Comprendre les attaques DDoS : un guide pour les administrateurs WordPress

Un déni de service distribué (DDoS) est un type d'attaque par déni de service (DoS) dans lequel l'attaque provient de plusieurs hôtes au lieu d'un seul, ce qui les rend très difficiles à bloquer. Comme pour toute attaque DoS, l'objectif est de rendre une cible indisponible en la surchargeant d'une manière ou d'une autre.

Généralement, une attaque DDoS implique un certain nombre d'ordinateurs ou de bots. Lors de l'attaque, chaque ordinateur envoie de manière malveillante des requêtes pour surcharger la cible. Les cibles typiques sont les serveurs Web et les sites Web, y compris les sites Web WordPress. En conséquence, les utilisateurs ne peuvent pas accéder au site Web ou au service. Cela se produit parce que le serveur est obligé d'utiliser ses ressources pour gérer ces demandes exclusivement.

Il est important que les administrateurs WordPress comprennent et soient préparés aux attaques DDoS. Ils peuvent survenir à tout moment. Dans cet article, nous explorerons en profondeur les DDoS et vous fournirons quelques conseils pour vous aider à protéger votre site WordPress.

Le DDoS est une attaque visant à perturber et non un piratage

Il est important de comprendre qu'une attaque DDoS n'est pas un piratage WordPress malveillant au sens traditionnel du terme. Le piratage implique qu'un utilisateur non autorisé accède à un serveur ou à un site Web qu'il ne devrait pas avoir.

Un exemple de piratage traditionnel est lorsqu'un attaquant exploite une vulnérabilité dans le code, ou lorsqu'il utilise un renifleur de paquets pour voler les mots de passe WordPress. Une fois que le pirate a les informations d'identification, il peut voler des données ou contrôler le site Web.

DDoS sert un objectif différent et ne nécessite pas d'accès privilégié. DDoS vise simplement à perturber les opérations normales de la cible. Avec les hacks traditionnels, l'attaquant peut vouloir passer inaperçu pendant un certain temps. Avec DDoS, si l'attaquant réussit, vous le saurez presque immédiatement.

Différents types d'attaques par déni de service distribué

DDoS n'est pas qu'un seul type d'attaque. Il existe plusieurs variantes différentes et elles fonctionnent toutes un peu différemment sous le capot. Dans la catégorie DDoS, il existe plusieurs sous-catégories dans lesquelles les attaques peuvent être classées. Vous trouverez ci-dessous les plus courantes.

Attaques DDoS volumétriques

Les attaques DDoS volumétriques sont techniquement simples : les attaquants inondent une cible de demandes pour surcharger la capacité de la bande passante. Ces attaques ne ciblent pas WordPress directement. Au lieu de cela, ils ciblent le système d'exploitation et le serveur Web sous-jacents. Néanmoins, ces attaques sont très pertinentes pour les sites Web WordPress. Si les attaquants réussissent, votre site WordPress ne proposera pas de pages aux visiteurs légitimes pendant la durée de l'attaque.

Les attaques DDoS spécifiques qui entrent dans cette catégorie incluent :

• Amplification NTP
• Inondations UDP

Attaques DDoS de la couche application

Les attaques DDoS de la couche application se concentrent sur la couche 7, la couche application. Cela signifie qu'ils se concentrent sur votre serveur Web Apache ou NGINX et sur votre site Web WordPress. Les attaques de couche 7 en ont plus pour leur argent en ce qui concerne les dommages causés par rapport à la bande passante dépensée.

Pour comprendre pourquoi c'est le cas, passons en revue un exemple d'attaque DDoS sur l'API WordPress REST. L'attaque commence par une requête HTTP, comme un HTTP GET ou HTTP POST de l'une des machines hôtes. Cette requête HTTP utilise une quantité relativement insignifiante de ressources sur l'hôte. Cependant, sur le serveur cible, il peut déclencher plusieurs opérations. Par exemple, le serveur doit vérifier les informations d'identification, lire à partir de la base de données et renvoyer une page Web.

Dans ce cas, nous avons un grand écart entre la bande passante utilisée par l'attaquant et les ressources consommées par le serveur. Cette disparité est généralement exploitée lors d'une attaque. Les attaques DDoS spécifiques qui entrent dans cette catégorie incluent :

• Inondations HTTP
• Attaques de messages lents

Attaques DDoS basées sur le protocole

Les attaques DDoS basées sur le protocole suivent le même modèle d' épuisement des ressources que les autres attaques DDoS. Cependant, ils se concentrent généralement sur les couches réseau et transport, par opposition au service ou à l'application.

