Tout le travail que vous avez effectué sur votre site web WordPress peut disparaître en une seconde si vous ne prenez pas de mesures pour le protéger contre les attaques DDoS.
Tous les sites web accessibles au public sont vulnérables aux attaques DDoS, et les sites basés sur WordPress ne font pas exception. Heureusement, WordPress est une plateforme très flexible qui permet de prendre des mesures de protection efficaces contre les attaques. Il s’agit simplement d’une question de prévention : pour repousser une attaque ou en atténuer les effets, vous devez agir avant qu’elle ne se produise.
Qu’est-ce qu’une attaque DDoS ?
Abréviation de “Distributed Denial of Service” (déni de service distribué), une attaque DDoS est une action agressive coordonnée menée par un réseau d’ordinateurs ou de dispositifs compromis (un botnet) qui envoie massivement des données à un serveur (la cible) ou lui en demande. L’afflux de demandes dépasse la capacité du serveur, le ralentissant ou le faisant tomber en panne en raison d’un manque de ressources.
Les dommages potentiels d’une attaque DDoS
Si votre site web devient la cible d’une attaque DDoS, il peut lui arriver beaucoup de mal.
Par exemple :
- L’expérience de vos visiteurs peut être affectée négativement. Au mieux, les réponses du site peuvent devenir lentes 🦥 ; au pire, le site entier sera hors service et inaccessible.
- Si votre site web est une boutique en ligne, vous pouvez perdre des ventes, et s’il ne sert qu’à diffuser du contenu, vos visiteurs risquent d’aller ailleurs pour obtenir ce qu’ils veulent.
- La réputation de votre site web peut sérieusement chuter 📉, à la fois en termes de réputation de marque perçue (c’est-à-dire que votre entreprise est considérée comme n’étant pas sérieuse) et en termes d’autorité, de pertinence et de confiance, qui sont les piliers de toute stratégie de référencement.
- La réparation des dommages vous coûtera cher. Le coût dépendra de la durée de l’attaque et il est difficile à calculer car vous devez prendre en compte de nombreux effets secondaires, tels que les efforts du service clientèle pour répondre aux réclamations des utilisateurs concernant l’interruption du service, ou l’embauche d’un service de sécurité pour nettoyer votre site web.
Qui sont les victimes des attaques DDoS ?
Tout site web, quelle que soit sa taille ou son volume, peut être la cible d’une attaque DDoS.
Les sites web dont les vulnérabilités sont exposées sont les cibles les plus faciles, mais une attaque peut être orchestrée à dessein contre n’importe quel site web. L’attaque peut être menée pour des raisons idéologiques (pratique appelée hacktivisme) ; par exemple, pour discréditer un site qui promeut certaines idées politiques ou religieuses. Elle peut aussi avoir pour but de faire chanter le propriétaire du site et de lui demander une rançon. Il peut aussi s’agir d’un simple passe-temps d’un groupe de personnes douées pour la technologie qui veulent montrer leurs compétences.
Une attaque peut également être commanditée: une entreprise paie un groupe de pirates pour qu’ils s’attaquent spécifiquement à ses concurrents. Quelle que soit la raison, l’essentiel est que tout propriétaire de site web prenne des précautions pour éviter qu’une attaque DDoS n’endommage son site. Ce n’est ni difficile ni coûteux, il n’y a donc aucune raison de ne pas le faire.
Comment protéger votre site WordPress des attaques DDoS ?
Les deux mesures de sécurité nécessaires que vous devez prendre pour protéger votre site WordPress contre les attaques DDoS :
- Obtenez une bonne solution de sauvegarde pour WordPress.
- Commencez à utiliser une solution de sécurité anti-DDoS rentable et basée sur le cloud.
La solution de sauvegarde est indispensable pour de nombreuses raisons, et pas seulement pour la protection contre les attaques DDoS. Il existe de nombreuses solutions de sauvegarde gratuites et payantes dans le catalogue de plugins WordPress, c’est pourquoi nous ne nous attarderons pas sur ce sujet pour le moment. Après une attaque, si votre site web est endommagé, le restaurer à l’aide d’une sauvegarde sûre est un moyen rapide de revenir à la normale.
En ce qui concerne les solutions de sécurité anti-DDoS, vous devez vous demander quel degré de tranquillité d’esprit vous souhaitez obtenir et combien d’argent vous voulez payer pour cela. Si vous ne voulez rien payer, vous devrez vous occuper vous-même de certaines choses.
