Guide de protection DDoS – Comment protéger votre site WordPress contre les attaques


Une attaque DDoS sur votre site WordPress peut l’arrêter et, au fil du temps, le rendre inaccessible à vos utilisateurs. Il s’agit d’une attaque courante qui fait des ravages sur les sites WordPress vulnérables.

La bonne nouvelle? Les attaques DDoS peuvent être évitées si vous savez comment les arrêter. Comme vous le verrez, ce n’est pas si difficile, surtout avec l’aide d’un CDN, notre plugin de sécurité, Défenseur, et un peu de bon hébergement. De plus, vous avez peut-être déjà mis en place de nombreuses précautions.

Ces types d’attaques se multiplient. Cisco prédit Les attaques DDoS doubleront de ce que nous avons vu en 2018 de 7,9 millions d’attaques à plus de 15 millions d’ici 2023. Il vaut donc la peine de prendre des précautions maintenant et de faire ce que vous pouvez pour les prévenir.

Cet article est une approche de sécurité à plusieurs niveaux d’un système qui aidera à prévenir les attaques DDoS sur votre site WordPress. Nous allons passer en revue:

    1. Qu’est-ce qu’une attaque DDoS et pourquoi elle se produit
    2. Dommages que les attaques DDos peuvent faire
    3. La différence entre une attaque par force brute et une attaque DDoS
    4. Comment aider à protéger votre site contre les attaques DDoS avec Defender en:
    5. Désactiver l’API Rest avec un plugin
    6. Comment activer WAF dans le hub
    7. DoS vs DDoS
    8. Pourquoi utiliser un bon CDN

Au moment où vous aurez fini de lire ceci, vous serez en mesure de mettre fin à toutes les attaques DDoS, et elles seront DOA une fois qu’elles essaieront d’accéder à votre site WordPress.

Qu’est-ce qu’une attaque DDoS et pourquoi elle se produit

Une attaque DDoS (attaque par déni de service distribué) est une cyber-attaque qui tente de perturber le trafic normal d’un serveur, d’un service ou d’un réseau spécifique.

Il le fait en submergeant la cible ou son infrastructure proche avec une inondation de trafic. Le but ultime des attaques est de ralentir et éventuellement de planter le serveur ciblé.

Il y a une limite à chaque serveur, et votre site WordPress ne peut gérer qu’un nombre limité de visites simultanées avant de commencer à s’effondrer sous la pression.

illustration d'une attaque ddos.
Un aperçu de ce qu’est une attaque DDoS.

Les attaques DDoS ont évolué à partir des attaques DoS (Denial of Service). La différence est que DDoS tire parti de plusieurs machines ou serveurs compromis dans différentes régions.

Les machines compromises forment un réseau, souvent appelé botnet. Ensuite, chaque machine affectée agit comme un robot et attaque le serveur ou le système ciblé.

Cela leur permet de passer inaperçus pendant un certain temps et de causer autant de dégâts que possible avant d’être bloqués.

Alors, pourquoi se produisent-ils?

Bonne question. Il y a plusieurs raisons …

Une des raisons en est le simple plaisir. Une personne techniquement avertie peut simplement s’amuser à perturber votre site.

Ou, cela pourrait même être pour faire chanter quelqu’un pour obtenir une rançon, pour des raisons politiques, ou pour nuire à un concurrent. Ce pourrait même être pour se venger.

Une attaque peut survenir pour presque n’importe quelle raison, que ce soit pour le plaisir, pour l’argent ou autre chose. Cela se résume à la motivation de l’attaquant.

Ils peuvent arriver aux particuliers ou aux grandes entreprises. Il y a eu aussi de jolis attaques DDoS célèbres. Récemment, Google a été attaqué en 2017 et AWS a eu une attaque DDoS en février 2020.

Ainsi, grandes ou petites, des attaques se produisent. Ils sont à la hausse et il est vital de protéger au maximum votre site WordPress.

Dommages que les attaques DDos peuvent faire

Les attaques DDoS ne sont pas jolies et peuvent causer des ravages. La principale chose qu’ils peuvent faire est de rendre un site WordPress inaccessible ou de réduire les performances du site. Une attaque DDoS peut entraîner une perte d’activité et une mauvaise expérience utilisateur.