Ces attaques tentent de refuser le service en ciblant des appliances telles que des pare-feu ou la pile TCP\IP sous-jacente exécutée sur votre serveur. Ils exploitent les vulnérabilités dans la façon dont la pile réseau du serveur gère les paquets réseau ou le fonctionnement de la communication TCP. Voici des exemples d'attaques DDoS basées sur le protocole :

• Inondations syn
• Ping de la mort

Attaques DDoS multi-vecteurs

Comme vous vous en doutez, les attaquants ne se limitent pas à un seul type d'attaque. Il est de plus en plus courant que les attaques DDoS adoptent une approche multi-vecteur. Les attaques DDoS multi-vecteurs sont exactement ce à quoi vous vous attendez : des attaques DDoS qui utilisent plusieurs techniques pour mettre une cible hors ligne.

Comprendre la réflexion et l'amplification dans DDoS

Deux termes qui reviennent fréquemment avec les attaques DDoS sont la réflexion et l'amplification. Ces deux techniques sont utilisées par les attaquants pour rendre les attaques DDoS plus efficaces.

La réflexion est une technique dans laquelle l'attaquant envoie une requête avec une adresse IP usurpée à un ^serveur tiers. L'adresse IP usurpée est l'adresse de la cible. Au cours de ces types d'attaques, les attaquants utilisent généralement une variété de protocoles UDP. Voici comment cela fonctionne :

1. L'attaquant envoie une requête UDP avec l'adresse IP usurpée, disons l'IP de votre site WordPress à un grand nombre de serveurs appelés réflecteurs.
2. Les réflecteurs reçoivent la requête et répondent à l'IP de votre site WordPress en même temps.
3. Les réponses des réflecteurs inondent votre site WordPress, le surchargeant potentiellement et le rendant indisponible.

L'amplification fonctionne comme la réflexion. Bien qu'il nécessite moins de bande passante et de ressources, car les requêtes envoyées aux réflecteurs sont beaucoup plus petites que les réponses que les réflecteurs envoient à la cible. Cela fonctionne de manière similaire à ce que nous avons vu avec les attaques par déni de service distribué de la couche application.

Le rôle des botnets dans les attaques DDoS

Vous êtes-vous déjà demandé d'où les attaquants obtiennent les ressources nécessaires pour coordonner les attaques ?

La réponse est les botnets. Un botnet est un réseau ou des appareils qui ont été compromis par des logiciels malveillants. Il peut s'agir d'un PC, d'un serveur, d'un réseau ou d'un appareil intelligent. Le logiciel malveillant permet aux attaquants de contrôler à distance chaque hôte compromis individuel.

Lorsqu'ils sont utilisés pour DDoS, les botnets effectuent une attaque coordonnée par déni de service contre un hôte cible donné ou un groupe d'hôtes. En bref : les botnets permettent aux attaquants d'exploiter les ressources des ordinateurs infectés pour mener des attaques. Ce fut par exemple le cas lorsque plus de 20 000 sites WordPress ont été utilisés pour mener des attaques DDoS contre d'autres sites WordPress en 2018 (en savoir plus).

La motivation derrière les attaques par déni de service distribué

« Pourquoi les gens mènent-ils des attaques DDoS ? » est une bonne question à poser à ce stade. Nous avons examiné pourquoi un pirate informatique malveillant ciblait votre site WordPress dans le passé, mais un seul de ces points s'applique vraiment à DDoS : l'hactivisme. Si quelqu'un n'est pas d'accord avec votre point de vue, il peut vouloir faire taire votre voix. DDoS fournit un moyen de le faire.

Au-delà de l'hactivisme, la cyberguerre au niveau de l'État ou les attaques industrielles à motivation commerciale sont également des moteurs possibles de DDoS. Et les attaquants espiègles, les adolescents s'amusant et utilisant DDoS pour créer du chaos sont assez courants.

Bien sûr, l'un des principaux facteurs de motivation est l'argent. Les attaquants peuvent demander une rançon pour arrêter d'attaquer votre site Web WordPress. Il se pourrait qu'ils bénéficient commercialement si votre site est en panne. Pour aller plus loin, il y a eu des DDoS pour les services de location !

Exemples concrets de déni de service distribué

Quelle peut être la gravité des attaques par déni de service distribué ? Jetons un coup d'œil à quelques attaques DDoS célèbres de ces dernières années.

GitHub (deux fois !) : GitHub a subi une attaque par déni de service massive en 1015. Il semblait que les attaques visaient deux projets anti-censure sur la plate-forme. Les attaques ont affecté les performances et la disponibilité de GitHub pendant plusieurs jours.