Bricolage 🧰 approche
L’une des grandes qualités de WordPress est qu’il possède une architecture ouverte qui permet à des applications tierces de s’y intégrer et d’interagir avec lui. Pour ce faire, plusieurs API (interfaces de programmation d’applications) sont à la disposition des programmeurs. Le problème est que ces API peuvent être exploitées par une attaque DDoS pour envoyer un flot de requêtes. La première chose à faire est donc de désactiver une API exploitable appelée XML-RPC.
Vous n’avez besoin de XML-RPC que si votre site web WordPress interagit avec des applications tierces externes, telles que l’application WordPress sur les appareils mobiles. Si vous pouvez vous en passer, il est préférable de désactiver XML-RPC. Pour ce faire, il vous suffit de modifier le fichier .htaccess
de votre site web afin d’interdire l’accès au programme xmlrpc.php. Ou, si vous pensez qu’il n’est pas prudent de modifier vous-même les fichiers internes de votre site web, vous pouvez vous procurer un plugin qui fera le travail à votre place.
Plugins anti-DDoS
Il existe quelques plugins de sécurité WordPress qui corrigent d’autres vulnérabilités de WordPress.
Protection Against DDoS – ce plugin s’attaque aux problèmes de performance causés par les attaques par force brute et les attaques DDoS. En effectuant toutes les vérifications via le fichier .htaccess, il arrête les requêtes malveillantes au niveau du serveur web, avant qu’elles n’atteignent le site WordPress.
Il corrige également la vulnérabilité XML-RPC, et ses options de configuration offrent aux utilisateurs de Cloudflare la possibilité de refuser l’accès aux visiteurs de certains pays.
Désactivez l’API REST de WP – l’API REST de WordPress est une autre vulnérabilité exploitable du célèbre CMS. Heureusement, cette vulnérabilité peut être facilement corrigée grâce à ce plugin ultra-léger. Il n’utilise que 22 lignes de code – moins de 2 Ko – et fonctionne en désactivant l’API REST de WP pour les visiteurs qui ne sont pas connectés à WordPress. Après l’avoir installé et activé, si des visiteurs déconnectés effectuent des requêtes JSON/REST sur votre site web, ils recevront un message leur indiquant que l’API REST est réservée aux utilisateurs authentifiés.
Disable XML-RPC Pingback – avec plus de 80 000 installations et une note de 4,5 étoiles, ce plugin élimine toutes les méthodes exploitables de l’interface XML-RPC. Il supprime également X-Pingback des en-têtes HTTP, ce qui empêche les robots d’atteindre le fichier xmlrpc.php.
Suites de sécurité
Si vous souhaitez oublier complètement les DDoS et autres problèmes de sécurité pour consacrer tous vos efforts à votre entreprise, vous avez besoin d’une solution qui couvre toutes les bases.
Une telle solution doit inclure :
- Un pare-feu d’application web. Le pare-feu s’interpose entre votre site web et l’internet, détectant le trafic hostile et le bloquant.
- Un logiciel antivirus pour site web. Il doit analyser périodiquement et automatiquement votre site web afin de détecter toute trace de logiciel malveillant et de le supprimer.
- Une analyse du serveur pour détecter les piratages non infectieux, tels que les bannières publicitaires provenant de sites inconnus.
- Audit/surveillance du site pour détecter toute activité suspecte, comme les modifications de fichiers, les nouveaux messages, les nouveaux utilisateurs, les tentatives de connexion infructueuses, etc.
Explorons les solutions suivantes qui offrent une sécurité complète pour les sites WordPress.
Sucuri
Sucuri est une société de sécurité web renommée qui possède une grande expérience des sites web WordPress.
Dès que vous activez Sucuri sur votre site, ils installent un pare-feu proxy entre votre site web et l’internet, filtrant tout le trafic dirigé vers votre serveur d’hébergement. Le pare-feu ne permet qu’aux visiteurs légitimes d’accéder à votre site WordPress. Comme effet secondaire, votre site web aura une réponse plus rapide, grâce au nuage de Sucuri, et vous pourriez économiser de l’argent d’hébergement en réduisant le volume de trafic que votre serveur doit gérer.
La solution complète Sucuri ajoute au mélange un paquet antivirus qui scanne et surveille votre site web régulièrement pour le garder libre de toutes sortes de logiciels malveillants : snippets JavaScript malveillants, redirections suspectes, injections de code, etc.
