Comment prévenir les attaques DDoS dans WordPress

Publié: 2020-08-18

Avec la pandémie qui bat son plein dans de nombreux pays et l'explosion des commerces en ligne, les attaques numériques deviennent de plus en plus fréquentes et menaçantes. Certaines des plus courantes et des plus dangereuses sont les attaques DDoS . Dans ce guide, nous vous montrerons comment empêcher les attaques DDoS sur votre site WordPress .

Que sont les attaques DDoS ?

Avant de vous lancer dans la prévention des attaques DDoS (Distributed Denial of Service), commençons par comprendre ce qu'elles sont. En termes simples , une attaque DDoS est un type d'attaque par déni de service (DoS) qui implique de nombreux appareils en ligne connectés que les pirates utilisent pour submerger les serveurs d'un site Web avec un faux trafic .

Dans les attaques DDoS, ces machines et serveurs connectés lancent des attaques séparément mais en même temps, leur permettant de passer inaperçus pendant un certain temps avant d'être bloqués. Avec cette tactique, ils peuvent facilement intensifier l'impact de ces attaques, ralentir et finalement planter le serveur qu'ils visent.

Une chose intéressante à propos des attaques DDoS est qu'elles n'essaient pas de pénétrer et d'accéder directement à votre serveur . Au lieu de cela, ils visent à faire planter le site Web et les serveurs pendant un certain temps afin que les utilisateurs ne puissent pas y accéder. Cependant, les attaques DDoS peuvent être utilisées comme couverture pour violer la sécurité du serveur.

Alors que se passe-t-il si vous êtes victime d'une attaque DDoS ? Si des pirates ont réussi à planter votre serveur, vous pourriez avoir des problèmes. Cela peut vous coûter des milliers de dollars pour récupérer votre système, sans parler d'autres dépenses comme la bande passante. Plus important encore, l'attaque aura des répercussions sur votre trafic, votre réputation et vos résultats de vente.

Les attaques DDoS sont-elles courantes ?

Oui, ils sont. En fait, les attaques DDoS deviennent de plus en plus courantes. Selon des études récentes, il y a actuellement 16 attaques DDoS toutes les 60 secondes ! Et rien qu'en 2019, il y a eu plus de 8,4 millions d'attaques DDoS dans le monde.

Pour éviter tous ces problèmes, il est de la plus haute importance de prévenir les attaques DDoS sur votre site WordPress . Dans ce guide, nous vous montrerons ce qu'il faut faire pour les éviter et assurer la sécurité de votre site Web.

Comment prévenir les attaques DDoS dans WordPress

Voici quelques idées pour prévenir les attaques DDoS dans WordPress et éviter que les pirates n'affectent votre site.

  1. Bloquer l'accès à wp-login.php
  2. Activer un WAF
  3. Superviser le trafic du site Web
  4. Restreindre l'accès à la zone wp-admin
  5. Activer le blocage de pays
  6. Désactiver l'API d'attaque DDoS
    1. API RPC XML
    2. API REST
  7. Mettez régulièrement à jour WordPress

1. Bloquer l'accès à wp-login.php

Le fichier wp-login.php est l'un des chemins les plus courants que les pirates utilisent pour les attaques DDoS dans WordPress. Par exemple, chez QuadLayers, nous bloquons l'accès aux fichiers wp-login.php plus de 250 fois par jour !

Si vous utilisez un service comme Cloudflare, vous pouvez vérifier combien de fois quelqu'un a essayé d'accéder à vos fichiers wp-login.php . Et vous serez surpris de voir à quel point ce nombre est élevé. Bloquer l'accès à ces fichiers est l'un des meilleurs moyens de prévenir les attaques DDoS dans WordPress.

La plupart des services de sécurité offrent différentes options pour bloquer l'accès à wp-login.php . Nous utilisons Cloudflare, nous allons donc vous montrer comment bloquer les attaques contre les fichiers wp-login.php avec ce service. Le plan gratuit de Cloudflare vous permet de définir jusqu'à 5 règles afin que vous puissiez le faire sans dépenser d'argent.

