Geekflare est soutenu par notre public. Nous pouvons gagner des commissions d'affiliation en achetant des liens sur ce site.
Partager sur:

Comment protéger WordPress contre les attaques DDoS?

ddos
Scanner de sécurité des applications Web Invicti – la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Tout le travail acharné que vous mettez sur votre site Web WordPress pourrait disparaître en une seconde si vous ne prenez aucune mesure pour le protéger des attaques DDoS.

Tous les sites Web accessibles au public sont vulnérables Les attaques DDoS, et les sites basés sur WordPress ne font pas exception. Heureusement, WordPress est une plate-forme très flexible et prend donc en charge des mesures de protection efficaces contre les attaques. C'est juste une question de prévention: pour repousser une attaque ou pour atténuer ses effets; vous devez agir avant que cela ne se produise.

Qu'est-ce qu'une attaque DDoS?

Abréviation de Distributed Denial of Service, un Attaque DDoS est une action agressive coordonnée menée par un réseau d'ordinateurs ou d'appareils compromis (un botnet) qui envoie massivement des données ou demande des données à un serveur (la cible). Le flot de requêtes submerge la capacité du serveur, le ralentit ou le fait planter par manque de ressources.

Les dommages potentiels d'une attaque DDoS

Si votre site Web devient la cible d'une attaque DDoS, de nombreuses mauvaises choses peuvent lui arriver.

Par exemple :

  • L'expérience de vos visiteurs pourrait être affectée. Au mieux, les réponses du site peuvent devenir lentes 🦥; au pire, l'ensemble du site sera en panne et inaccessible.
  • Si votre site Web est une boutique en ligne, vous pouvez perdre des ventes, et s'il ne sert que du contenu, vos visiteurs peuvent aller ailleurs pour obtenir ce qu'ils veulent.
  • La réputation de votre site Web peut sérieusement baisser 📉, à la fois en termes de réputation de marque perçue (c'est-à-dire que votre entreprise n'est pas considérée comme sérieuse) et en termes d'autorité, de pertinence et de confiance, qui sont les piliers de tout Stratégie de référencement.
  • Il vous en coûtera pour réparer les dommages. Le coût dépendra de la durée de l'attaque, et il est difficile à calculer car vous devez prendre en compte de nombreux effets secondaires, tels que les efforts de support client pour répondre aux réclamations des utilisateurs concernant une interruption de service ou l'embauche d'un service de sécurité pour nettoyer votre site Web.

Qui sont les victimes des attaques DDoS?

Tout site Web, quelle que soit sa taille ou son volume, peut être la cible d'une attaque DDoS.

ressources d'atténuation ddos

Sites Web avec exposés vulnérabilités sont les cibles les plus faciles, mais une attaque peut être orchestrée volontairement contre un site Web particulier. L'attaque peut être menée pour des raisons idéologiques (une pratique appelée hacktivisme); par exemple, pour discréditer un site qui promeut certaines idées politiques ou religieuses. Ou pour faire chanter le propriétaire du site Web et demander une rançon. Ou cela peut simplement être le passe-temps d'un groupe de personnes connaissant la technologie qui veulent montrer leurs compétences.

Une attaque peut aussi être embauché: une entreprise paie un groupe de hackers pour attaquer spécifiquement ses concurrents. Quelle que soit la raison, l'essentiel est que tout propriétaire de site Web doit prendre des précautions pour éviter qu'une attaque DDoS n'endommage son site. Ce n'est ni difficile ni coûteux, il n'y a donc pas de vraies raisons de ne pas le faire.

Comment protéger votre WordPress des attaques DDoS?

Les deux mesures de sécurité nécessaires que vous devez prendre pour protéger votre site WordPress contre les attaques DDoS:

  • Obtenez une bonne solution de sauvegarde WordPress.
  • Commencez à utiliser une solution de sécurité anti-DDoS économique basée sur le cloud.

Les solution de sauvegarde est quelque chose que vous devez avoir pour de nombreuses raisons, pas seulement pour la protection DDoS. Il existe de nombreuses solutions de sauvegarde gratuites et payantes dans le catalogue de plugins WordPress, nous n'allons donc pas approfondir ce sujet pour le moment. Après une attaque, si votre site Web est endommagé, le restaurer avec une sauvegarde sûre est un moyen rapide de le rétablir.

En termes de solutions de sécurité anti-DDoS, vous devez vous demander quelle tranquillité d'esprit vous souhaitez et combien d'argent vous souhaitez payer. Si vous ne voulez rien payer, vous devrez vous occuper de plusieurs choses par vous-même.

Approche DIY 🧰

L'un des avantages de WordPress est qu'il possède une architecture ouverte qui permet aux applications tierces de s'intégrer et d'interagir avec lui. Ceci est réalisé avec plusieurs API (Application Programming Interface) disponibles pour les programmeurs. Le problème est que ces API pourraient être exploitées par une attaque DDoS pour envoyer un flot de requêtes. Alors, la première chose à faire: désactiver une API exploitable appelée XML-RPC.

