Comment arrêter et prévenir une attaque DDoS sur WordPress

WordPress est l'un des constructeurs de sites Web les plus populaires au monde car il offre des fonctionnalités puissantes et une base de code sécurisée. Cependant, cette popularité en fait une cible pour les attaques DDoS.

Les pirates utilisent les attaques DDoS pour ralentir les sites Web et les rendre inaccessibles aux utilisateurs. Ces attaques peuvent cibler les petits et les grands sites Web. Les conséquences d'une attaque DDoS peuvent être graves, entraînant une perte de revenus, une atteinte à la réputation et des visiteurs frustrés.

WPBeginner a été la cible de nombreuses attaques de ce type, et nous avons appris à prendre des mesures pour minimiser les risques et assurer la sécurité de notre site Web. Vous vous demandez peut-être comment un petit site Web d'entreprise utilisant WordPress peut prévenir de telles attaques DDoS avec des ressources limitées.

Ce guide vous montrera comment prévenir et arrêter les attaques DDoS dans WordPress, vous permettant de gérer en toute confiance la sécurité de votre site Web contre les attaques comme un vrai pro.

Qu'est-ce qu'une attaque DDoS ?

DDoS (Distributed Denial of Service) est un type de cyberattaque qui utilise des ordinateurs et des appareils compromis pour envoyer ou demander des données à un serveur d'hébergement WordPress. Le but de ces requêtes est de ralentir et finalement de faire planter le serveur ciblé.

Les attaques DDoS ont évolué à partir des attaques DoS (Denial of Service). Contrairement à une attaque DoS, elles tirent parti de nombreuses machines ou serveurs compromis répartis dans différentes régions.

Ces machines compromises forment un réseau, parfois appelé botnet. Chaque machine affectée agit comme un bot et lance des attaques sur le système ou le serveur ciblé. Cela leur permet de passer inaperçues pendant un certain temps et de causer des dommages maximum avant d'être bloquées.

Même les plus grandes entreprises Internet sont vulnérables aux attaques DDoS.

En 2018, GitHub, une plateforme d'hébergement de code populaire, a été victime d'une attaque DDoS massive qui a envoyé 1,3 téraoctet par seconde de trafic vers ses serveurs.

Vous vous souvenez peut-être aussi de la tristement célèbre attaque de 2016 contre DYN (un fournisseur de services DNS). Cette attaque a fait la une des journaux du monde entier car elle a affecté de nombreux sites Web populaires tels qu'Amazon, Netflix, PayPal, Visa, Airbnb, The New York Times, Reddit, et des milliers d'autres sites Web.

FAQ sur les attaques DDoS

Voici quelques réponses aux questions fréquemment posées sur les attaques DDoS.

Pourquoi les attaques DDoS se produisent-elles ?

Il existe plusieurs motivations derrière les attaques DDoS. Voici quelques-unes des plus courantes :

• Des personnes techniquement averties qui s'ennuient trouvent cela aventureux
• Des personnes et des groupes qui font passer un message politique
• Des groupes ciblant les sites Web et les services d'un pays ou d'une région particulière
• Des attaques ciblées sur une entreprise ou un fournisseur de services spécifique pour causer un préjudice monétaire
• Le chantage afin de collecter de l'argent de rançon

Quelle est la différence entre une attaque par force brute et une attaque DDoS ?

Les attaques par force brute tentent d'obtenir un accès non autorisé à un système en devinant des mots de passe ou en essayant des combinaisons aléatoires.

Les attaques DDoS sont purement utilisées pour faire planter le système ciblé, le rendant lent ou inaccessible.

Pour plus de détails, consultez notre guide sur la façon de bloquer les attaques par force brute sur WordPress.

Quels dommages peuvent être causés par une attaque DDoS ?

Les attaques DDoS peuvent réduire les performances d'un site Web ou le rendre inaccessible. Cela entraîne une mauvaise expérience utilisateur, une perte d'activité et les coûts d'atténuation de l'attaque, qui peuvent s'élever à des milliers de dollars.

Voici une répartition de ces coûts :

• Perte d'activité due à l'inaccessibilité du site Web
• Coût du service client pour répondre aux requêtes liées aux interruptions de service
• Coût de la mitigation d'une attaque par l'embauche de services de sécurité ou de support
• Le coût le plus élevé est la mauvaise expérience utilisateur et la réputation de la marque

Comment puis-je arrêter et prévenir les attaques DDoS sur WordPress ?

Les attaques DDoS peuvent être intelligemment déguisées et difficiles à gérer. Cependant, avec quelques bonnes pratiques de sécurité de base, vous pouvez prévenir et arrêter facilement les attaques DDoS d'affecter votre site Web WordPress.