Dans le tableau de bord, accédez à Pare-feu > Règles de pare-feu > Créer une règle de pare-feu . Donnez un nom à la règle et remplissez les blancs avec les informations suivantes :

Comment prévenir les attaques DDoS dans WordPress - Wp-admin.php

  • Champ : Chemin URI
  • Opérateur : contient
  • Valeur : /wp-login.php

Vous pouvez également copier et coller le code suivant dans la section Aperçu de l'expression :

 (http.request.uri.path contient "/wp-login.php")

Cliquez sur le bouton Enregistrer et vous êtes prêt.

 2. Activer un WAF
 WAF est l'abréviation de Web Application Firewall et constitue une autre couche de protection pour votre site Web. Il protège votre site contre le trafic dangereux en utilisant un algorithme intelligent pour identifier et bloquer les requêtes apparemment malveillantes. De cette façon, cela vous permet de ne recevoir que du bon trafic.
		


 Il existe de nombreuses solutions WAF parmi lesquelles choisir. Avant de décider lequel vous allez utiliser, vérifiez si la protection est adaptée à votre site ainsi que le prix et la facilité d'utilisation. Après en avoir utilisé quelques-uns au fil des ans, nous recommandons vivement Sucuri. Il a un plugin gratuit et quelques plans pro qui commencent à 199 USD par an pour un seul site. Cloudflare est également un excellent choix. Il propose un plugin gratuit et des plans pro avec atténuation des attaques DDoS pour 20 USD par mois.
 De plus, nous vous recommandons de suivre quelques conseils de sécurité pour améliorer la protection globale de votre site contre tous les types de logiciels malveillants.
		


 3. Superviser le trafic du site Web
 Une forte augmentation du trafic ne signifie pas nécessairement de bonnes nouvelles. Bien que pas toujours, les attaques DDoS se présentent généralement sous la forme d'une énorme quantité de trafic. Ces attaques volumétriques sont basées sur le réseau et sont parfois confondues avec de nouveaux visiteurs. Si vous voyez des tonnes de nouveaux visiteurs venir sur votre site Web, vérifiez s'il s'agit de nouveaux utilisateurs ou de quelqu'un qui essaie de supprimer votre site.
 La meilleure solution pour cela est d'installer des outils de surveillance et de les faire vérifier vos journaux et vous alerter si le nombre de demandes/visiteurs augmente soudainement. De cette façon, vous empêcherez les attaques DDoS sur votre site WordPress.
		


 Pour faire la différence entre les nouveaux visiteurs et les attaques DDoS, vous voudrez peut-être prêter attention à :
  •  Source de trafic : votre trafic provient-il de la région que vous ciblez ? Si vous ciblez des clients locaux, par exemple, mais que vous recevez un énorme trafic de l'étranger, il se passe quelque chose de bizarre.
  •  Heure de la circulation : si vous êtes témoin d'une augmentation du nombre de visites à 3 h 00, heure locale, il peut également s'agir d'attaques.
  •  Les caractéristiques de votre entreprise : Tenez également compte de votre type d'entreprise. Si vous vendez des maillots de bain et des vêtements de plage, par exemple, une vague de visiteurs pendant l'été est normale.
 Veuillez noter que les robots Google et autres robots d'exploration des moteurs de recherche envoient parfois des requêtes suspectes à votre site Web. Faites attention à la différence entre eux pour vous assurer que vous bloquerez les attaques DDoS, pas les bots.
		