De plus, il peut coûter beaucoup d’argent pour atténuer l’attaque en embauchant un service d’assistance ou de sécurité.

La différence entre une attaque par force brute et une attaque DDoS

Je suis sûr que vous avez entendu parler d’une attaque par force brute. Comme DDoS, c’est une autre forme d’embuscade sur votre site Web. Cependant, ils sont tous les deux différents.

Une attaque par force brute est une méthode d’essai et d’erreur dans laquelle les pirates tentent de deviner des informations d’identification ou des données cryptées (par exemple, des mots de passe) grâce à un effort assez poussé pour deviner correctement. Il est considéré comme l’une des attaques les plus populaires pour le piratage d’un site WordPress.

La principale différence entre DDoS et une attaque par force brute est l’objectif.

Les attaques DDoS submergent un site Web qui a l’intention de le dévaster, où une attaque par force brute veut obtenir un accès administrateur. Lorsqu’il y accède, un pirate tente souvent de voler des données personnelles, de rediriger des utilisateurs légitimes vers de faux sites Web pour voler leurs informations personnelles ou d’installer des logiciels malveillants pour infecter les ordinateurs des clients et des administrateurs.

WordPress autorise par défaut des tentatives de connexion illimitées, il est donc crucial d’éviter les attaques par force brute en limitant le nombre de tentatives qu’un utilisateur obtient.

Et comme vous le verrez, beaucoup peut être fait contre les attaques DDoS et par force brute à l’aide d’un plugin, comme Défenseur.

Comment aider à protéger votre site contre les attaques DDoS avec Defender

Notre réponse à la sécurité, Défenseur, peut aider à gérer les attaques DDoS avec seulement quelques modifications de sécurité qui peuvent être effectuées en quelques clics.

Defender sur un ordinateur en tapant.
Vous pouvez renforcer la sécurité en quelques clics avec Defender.

Gardez à l’esprit que Defender ne peut pas arrêter complètement une attaque DDoS soutenue ou significative. En fait, aucun plugin ne le peut. Il est plus approprié pour la protection contre les attaques DoS (une forme d’attaque beaucoup plus petite).

La prévention des attaques doit avoir lieu au niveau du serveur. Le simple fait de bloquer l’adresse IP n’empêchera pas la connexion au serveur. Même avec la réponse d’un 403, une connexion était toujours établie avec le serveur et le site.

La prévention DDoS est suffisante si le serveur ignore complètement la demande de connexion et apparaît invisible à la machine qui envoie la demande.

C’est pourquoi des services supplémentaires sont nécessaires pour une protection DDoS complète, comme un CDN (dont nous parlerons plus tard).

Cela étant dit, nous allons passer par plusieurs façons dont Defender peut aider avec la collaboration d’autres mesures préventives, et vous verrez comment vous pouvez commencer à protéger votre site WordPress contre les attaques DDoS dès aujourd’hui.

Désactivation de XML-RPC

XML-RPC est un système qui vous permet de publier sur votre blog WordPress en utilisant des clients de blog favoris, par exemple, Windows Live Writer. Il s’agit d’un appel de procédure à distance qui utilise XML pour coder ses appels et HTTP comme appareil de transport.

Si vous utilisez une application mobile WordPress et que vous souhaitez vous connecter à des services, tels que IFTTT, ou si vous souhaitez accéder à votre blog et le publier à distance, vous devez activer XML-RPC. Sinon, il s’agit simplement d’un autre moyen pour les pirates de cibler et d’exploiter votre site avec une attaque DDoS en obtenant un accès via XML-RPC.

Cela étant dit, si vous n’en avez pas besoin actif, cela vaut la peine de le désactiver.

Defender peut désactiver cela en un seul clic. Vous verrez s’il est activé ou non dans Recommandations de sécurité. À partir de là, vous pouvez afficher vos problèmes et voir si la désactivation de XML RPC en fait partie.

Image montrant où désactiver XML RPC.
Vous pouvez voir que la désactivation du XML RPC est une amélioration qui peut être apportée.

En cliquant sur le menu déroulant, vous avez la possibilité de désactiver XML RPC en appuyant simplement sur un bouton.

Où vous désactivez XML-RPC
Désactiver XML-RPC gérera le problème en un clic.