Vous n'avez besoin de XML-RPC que si votre site Web WordPress interagit avec des applications tierces externes, telles que l'application WordPress sur les appareils mobiles. Si vous pouvez vous en passer, vous feriez mieux de désactiver XML-RPC. Cela peut être fait simplement en éditant votre site Web .htaccess fichier pour refuser l'accès au programme xmlrpc.php. Ou, si vous pensez qu'il n'est pas sûr de modifier vous-même les fichiers internes de votre site Web, vous pouvez obtenir un plugin qui fait le travail pour vous.

Plugins anti-DDoS

Il existe quelques plugins de sécurité WordPress qui corrigent d'autres vulnérabilités WordPress.

Protection contre les attaques DDoS - ce plugin résout les problèmes de performances causés par la force brute et les attaques DDoS. En effectuant toutes les vérifications via le fichier .htaccess, il arrête les requêtes malveillantes au niveau du serveur Web, avant qu'elles ne puissent atteindre le site WordPress.

Il corrige également la vulnérabilité XML-RPC et ses options de configuration offrent aux utilisateurs de Cloudflare la possibilité de refuser l'accès aux visiteurs de pays spécifiques.

Solutions anti-DDoS-1

Désactiver l'API WP REST - l'API WordPress REST est une autre vulnérabilité exploitable du CMS populaire. Heureusement, cette vulnérabilité peut être facilement corrigée avec ce plugin ultra léger. Il n'utilise que 22 lignes de code - moins de 2 Ko - et fonctionne en désactivant l'API WP REST pour les visiteurs non connectés à WordPress. Après son installation et son activation, si des visiteurs déconnectés font des requêtes JSON / REST sur votre site Web, ils recevront un message indiquant que l'API REST est limitée aux utilisateurs authentifiés.

Désactiver le pingback XML-RPC - avec plus de 80,000 4.5 installations et une note de XNUMX étoiles; ce plugin élimine toutes les méthodes exploitables de l'interface XML-RPC. En outre, il supprime X-Pingback des en-têtes HTTP, ce qui empêche les bots d'atteindre le fichier xmlrpc.php.

Suites de sécurité

Si vous voulez complètement oublier les DDoS et autres problèmes de sécurité pour mettre tous vos efforts dans votre entreprise, alors vous voulez une solution qui couvre toutes les bases.

Une telle solution doit inclure:

  • Un pare-feu d'application Web. Le pare-feu se situe entre votre site Web et Internet, détectant le trafic hostile et le bloquant.
  • Un package antivirus de site Web. Il doit analyser périodiquement et automatiquement votre site Web pour détecter toute trace de malware et le supprimer.
  • Analyse du serveur pour les hacks non infectieux, tels que les bannières publicitaires de sites inconnus.
  • Audit / surveillance du site pour détecter toute activité suspecte, telle que les modifications de fichiers, les nouveaux messages, les nouveaux utilisateurs, les tentatives de connexion infructueuses, etc.

Explorons les solutions suivantes qui offrent une sécurité complète du site WordPress.

Sucuri

Sucuri est une société de sécurité Web renommée avec une grande expérience dans les sites Web WordPress.

Au moment où vous activez Sucuri sur votre site, ils installent un pare-feu proxy cloud entre votre site Web et Internet, filtrant tout le trafic dirigé vers votre serveur d'hébergement. Le pare-feu permet uniquement aux visiteurs légitimes d'accéder à votre site Web WordPress. Comme effet secondaire, votre site Web aura une réponse plus rapide, grâce au cloud Sucuri, et vous pourriez économiser de l'argent sur l'hébergement en réduisant le volume de trafic que votre serveur doit gérer.

Sucuri-protection-DDoS-e1598528938389

La solution complète Sucuri ajoute au mélange un package antivirus qui analyse et surveille régulièrement votre site Web pour le protéger de toutes sortes de logiciels malveillants: extraits de code JavaScript malveillants, redirections suspectes, injections de code, etc.

Il vérifie également que votre site ne reçoit pas sur la liste noire par des services d'évaluation de la réputation. En parcourant le journal d'audit du site, vous serez informé de tout ce qui se passe sur votre site Web WordPress, y compris les nouveaux utilisateurs, les tentatives de connexion infructueuses, les modifications de fichiers, etc.

Les plans de tarification de Sucuri commencent autour de 199 $ par an pour un service de base - ce qui n'est pas si basique, car il ne manque que quelques goodies axés sur l'entreprise. Les fonctionnalités incluses justifient plus que le prix, mais si cela ne suffit pas pour vous convaincre, sachez qu'elles offrent également un service de nettoyage des logiciels malveillants, ainsi que la suppression de la liste noire.

Si votre site Web est protégé, il est peu probable que vous ayez jamais besoin de ce service, mais sachez qu'un expert en sécurité pourrait facilement vous facturer 250 $ l'heure pour supprimer une infection malveillante de votre site.