 4. Restreindre l'accès à la zone wp-admin
 Vous devriez être le seul à pouvoir accéder à la zone wp-admin car c'est là que vous contrôlez toutes les activités les plus importantes de WordPress. Cependant, lorsque vous restreignez l'accès à la zone wp-admin , assurez-vous de ne pas inclure certains fichiers tels que /wp-admin/admin-ajax.php et /wp-admin/theme-editor.php qui sont utilisés par les plugins et les thèmes qui besoin d'accéder à la zone wp-admin de l'extérieur. De plus, vous pouvez exclure votre adresse IP et le moment où le référent provient de votre site Web.
 Si vous utilisez un service de sécurité, cela ne devrait pas être difficile à configurer. Dans notre cas, voici comment nous avons procédé avec Cloudflare :
		


 Dans le tableau de bord, accédez à Pare-feu > Règles de pare-feu > Créer une règle de pare-feu . Après avoir nommé la règle, remplissez les blancs avec les informations suivantes : 
Comment prévenir les attaques DDoS dans WordPress - Zone WP-admin
  •  Champ : chemin URI
  •  Opérateur : contient
  •  Valeur : /wp-admin/
 [ET]
  •  Champ : chemin URI
  •  Opérateur : ne contient pas
  •  Valeur : /wp-admin/admin-ajax.php
 [ET]
  •  Champ : chemin URI
  •  Opérateur : ne contient pas
  •  Valeur : /wp-admin/theme-editor.php
 [ET]
  •  Champ : Référent
  •  Opérateur : ne contient pas
  •  Valeur : quadlayers.com
 [ET]
  •  Champ : Adresse IP
  •  Opérateur : ne contient pas
  •  Valeur : 182.189.59.210
 Sinon, vous pouvez simplement cliquer sur Modifier l'expression et coller le code suivant :
 (http.request.uri.path contient "/wp-admin/" et non http.request.uri.path contient "/wp-admin/admin-ajax.php" et non http.request.uri.path contient "/ wp-admin/theme-editor.php" et non http.referer contient "quadlayers.com" et ip.src ne 182.189.59.210)
 5. Activer le blocage de pays
 Semblable à un pare-feu de site Web, le blocage de pays est un type de blocage géographique qui sert à minimiser le risque d'attaque de votre site Web. Bien que les propriétaires de sites ne puissent pas exclure la possibilité d'attaques DDoS par le seul blocage de pays, il est courant de renforcer la protection contre les attaques tout en respectant les politiques organisationnelles. Étant donné qu'un grand nombre de cyberattaques sont venues de quelques pays ces derniers temps, vous pourriez envisager de les empêcher d'interagir avec votre site Web.
 En tant que l'un des plugins de sécurité permettant un blocage facile des pays, Sucuri est un excellent choix pour cela.
 6. Désactiver les API d'attaque DDoS
 Le principe de cette méthode est de désactiver plusieurs API afin que les pirates ne puissent pas les utiliser pour lancer des attaques sur votre site WordPress. Normalement, ces API sont les passerelles pour les plugins et services tiers à intégrer dans un site Web. Cependant, les pirates les exploitent souvent pour lancer des attaques DDoS ou par force brute.
 Il existe deux API que vous devriez envisager de désactiver :
 6.1) API RPC XML
 Cette API aide les applications tierces à interagir avec votre site, en particulier pour utiliser l'application WordPress sur votre téléphone mobile. La mauvaise nouvelle est qu'il s'agit de l' une des cibles d'attaques DDoS les plus courantes . Ainsi, si la plupart de vos utilisateurs n'utilisent pas la version mobile de WordPress, vous pouvez envisager de désactiver cette API pour empêcher les attaques DDoS.
 Pour désactiver l'API XML RPC et bloquer toutes ses requêtes, ajoutez simplement le code suivant au fichier .htaccess de votre site Web.
 # Bloquer toutes les requêtes WordPress xmlrpc.php
<Fichiers xmlrpc.php>
ordre refuser, autoriser
refuser de tous
</Fichiers>
 6.2) API REST
 Une autre API qui peut être désactivée pour empêcher les attaques DDoS dans WordPress est l'API REST. Cette API permet aux plugins et outils tiers d'accéder aux données WordPress ainsi que de modifier et de supprimer du contenu. Le moyen le plus simple de désactiver cette API est de télécharger le plugin gratuit Disable WP Rest API.