Il vérifie également que votre site ne figure pas sur la liste noire des services d’évaluation de la réputation. En consultant le journal d’audit du site, vous serez informé de tout ce qui se passe sur votre site WordPress, y compris les nouveaux utilisateurs, les tentatives de connexion infructueuses, les modifications de fichiers, etc.
Les plans tarifaires de Sucuri commencent aux alentours de 199 $ par an pour un service de base – qui n’est pas si basique que cela, puisqu’il ne manque que quelques fonctionnalités orientées vers les entreprises. Les fonctionnalités incluses justifient largement le prix, mais si cela ne suffit pas à vous convaincre, sachez que Sucuri propose également un service de nettoyage des logiciels malveillants, ainsi que la suppression des listes noires.
Si votre site web est protégé, il est peu probable que vous ayez besoin de ce service, mais sachez qu’un expert en sécurité pourrait facilement vous facturer 250 $ de l’heure pour supprimer une infection de votre site par un logiciel malveillant.
Astra Security
Astra Security est l’une des principales solutions de sécurité pour WordPress. Le pare-feu intelligent d’Astra s’installe de manière transparente sur votre site web et offre une protection en temps réel contre les attaques DDoS de niveau 7 et une centaine d’autres types d’attaques. Ce pare-feu doté d’une intelligence d’apprentissage automatique identifie les attaques connues, le comportement des robots et les requêtes malveillantes et évolue avec chaque nouveau type d’attaque. Actif 24h/24 et 7j/7, le pare-feu Astra protège votre site web sans faille.
De plus, le pare-feu Astra fonctionne parfaitement sur votre propre serveur sans nécessiter un quelconque changement de DNS.
Mais ce n’est pas tout. Le pack Astra Security a beaucoup plus à offrir. Chaque pack de sécurité est livré avec un WAF, un scanner de logiciels malveillants, un bloqueur de pays et d’adresses IP, ainsi que plusieurs autres fonctionnalités utiles.
L’installation d’Astra Security est très simple et prend moins de 15 minutes. Voici comment cela fonctionne :
- Installez le plugin Astra Security à partir du référentiel WordPress
- Créez un compte, choisissez une formule et inscrivez-vous
- Enfin, cliquez sur ‘Connect to Astra’ depuis votre backend WP
Cela connectera votre backend WP au tableau de bord Astra, qui ressemblera à ceci :
Cloudflare
Cloudflare utilise son énorme CDN (réseau de distribution de contenu) pour protéger votre site WordPress des attaques DDoS, ce qui rend votre site plus rapide, tout en le sécurisant. Avec plus de 200 centres de données répartis dans le monde entier, le CDN est suffisamment grand pour absorber et dévier les attaques les plus puissantes, de sorte que vous n’avez pas à vous inquiéter de voir sa capacité d’atténuation débordée.
Une approche proactive de l’atténuation permet à Cloudflare d’anticiper les attaques en tirant parti de l’intelligence partagée, issue de l’analyse comportementale des signatures et des adresses IP de plus de 20 millions de sites web. La protection détecte et bloque les attaques des couches 3, 4 et 7 à la périphérie, les empêchant ainsi d’atteindre votre site web.
De plus, tous les ports TCP de votre infrastructure sont protégés, en utilisant Spectrum pour faire passer le trafic par le centre de données de Cloudflare.
Le service est gratuit pour les particuliers et les petits sites web (non critiques pour l’entreprise). Le plan gratuit comprend l’atténuation des attaques DDoS, le CDN mondial et l’assistance par courrier électronique. Les plans payants commencent à 20 $ par mois et ajoutent un pare-feu d’application web, l’analyse du cache, l’optimisation mobile, parmi d’autres avantages.
Pour les sites web critiques, le plan entreprise ajoute une assistance par téléphone ou par chat 24 heures sur 24, 7 jours sur 7, un accord de niveau de service (SLA) de 100 %, l’assistance d’un ingénieur en solutions, entre autres avantages.
Pas d’excuse !
Si votre site web tombe en panne, est mis sur liste noire ou perd sa réputation, ne donnez pas d’excuse. Vous avez toutes les ressources à portée de main pour éviter qu’un désastre ne ruine votre site WordPress bien-aimé. Si vous ne l’avez pas encore fait, agissez et faites quelque chose avant qu’il ne soit trop tard.