Une fois que vous avez cliqué sur Désactiver XML-RPC, vous verrez qu’il est dans le Résolu surface.

La zone résolue dans Defender.
Comme vous pouvez le voir, il est maintenant résolu.

Et juste comme ça, vous avez augmenté la protection de votre site contre les pirates qui tentent d’accéder à votre site via XML-RPC.

Activer le pare-feu de Defender

Le puissant Defender Pare-feu protège également contre la force brute et les attaques DDoS. Tout est configuré et prêt à l’emploi dès la sortie de la boîte.

Nous allons couvrir plusieurs choses que le pare-feu de Defender peut faire pour garantir que votre site reste protégé.

Interdiction IP

Avec Defender, vous pouvez bannir définitivement les utilisateurs persistants qui tentent de provoquer une attaque DDoS en bloquant leurs adresses IP. Une fois cela fait, l’adresse IP restera interdite jusqu’à ce que vous décidiez manuellement de les supprimer de la liste des interdits.

Depuis la zone Pare-feu du tableau de bord de Defender, vous ouvrez Interdiction IP. Ici, vous pouvez entrer les adresses IP suspectes que vous souhaitez bloquer dans le Liste de blocage. De même, toutes les adresses IP que vous souhaitez exclure de toutes les règles d’interdiction peuvent être ajoutées au Allowlist.

La liste de blocage et la liste d'autorisation.
Ajoutez autant d’adresses IP que vous le souhaitez aux listes Bloquer et Autoriser.

Vous pouvez afficher les verrouillages actifs, personnaliser le message pour l’utilisateur qui est verrouillé, importer et exporter des listes de blocage et interdire les pays qui tentent de provoquer une attaque DDoS sur votre site.

Détection 404

Activer Détection 404 dans le pare-feu afin que les adresses IP qui demandent à plusieurs reprises des pages de votre site Web qui n’existent pas soient bloquées.

Avec lui, vous pouvez spécifier combien d’erreurs 404 dans une période donnée déclencheront un verrouillage, combien de temps vous souhaitez interdire l’utilisateur verrouillé et personnaliser le message pour l’utilisateur verrouillé.

Où vous personnalisez 404 verrouillages.
Personnalisez les verrouillages 404 selon vos spécifications.

Vous pouvez également ajouter Fichiers et dossiers pour interdire aux utilisateurs et aux robots d’accéder ou d’autoriser l’accès automatiquement. Ajoutez-les simplement à la liste de blocage. Vous pouvez également les ajouter à une liste d’autorisation.

De même, vous pouvez choisir ce Types de fichiers et extensions vous voulez interdire automatiquement ou autoriser avec une liste de blocage et une liste d’autorisation.

Le pare-feu de Defender offre d’autres avantages, tels que des notifications par e-mail personnalisées sur les verrouillages, les paramètres de stockage, les journaux de verrouillage IP, etc. Assurez-vous de tout savoir sur la protection par pare-feu dans cet article.

Désactivation des rétroliens et des pingbacks

Pingbacks avertir un site lorsqu’il est mentionné par un autre site Web. Cela étant dit, ces notifications peuvent être envoyées à tout site désireux de les recevoir, ce qui vous ouvre la porte aux attaques DDoS.

Cela peut faire tomber votre site WordPress et vous pouvez vous retrouver avec une quantité massive de commentaires de spam.

Prendre soin de cela est simple. Tout comme la désactivation de XML-RPC, il s’agit d’un Tweak de sécurité vous pouvez créer dans Defender en un clic en cliquant Désactiver les pingbacks.

Comme vous pouvez le voir, la désactivation ne prend aucun temps.

La désactivation des trackbacks et pingbacks est une excellente mesure préventive contre les attaques DDoS mineures et une solution simple.

Désactiver l’API Rest avec un plugin

La désactivation de l’API REST peut aider DDoS de la couche d’application attaques. Les attaques de la couche application sont un type de comportement malveillant conçu pour cibler la couche «supérieure» de la Modèle OSI. C’est là que se produisent les requêtes Internet courantes (par exemple, HTTP GET).

REST est un acronyme pour Transfert d’état de représentation. Il utilise des requêtes HTTP pour accéder et utiliser les données. Ces données peuvent s’habituer aux types de données GET, PUT, DELETE, AND POST, qui se réfèrent à la mise à jour, la lecture, la création et la suppression d’opérations concernant les ressources.