Astra Security

Astra Security est l'une des principales solutions de sécurité WordPress. Le pare-feu intelligent de point final d'Astra s'installe de manière transparente sur votre site Web et fournit protection en temps réel contre les attaques DDoS de couche 7 et plus de 100 types d'autres attaques. Ce pare-feu équipé d'une intelligence d'apprentissage automatique identifie les attaques connues, le comportement des bots et les demandes malveillantes et évolue à chaque nouveau type d'attaque. Actif 24 * 7, le pare-feu Astra protège votre site Web sans faute.

De plus, le pare-feu Astra fonctionne parfaitement bien sur votre propre serveur sans nécessiter de changement DNS d'aucune sorte.

astra-ddos

Mais ce n'est pas tout. Le package Astra Security a beaucoup plus à offrir. Chaque package de sécurité est livré avec le WAF, le scanner de logiciels malveillants, le bloqueur de pays et d'IP, et plusieurs autres fonctionnalités utiles.

Démarrer avec Astra Security est facile et l'ensemble du processus prend moins de 15 minutes. Voilà comment cela fonctionne:

  • Installez le plugin Astra Security à partir du référentiel WordPress
  • Créer un compte, choisissez un plan et inscrivez-vous
  • Enfin, cliquez sur `` Se connecter à Astra '' depuis votre backend WP

Cela connecterait votre backend WP au tableau de bord Astra, qui ressemblerait à ceci:

astra-stop-ddos

Cloudflare

Cloudflare utilise son énorme CDN (réseau de distribution de contenu) pour protéger votre site Web WordPress contre les attaques DDoS, ce qui rend votre site plus rapide, en plus de le sécuriser. Avec plus de 200 centres de données répartis dans le monde, le CDN est suffisamment grand pour absorber et dévier même les attaques les plus puissantes, vous n'avez donc pas à vous soucier de la saturation de sa capacité d'atténuation.

Cloudflare-Advanced-DDoS-Protection

Une approche d'atténuation proactive permet à Cloudflare d'anticiper les attaques en tirant parti de l'intelligence partagée, organisée à partir de l'analyse comportementale des signatures et des adresses IP sur plus de 20 millions de sites Web. La protection détecte et bloque les attaques des couches 3, 4 et 7 à la périphérie, les empêchant d'atteindre votre site Web.

En outre, tous les ports TCP de votre infrastructure sont protégés, en utilisant Spectrum pour proxy le trafic via le centre de données de Cloudflare.

Le service est gratuit pour les particuliers et les petits sites Web (non critiques pour les entreprises). Le plan gratuit comprend l'atténuation des attaques DDoS, le CDN global et la prise en charge par e-mail. Les plans payants commencent à 20 $ par mois, ajoutant un pare-feu d'application Web, des analyses de cache, une optimisation mobile, entre autres avantages.

Pour les sites Web critiques pour l'entreprise, le plan d'entreprise ajoute une assistance par chat / téléphone 24x7x365, un SLA de disponibilité à 100%, une assistance d'ingénieur de solutions, entre autres avantages.

StackPath

Un réseau mondial d'une capacité totale de 65 Tbps permet StackPath's solution pour atténuer les attaques DDoS les plus importantes et les plus sophistiquées, en traitant l'ensemble des méthodes d'attaque, y compris les inondations HTTP, SYN et UDP. La plate-forme de StackPath collecte et analyse des informations sur les attaques DDoS tout au long de ses emplacements périphériques, ce qui lui permet de bloquer toutes les tentatives malveillantes, quelle que soit leur origine.

Pour protéger votre site Web WordPress sur la couche réseau, le réseau mondial StackPath utilise un équipement réseau qui protège contre les attaques DDoS des couches 3 et 4 sur l'appareil. Pendant ce temps, un smart Firewall d'applications Web atténue les attaques DDoS sophistiquées de couche 7 en moins d'une seconde en utilisant des techniques de validation JavaScript uniques qui détectent et bloquent les bots automatisés et en fournissant des outils avancés pour configurer les seuils DDoS en fonction de vos besoins spécifiques.

La protection DDoS de StackPath fait partie d'une suite de services de périphérie qui commence à 20 $ par mois et comprend CDN, WAF (pare-feu d'application Web), DNS et des services de surveillance. Ces quatre services peuvent être loués individuellement, au coût de 10 $ par mois chacun. Tarifs échelonnés en fonction du volume; par exemple, si vous avez besoin d'un CDN de 100 To / mois et d'un WAF de 50 millions / mois de demandes, vous devrez payer 2000 $ par mois.

Pas d'excuses!

Si votre site Web diminue, ou est mis sur liste noire, ou perd sa réputation, ne donnez pas d'excuse. Vous avez toutes les ressources à portée de main pour éviter qu'une catastrophe ne ruine votre site WordPress bien-aimé. Si vous ne l'avez pas déjà fait, agissez et faites quelque chose avant qu'il ne soit trop tard.

Merci à nos commanditaires
Plus de bonnes lectures sur la sécurité
Alimentez votre entreprise
Certains des outils et services pour aider votre entreprise à se développer.
  • Invicti utilise Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.
    Essayez Brightdata
  • Semrush est une solution de marketing numérique tout-en-un avec plus de 50 outils de référencement, de médias sociaux et de marketing de contenu.
    Essayez Semrush
  • Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.
    Essayez Intruder