Voici les étapes que vous devez suivre pour prévenir et arrêter les attaques DDoS sur votre site :

1. Supprimer les verticales d'attaques DDoS / par force brute
2. Activer un WAF (pare-feu d'application Web)
3. Identifier s'il s'agit d'une attaque par force brute ou DDoS
4. Que faire pendant une attaque DDoS
5. Comment garder votre site Web WordPress sécurisé

Supprimer les verticales d'attaques DDoS / par force brute

Le meilleur atout de WordPress est sa grande flexibilité. WordPress permet l'intégration de plugins et outils tiers sur votre site Web pour ajouter de nouvelles fonctionnalités.

Pour ce faire, WordPress met à la disposition des programmeurs plusieurs API. Ces API sont des méthodes par lesquelles les plugins et services WordPress tiers peuvent interagir avec WordPress.

Cependant, certaines de ces API peuvent également être exploitées lors d'une attaque DDoS en envoyant une tonne de requêtes. Vous pouvez les désactiver en toute sécurité pour réduire ces requêtes.

Désactiver XML RPC dans WordPress

XML-RPC permet aux applications tierces d'interagir avec votre site Web WordPress. Par exemple, vous avez besoin de XML-RPC pour utiliser l'application WordPress sur votre appareil mobile.

Si vous êtes comme la grande majorité des utilisateurs qui n'utilisent pas l'application mobile pour gérer leur site web, vous pouvez désactiver XML-RPC en ajoutant simplement le code suivant au fichier .htaccess de votre site :

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Pour des méthodes alternatives, consultez notre guide sur la façon de désactiver facilement XML-RPC dans WordPress.

Désactiver l'API REST dans WordPress

L'API REST JSON de WordPress permet aux plugins et aux outils d'accéder aux données de WordPress, de mettre à jour du contenu et/ou même de le supprimer. Voici comment vous pouvez désactiver l'API REST dans WordPress.

Nous vous recommandons d'utiliser le plugin WPCode. C'est le meilleur plugin d'extraits de code qui vous permettra de désactiver l'API REST en quelques clics.

Pour plus d'informations, veuillez consulter notre guide sur comment désactiver l'API REST JSON dans WordPress.

Alternativement, vous pouvez utiliser le plugin Disable WP Rest API. Le plugin fonctionne dès l'installation et désactivera l'API REST pour tous les utilisateurs non connectés.

Activer un WAF (pare-feu d'application Web)

La désactivation des vecteurs d'attaque comme l'API REST et XML-RPC offre une protection limitée contre les attaques DDoS. Votre site web reste vulnérable aux requêtes HTTP normales.

Bien que vous puissiez atténuer une petite attaque DDoS en essayant de capturer les adresses IP des machines malveillantes et en les bloquant manuellement, cette approche est moins efficace lorsqu'il s'agit d'une attaque de grande ampleur.

La façon la plus simple de bloquer les requêtes suspectes est d'activer un pare-feu d'application web.

Un pare-feu d'application web agit comme un proxy entre votre site web et tout le trafic entrant. Il utilise un algorithme intelligent pour intercepter toutes les requêtes suspectes et les bloquer avant qu'elles n'atteignent le serveur de votre site web.

Nous recommandons d'utiliser Sucuri car c'est le meilleur plugin de sécurité WordPress et pare-feu web. Il fonctionne au niveau DNS, ce qui signifie qu'il peut intercepter une attaque DDoS avant qu'elle ne puisse faire une requête à votre site web.

Les prix pour Sucuri commencent à 199,99 $ par an.

Nous utilisons Sucuri sur WPBeginner. Consultez notre étude de cas pour voir comment ils aident à bloquer des centaines de milliers d'attaques sur notre site web.

Alternativement, vous pouvez utiliser Cloudflare. Cependant, le service gratuit de Cloudflare n'offre qu'une protection limitée contre les attaques DDoS. Vous devrez vous inscrire à au moins leur plan professionnel pour une protection DDoS de couche 7, ce qui coûte environ 200 $ par mois.

Consultez notre article sur Sucuri vs. Cloudflare pour une comparaison détaillée côte à côte.

Identifier s'il s'agit d'une attaque par force brute ou DDoS

Les attaques par force brute et les attaques DDoS utilisent intensivement les ressources du serveur, ce qui signifie que leurs symptômes se ressemblent beaucoup. Votre site web deviendra plus lent et pourrait planter.

Vous pouvez facilement déterminer s'il s'agit d'une attaque par force brute ou d'une attaque DDoS en consultant les rapports de connexion du plugin Sucuri.