Puis en 2018, GitHub a de nouveau été la cible d'une attaque DDoS. Cette fois, les attaquants ont utilisé une attaque basée sur le memcaching. Ils ont tiré parti des méthodes d'amplification et de réflexion. Malgré la taille de l'attaque, les attaquants n'ont fait tomber GitHub que pendant environ 10 minutes.

La nation estonienne : avril 2007 a marqué la première cyberattaque connue contre une nation entière. Peu de temps après que le gouvernement estonien a décidé de déplacer la statue du soldat de bronze du centre de Tallinn vers un cimetière militaire, des émeutes et des pillages ont eu lieu. Dans le même temps, les attaquants ont lancé un certain nombre d'attaques par déni de service distribué qui ont duré des semaines. Ils ont eu un impact sur les services bancaires en ligne, les médias et les services gouvernementaux du pays.

Dyn DNS : Le 21 octobre 2016, Dyn a subi une attaque DDoS à grande échelle. En raison de l'attaque, les services Dyn DNS n'ont pas pu résoudre les requêtes des utilisateurs. En conséquence, des milliers de sites Web à fort trafic, dont Airbnb, Amazon.com, CNN, Twitter, HBO et VISA, n'étaient pas disponibles. L'attaque a été coordonnée par un grand nombre d'appareils IoT, y compris des webcams et des babyphones.

Conseils WordPress pour se protéger contre les attaques DDoS

En tant qu'administrateur WordPress individuel, vous ne disposez pas des ressources et de l'infrastructure nécessaires pour repousser une attaque DDoS. Bien que de nombreux hébergeurs WordPress offrent une sorte d'atténuation des attaques DDoS. Renseignez-vous donc à ce sujet lorsque vous choisissez un fournisseur d'hébergement pour votre site Web WordPress. Vous pouvez également utiliser un pare-feu d'application WordPress / Web (WAF) et un réseau de diffusion de contenu (CDN) . Nous avons couplé les WAF et les CDN en une seule entrée car il existe des fournisseurs, comme Sucuri, qui les fournissent tous les deux dans une seule solution.

Lorsque vous utilisez un WAF ou un CDN, le trafic est d'abord acheminé et filtré par le service avant d'atteindre votre site Web. Cette configuration peut repousser de nombreuses attaques au col tout en limitant les dégâts des autres. Certains CDN offrent des avantages qui permettent la détection et la réponse aux attaques DDoS. Puisqu'ils peuvent bénéficier d'économies d'échelle dans le cloud, les CDN et les WAF en ligne peuvent décharger les attaques. Ils les redirigent vers des réseaux disposant d'une large bande passante et des bons outils pour les gérer.

Dissuader les pirates et les attaques DDoS

Cependant, comme on l'a vu avec le WordPress BruteForce Botnet, il existe plusieurs bonnes pratiques de sécurité que vous pouvez mettre en œuvre sur votre site Web WordPress afin qu'il n'attire pas l'attention des attaquants et éventuellement des attaques DDoS :

• Maintenez votre site WordPress à jour : en gardant à jour votre noyau WordPress, vos plugins, vos thèmes et tous les autres logiciels que vous utilisez, vous réduisez le risque qu'une vulnérabilité connue soit utilisée contre vous. Garder votre site à jour réduit également les chances qu'il fasse partie d'un botnet.
• Utilisez un scanner pour vérifier les vulnérabilités : certaines attaques DoS exploitent des problèmes comme Slowloris. Ceci et d'autres failles de sécurité peuvent être détectés par des scanners de vulnérabilité. Ainsi, lorsque vous analysez votre site Web et votre serveur Web, vous identifiez souvent les vulnérabilités que les attaques DDoS peuvent exploiter. Il existe une variété de scanners que vous pouvez utiliser. Nous utilisons le scanner de sécurité WPScan non intrusif pour les administrateurs WordPress.
• Examinez les journaux pour améliorer la sécurité et identifier les problèmes : les journaux d'audit WordPress et d'autres journaux peuvent aider à identifier très tôt les comportements malveillants. Grâce aux journaux, vous pouvez identifier les problèmes pouvant être causés par des attaques DDoS, comme des codes d'erreur HTTP spécifiques. Les journaux vous permettent également d'explorer et d'analyser la source d'une attaque. Il existe plusieurs fichiers journaux que les administrateurs WordPress peuvent utiliser pour mieux gérer et sécuriser leur site Web.
• Renforcer l'authentification des utilisateurs : c'est peut-être la dernière bonne pratique, mais elle est aussi importante que toutes les autres. Implémentez des politiques de mot de passe WordPress fortes pour vous assurer que les utilisateurs de votre site Web utilisent des mots de passe forts. En plus de cela, installez un plugin d'authentification à deux facteurs et implémentez des politiques pour rendre l'authentification à deux facteurs obligatoire.