 Après l'avoir téléchargé, activez-le et vous êtes prêt. L'outil fonctionnera immédiatement et désactivera l'API REST pour tous les utilisateurs non connectés sans autre configuration.
 7. Mettez régulièrement à jour WordPress
 La mise à jour régulière de WordPress n'empêche pas seulement les attaques DDoS, elle protège également votre site Web contre de nombreux autres types d'attaques et de piratages. C'est pourquoi vous devez mettre à jour régulièrement :
  1.  Installation, thèmes et plugins WordPress
  2.  Version PHP sur le serveur
  3.  Apache, MySQL et système d'exploitation
  4.  Tout autre script et logiciel
 Que faire si vous subissez une attaque DDoS dans WordPress ?
 Même si vous pouvez vous préparer à l'avance et essayer d'empêcher les attaques DDoS dans WordPress, que devez-vous faire si vous êtes attaqué ? Voici les réponses immédiates que vous devez effectuer lors d'une attaque DDoS :
 1. Informez votre équipe
 Travailler ensemble en cas de crise vous donnera le plus grand pouvoir. En cas d'attaque DDoS, assurez-vous d'alerter les membres de votre équipe afin qu'ils soient au courant de ce qui se passe et puissent vous aider avec des contre-mesures.
 2. Informez vos clients
 Ceci est particulièrement important si le site Web attaqué est une boutique WooCommerce, car les clients ne pourront pas se connecter à leur compte ou acheter des produits pendant cette période. Ne donner aucune annonce ni explication à un moment aussi critique pourrait nuire à votre réputation. Nous vous recommandons donc de les informer par e-mail ou via les réseaux sociaux que votre site subit des erreurs techniques et sera bientôt de nouveau en ligne.
 3. Contactez votre fournisseur d'hébergement et de sécurité
 Après avoir alerté vos collègues et vos clients, contactez également votre fournisseur d'hébergement WordPress. Comme les attaquants pourraient cibler leurs systèmes, il est préférable qu'ils le sachent et ils peuvent même vous aider dans la situation. En plus de cela, entrer en contact avec votre fournisseur de sécurité à ce stade est crucial. Comme la gestion des attaques fait partie de leur profession, ils peuvent vous aider à formuler des contre-mesures meilleures et plus rapides.
 4. Mettre en œuvre les réponses
 Si vous avez des contre-mesures prêtes à être déployées, c'est à ce moment-là qu'elles viennent à la rescousse. Normalement, les contre-mesures fonctionneront dès que les attaques se produiront. C'est mieux si vous le préparez à l'avance. Cependant, si vous n'avez pas préparé de solution de sécurité spécialisée, demandez à votre fournisseur de sécurité car la plupart d'entre eux proposent des réponses d'urgence.
 5. Évaluer les performances des contre-mesures
 N'oubliez pas d'évaluer les performances des contre-mesures car elles sont également en cours ! Sont-ils efficaces ? Ou les attaquants sont-ils en train de gagner ? De cette façon, vous pouvez ajuster vos réponses si une autre attaque venait à votre rencontre. Espérons que ce ne sera pas le cas, mais mieux vaut prévenir que guérir.
 Conclusion
 Dans l'ensemble, les attaques DDoS sont très fréquentes de nos jours. Plus votre site Web WordPress grandit, plus il devient attrayant pour les pirates. Cependant, vous pouvez prévenir et vous préparer à ces attaques en mettant en œuvre des mesures préventives. Les étapes mentionnées ci-dessus vous aideront non seulement à prévenir les attaques DDoS dans WordPress, mais également à protéger votre site Web contre les attaques en général.
 Mais que se passe-t-il si vous êtes déjà attaqué ? Ne paniquez pas. Suivez les recommandations mentionnées ci-dessus pour essayer de réduire les problèmes et de rendre votre site opérationnel dès que possible. Vous souhaitez renforcer davantage la sécurité de votre site ? Découvrez nos conseils de sécurité !
 Avez-vous d'autres tactiques utiles pour prévenir les attaques DDoS ? S'il vous plaît partagez-le avec nous dans la section des commentaires ci-dessous!