans utilité.

Quels dommages particuliers peuvent être causés par les attaques DDoS ?

Comme expliqué ci-dessus, les attaques DDoS finissent par ralentir votre site, réduisant les performances de vitesse et le temps de chargement global. Tous les dommages causés par les attaques DDoS vous appartiennent en fin de compte, qu’ils soient monétaires ou non. Voici certains dommages qui peuvent être causés par les attaques DDoS :

  • Vous pouvez perdre plusieurs commandes sur un site eCommerce.
  • Les conséquences de ne pas répondre aux questions des clients, vous coûtant tout le dur travail que vous avez mis dans votre site jusqu’à présent.
  • Le fardeau d’embaucher de la sécurité et du matériel. Pendant que faire venir de nouvelles personnes et leur expliquer comment s’assurer que le bandwagon soit précis vous coûtera beaucoup de temps et d’argent pour les recrutés, qu’il s’agisse de personnes ou d’appareils.
  • En fin de compte, la satisfaction de l’utilisateur va échouer. L’indisponibilité inattendue finira par faire perdre vos classements SEO (Search Engine Optimization), de même que les clients confrontés à l’erreur de délai d’attente du serveur ou de la connexion est le pire scénario. Si votre site est frappé par un grand DDoS et tombe en panne, vos utilisateurs pourraient recevoir un message comme celui-ci :

attaque ddos sur un site web wordpress

Comment arrêter une attaque DDoS sur un site web WordPress ?

WordPress permet à tout le monde de construire des sites web sans aucune connaissance technique, mais cela peut entraîner la perte des sites face à ces attaques DDoS. En tant que débutant, cela peut être beaucoup à digérer et à comprendre quoi et comment fonctionnent les attaques DDoS et comment vous pouvez les éviter, mais avoir un peu de connaissances pour reconnaître les parties faibles est toujours une bonne idée.

Conseils et étapes pour prévenir les attaques DDoS dans WordPress

Il existe des moyens encore plus faciles, peu importe le niveau de technicité que vous possédez. Tous ces conseils et étapes vous aideront à éviter les meilleures attaques DDoS. Avant de faire quoi que ce soit, nous recommandons de faire une sauvegarde de votre site web pour pouvoir revenir en arrière en cas d’erreur.

XML RPC permet aux applications tierces d’interagir avec votre site. Des applications comme WordPress pour mobile utilisent XML RPC pour se connecter. Donc, si vous n’utilisez aucune de ces applications, vous pouvez facilement le désactiver pour éviter toute attaque DDoS. Il y a deux façons de désactiver XML-RPC.

  • Via la méthode .htaccess

Désactivez xmlrpc.php en utilisant .htaccess : # Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>

  • Via un plugin

Si vous voulez désactiver XML RPC via un plugin, vous pouvez utiliser l’un de ces plugins pour le désactiver :

Remarque : Il existe plusieurs autres plugins disponibles qui peuvent désactiver XML RPC.

L’API JSON Rest est utilisée pour accéder, mettre à jour, supprimer, etc. des données des sites WordPress. Pour désactiver l’API JSON Rest, vous pouvez utiliser Disable REST API.

Bien que la désactivation de XML RPC et REST API rende votre site protégé à un niveau limité, il est donc préférable d’installer un WAF (Website Activation Firewall). Le Website Activation Firewall agit comme un proxy entre votre site web et le trafic. Il bloque toutes les données indésirables, les contenus malveillants et les fausses ID qui essaient d’interagir, les arrêtant avant même qu’elles n’atteignent le serveur du site. Voici comment WAF fonctionne sur Sucuri ! waf Il existe deux types d’implémentation WAF

  1. Basé sur le cloud (implémenté dans l’infrastructure d’hébergement)
  2. Hébergé (généralement, un plugin installé sur WordPress)

Parmi les deux ci-dessus, je recommande le WAF basé sur le cloud car il arrête les attaques avant qu’elles n’atteignent votre serveur. Certains des WAF pour WordPress

  1. Sucuri
  2. Wordfence
  3. Malcare
  4. Cloudflare
  5. StackPath
  6. Ninja Firewall
  7. Shield Security

Même en installant tous les pare-feux du monde, ou en prenant toutes les mesures, cela ne vous aidera pas parfois. Vous devez savoir comment fonctionne votre site pour remarquer tout léger changement sur votre site web lorsque des attaques DDoS sont lancées contre votre site.

Prenez l’habitude de mettre à jour constamment et rapidement votre WordPress et vos plugins. La plupart du temps, les mises à jour du noyau WordPress et des plugins viennent avec des améliorations de sécurité qui rendent votre site plus sûr qu’il ne l’était. Avant de mettre à jour, assurez-vous que la nouvelle mise à jour fonctionne bien pour les autres utilisateurs. Parfois, les nouvelles mises à jour cassent certains sites qui utilisent soit l’ancienne version de PHP, soit l’ancienne version de JQuery, etc. Choses à mettre à jour :

  • Le noyau WordPress
  • Les thèmes WordPress
  • Les plugins WordPress
  • La version PHP
  • Le serveur Apache
  • Le serveur Nginx

Contactez votre hébergeur et demandez les étapes recommandées pour éviter les attaques DDoS. Habituellement, chaque hébergeur a des directives sur la façon de prévenir ce type d’attaques.

WordPress est une bénédiction quand il s’agit de plugins, vous permettant de faire toute la créativité avec les plugins, mais en même temps, ils peuvent être une menace pour votre site. Au lieu de cela, avec tous ces plugins faisant fonctionner votre site, avoir un plugin de sécurité peut aider avec les questions de sécurité. Certains plugins gardent les connexions constantes inconnues à l’écart et maintiennent le site web en sécurité. Souvenez-vous, les plugins de sécurité sont installés sur WordPress, et les requêtes sont vérifiées, bloquées après avoir atteint le serveur web. Mais la partie sûre est de garder la connaissance de quel plugin est véritablement authentique et recommandé par la communauté WordPress. Certains plugins de sécurité recommandés sont :

Voici un aperçu du tableau de bord Wordfence et comment il protège votre site avec :

  • Firewall
  • Scan
wordfence

CDN (Content Delivery Network) est un groupe de serveurs distribués dans le monde entier, et il peut vous aider à garder une trace et à ajouter des couches de sécurité supplémentaires en en faisant un chemin sécurisé pour la circulation. Certains des CDN qui empêchent les attaques DDoS sont :

  1. Cloudflare
  2. Akamai
  3. StackPath

Cloudflare fournit une protection gratuite contre les attaques DDoS. comment arrêter une attaque DDoS sur un site web WordPress Même si ces conseils sont utiles à chaque fois, vous devez être très prudent en utilisant tout outil ou plugin tiers pour garder votre site en sécurité. Le pire qui arrive après l’attaque DDoS est de perdre votre classement du site et de ne pas pouvoir travailler au même rythme même après avoir retrouvé l’accès au site après les attaques.

Rene Hermenau

Auteur : Rene Hermenau

À propos de l'auteur : René Hermenau est le fondateur de WP STAGING. Il travaille sur les sauvegardes WordPress, les environnements de staging, les migrations, la gestion des bases de données et les workflows de déploiement sécurisés.