Installez et activez simplement le plugin gratuit Sucuri, puis accédez à la page Sucuri Security » Last Logins.

Si vous constatez un grand nombre de demandes de connexion aléatoires, cela signifie que votre wp-admin est victime d'une attaque par force brute. Pour y mettre fin, consultez notre guide sur la façon de bloquer les attaques par force brute dans WordPress.

Que faire pendant une attaque DDoS

Les attaques DDoS peuvent survenir même si vous disposez d'un pare-feu d'applications Web et d'autres protections. Des entreprises comme CloudFlare et Sucuri traitent ces attaques régulièrement, et la plupart du temps, vous n'en entendrez jamais parler car elles peuvent les atténuer facilement.

Cependant, dans certains cas, lorsque ces attaques sont importantes, elles peuvent toujours vous affecter. Dans ce cas, il est préférable d'être préparé à atténuer les problèmes qui pourraient survenir pendant et après l'attaque DDoS.

Voici quelques mesures que vous pouvez prendre pour minimiser l'impact d'une attaque DDoS.

1. Alertez les membres de votre équipe

Si vous avez une équipe, vous devez informer vos collègues du problème.

Cela les aidera à se préparer aux demandes du service client, à surveiller les problèmes potentiels et à aider pendant ou après l'attaque.

2. Informez les clients de la gêne occasionnée

Une attaque DDoS peut affecter l'expérience utilisateur sur votre site Web. Si vous gérez une boutique WooCommerce, vos clients pourraient ne pas être en mesure de passer une commande ou de se connecter à leurs comptes.

Vous pouvez annoncer via vos comptes de médias sociaux que votre site Web rencontre des difficultés techniques et que tout reviendra bientôt à la normale.

Si l'attaque est importante, vous pouvez également utiliser votre service de marketing par e-mail pour communiquer avec les clients et leur demander de suivre vos mises à jour sur les médias sociaux.

Si vous avez des clients VIP, vous voudrez peut-être utiliser votre service téléphonique professionnel pour passer des appels individuels et leur faire savoir comment vous travaillez à rétablir les services.

La communication pendant ces moments difficiles fait une énorme différence pour maintenir la réputation de votre marque.

3. Contacter le support d'hébergement et de sécurité

Contactez votre fournisseur d'hébergement WordPress. L'attaque sur votre site peut faire partie d'une attaque plus large ciblant leurs systèmes. Dans ce cas, ils pourront vous fournir les dernières mises à jour sur la situation.

Contactez votre service de pare-feu et informez-le que votre site Web est sous attaque DDoS. Ils pourront peut-être atténuer la situation encore plus rapidement et vous fournir plus d'informations.

Avec des fournisseurs de pare-feu comme Sucuri, vous pouvez également régler vos paramètres en mode 'Paranoïaque', ce qui aide à bloquer de nombreuses requêtes et à rendre votre site Web accessible aux utilisateurs normaux.

Comment garder votre site Web WordPress sécurisé

WordPress est assez sécurisé dès le départ. Cependant, en tant que constructeur de sites Web le plus populaire au monde, il est souvent ciblé par les pirates.

Heureusement, il existe de nombreuses bonnes pratiques de sécurité que vous pouvez appliquer à votre site Web pour le rendre encore plus sécurisé.

Nous avons compilé un guide complet étape par étape sur la sécurité WordPress pour les débutants. Il vous guidera à travers les meilleurs paramètres de sécurité WordPress pour protéger votre site Web et ses données contre les menaces courantes.

Vous pourriez également aimer consulter d'autres articles liés à l'amélioration de la sécurité de votre WordPress :

• Comment effectuer un audit de sécurité WordPress (Liste de contrôle complète)
• Meilleurs plugins de sécurité WordPress pour protéger votre site (comparés)
• Meilleurs scanners de sécurité WordPress pour détecter les logiciels malveillants et les piratages
• Comment scanner votre site WordPress à la recherche de code potentiellement malveillant
• Top Reasons Why WordPress Sites Get Hacked (& How to Prevent It)
• Comment protéger votre site WordPress contre les attaques par force brute
• Comment trouver une porte dérobée sur un site WordPress piraté et la corriger
• Comment surveiller l'activité des utilisateurs dans WordPress avec des journaux d'audit de sécurité
• Comment ajouter des en-têtes de sécurité HTTP dans WordPress (Guide pour débutants)

Nous espérons que cet article vous a aidé à apprendre comment bloquer et prévenir une attaque DDoS sur WordPress. Vous voudrez peut-être aussi consulter notre guide sur la façon de prévenir les attaques par injection SQL WordPress et notre liste de contrôle essentielle des tâches de maintenance WordPress cruciales à effectuer régulièrement.

Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.