L’API, en ce qui concerne un site Web, est un code qui permet à deux logiciels de communiquer entre eux. L’API décrit la manière correcte pour un développeur d’écrire un programme demandant des services à une application ou à un système d’exploitation.

Ainsi, la technologie REST est généralement préférée aux technologies similaires. Cela est dû au fait que REST utilise moins de bande passante, ce qui en retour le rend plus adapté à une utilisation efficace d’Internet.

En désactivant temporairement l’API REST jusqu’à la fin de l’attaque DDoS, cela peut aider à l’arrêter.

L’API REST peut être utilisée par certains plugins actifs. Même s’il n’y a pas de plugins, il peut être désactivé complètement ou temporairement.

Un plugin comme Désactiver l’API REST peut aider.

désactiver l'api de repos
Désactiver l’API REST

Cela désactivera l’utilisation de l’API REST sur votre site WordPress pour les utilisateurs non authentifiés. Une fois que vous l’activez, l’API REST sera inaccessible aux visiteurs de votre site.

Comme pour les précautions suggérées sans le plugin Defender, gardez à l’esprit que la désactivation de l’API REST n’offre qu’une protection limitée contre les attaques DDoS. Votre site WordPress est toujours ouvert aux requêtes HTTP régulières.

En outre, la désactivation de l’API REST (et de XML-RPC) permet d’éviter une attaque DDoS entrante et empêche votre site d’être compromis et utilisé comme un botnet lui-même pour déclencher une attaque DDoS contre d’autres serveurs.

Sachez simplement qu’il peut y avoir des risques liés à la désactivation de l’API REST, tels que la perturbation des services d’API.

Comment activer WAF dans le hub

le Firewall d’applications Web (WAF) est la première couche de protection pour arrêter les attaques DDoS des pirates et des robots avant qu’elles n’atteignent votre site WordPress.

Il fonctionne en filtrant les demandes par rapport à une règle gérée optimisée couvrant les attaques courantes et effectue des correctifs virtuels des vulnérabilités du cœur, du plugin et du thème de WordPress.

WAF est une fonctionnalité entièrement gratuite pour les membres de WPMU DEV qui hébergent leurs sites avec nous. Si vous n’hébergez pas avec nous, WAF devrait figurer dans votre fournisseur d’hébergement actuel.

Cela dit, je vais vous montrer où accéder à notre WAF.

Toutes les fonctionnalités WAF sont gérées dans Le Hub. Le Hub est l’endroit où vous pouvez gérer toute la sécurité de votre site et accéder facilement au tableau de bord de Defender.

dans le Sécurité tableau de bord, vous pouvez voir quel type de WAF vous avez actuellement.

Où il montre quel type de WAF vous avez dans le hub.
Dans cet exemple, il s’agit du WAF hébergé.

Nous avons automatiquement notre WAF activé. Cependant, si vous devez l’activer, cela peut être fait en un seul clic.

Où vous activez WAF.
Un seul clic suffit.

Une fois activé, vous avez les options de:

Ici, vous avez plus d’options que vous pouvez personnaliser.

WAF est comme votre propre agent de sécurité personnel pour votre site WordPress. Il peut vous aider à vous protéger et à vous atténuer contre les attaques DDoS – et bien plus encore.

Pour des informations détaillées sur WAF, consultez notre article sur ce qu’est WAF. Découvrez également en détail ce qui est inclus dans notre WAF fourni avec l’hébergement WPMU DEV.

DoS vs DDoS

Il est important de mentionner les attaques DoS car les attaques DDoS ont évolué à partir d’elles.

UNE Attaque DOS est un type de cyberattaque où un pirate tente de rendre un ordinateur ou un autre appareil indisponible pour ses utilisateurs en perturbant le fonctionnement normal de l’appareil. Son but est de permettre à l’hôte et au serveur attaqués de refuser l’accès normal des utilisateurs et d’interférer avec le fonctionnement normal du système.

Contrairement à DDoS qui utilise plusieurs machines, ces attaques se font entre une seule machine et une seule machine.

Des plugins tels que Defender peuvent aider à empêcher complètement les attaques DoS et, comme je l’ai mentionné, à lutter contre les attaques DDoS.

Cela étant dit, pour les sites relativement plus volumineux, tels que les sites commerciaux, les moteurs de recherche ou les agences gouvernementales, il est recommandé d’utiliser un bon CDN pour aider à prévenir les attaques DDoS.

Pourquoi utiliser un bon CDN

UNE CDN (Content Delivery Network) est un réseau de serveurs répartis dans le monde entier. Les serveurs stockent des copies en cache de vos images et autres fichiers, ce qui réduit la distance que votre contenu doit parcourir pour atteindre vos visiteurs.

Si votre site WordPress est ciblé par une attaque DDoS, un CDN peut vous aider à vous assurer qu’il ne parvient pas au serveur d’origine et rend votre site indisponible. Il le fait en envoyant du trafic vers d’autres serveurs si un serveur est touché par plus de trafic qu’il ne peut en supporter.

Pour cette raison, votre trafic et vous ne remarquerez rien.

Un CDN permet de garantir que votre site WordPress est opérationnel et empêche tout temps d’arrêt – ce qui peut avoir un impact négatif sur votre site. Cela augmente non seulement la vitesse des pages, mais améliore la sécurité contre les menaces telles que les attaques DDoS.

Nous avons notre propre CDN ici pour les membres de WPMU DEV via Smush pour les images et Colibri pour les ressources thématiques. Il tire parti du StackPath réseau complet avec une capacité totale de 65 Tbps, soit 50 fois plus grande que la plus grande attaque DDoS rapportée publiquement à ce jour. L’activation de notre CDN fournit une protection de couche 3-4 intégrée et permanente sur les fichiers que le CDN sert, dans chaque emplacement périphérique.

Avec les dizaines de milliers de sites Web que nous hébergeons, les attaques DDoS plus importantes qui nécessiteraient un service CDN ou proxy sont rares. Mais quand cela se produit, il est beaucoup plus difficile d’atténuer au milieu d’une attaque que d’être complètement préparé.

Pour cette raison, les sites à fort trafic et de commerce électronique auront besoin de niveaux de protection plus élevés que les sites ou les blogs de petites entreprises.

Comme pour tout, vous devez juger du risque réel avec les coûts.

Ainsi, pour une prévention DDoS moyenne à élevée, un service payant comme Cloudflare peut fonctionner en agissant en tant que proxy.

Image CDN Cloudflare.
Cloudflare peut être la bonne solution pour un CDN.

Lorsqu’il identifie une attaque DDoS, il redirige le trafic normal vers votre serveur et empêche les connexions DDoS de l’atteindre. Ils ont une capacité illimitée de 51 Tbps pour être submergés par une attaque DDoS.

Cloudflare a le plus grand nombre de notes «Élevées» par rapport aux six autres fournisseurs DDoS sur 23 critères d’évaluation dans le «Gartner 2020Comparaison des solutions pour les centres de nettoyage DDoS Cloud»Rapport, il est donc noté dans notre livre comme une bonne solution.

Pour en savoir plus sur les CDN, consultez notre guide sur le choix du meilleur CDN pour WordPress.

Ne manquez pas de protéger votre site WordPress contre une attaque DDoS

Comme vous pouvez le voir, les attaques DDoS peuvent être moins une menace avec les bonnes précautions en place. Des mesures simples peuvent aider à les éviter, comme un plugin de sécurité comme Défenseur, l’hébergement et un CDN comme Cloudflare.

Avec tous ces outils, vous ne manquerez pas de protection contre les attaques DDoS qu’un pirate tente de tenter sur votre site WordPress.

Et avec cet être #SecurityMonth vous pouvez actuellement obtenir 35% de réduction sur votre première année de notre pack Sécurité et sauvegardes avec Defender Pro, Snapshot Pro, Shipper Pro et Automate. Cliquez sur le coupon ci-dessous pour débloquer l’offre exclusive.

35% de réduction sur le pack sécurité et sauvegardes

Que la personne qui tente une attaque DDoS s’amuse ou essaie de vous ennuyer, arrêtez le chaos avant qu’il ne commence.

Pour plus de conseils de sécurité, consultez notre guide ultime de la sécurité WordPress et comment sécuriser facilement votre site WordPress gratuitement.