Attaque WordPress DDoS – Comment protéger votre site Web

La prévalence des attaques WordPress DDoS a causé une perte de revenus importante à de nombreuses petites entreprises qui dépendent du trafic en ligne pour générer des revenus.

Les attaques DDoS constituent une grave menace pour les sites Web, quelle que soit leur taille. Par conséquent, il est essentiel de mettre en œuvre toutes les mesures de sécurité appropriées pour protéger votre site Web.

Dans cet article, nous allons explorer comment les attaques WordPress DDoS peuvent nuire à votre site . Ensuite, nous vous fournirons des conseils pratiques pour les empêcher de se produire.

Contenu:

• Qu'est-ce qu'une attaque DDoS ?
• Comment les attaques DDoS peuvent affecter les sites Web WordPress
• Conseils pour protéger votre site Web WordPress contre les attaques DDoS
  • 1. Activer l'authentification à deux facteurs (2FA)
  • 2. Utilisez un pare-feu d'application Web (WAF)
  • 3. Utilisez le CDN de Cloudflare
  • 4. Désactiver l'API REST dans WordPress
  • 5. Gardez votre logiciel WordPress et vos plugins à jour
  • 6. Surveillez le trafic de votre site Web
• Questions fréquemment posées
• Conclusion

Qu'est-ce qu'une attaque DDoS ?

Une attaque par déni de service distribué (DDoS) est un type de cyberattaque qui tente de submerger un site Web ou un serveur avec un trafic malveillant afin de perturber son fonctionnement régulier. Ces attaques peuvent se produire sur n'importe quel site Web, y compris les sites alimentés par WordPress.

Comment les attaques DDoS peuvent affecter les sites Web WordPress

Les conséquences d'une attaque DDoS sur les sites Web WordPress sont importantes, en particulier pour les sites Web des petites entreprises. En effet, ils peuvent ne pas disposer de l'infrastructure nécessaire pour combattre de telles attaques. Si une attaque DDoS cible avec succès un site Web, il peut devenir indisponible pour les utilisateurs, ce qui entraîne une interruption du site Web.

En 2016, Internet a été frappé par l'une des plus importantes attaques par déni de service. DYN, un fournisseur de services DNS, a été ciblé dans l'attaque. Cela a affecté de nombreux sites populaires tels que Netflix, Reddit, PayPal, Visa et autres. En conséquence, de nombreux internautes en Europe et en Amérique du Nord ont été touchés.

Les attaques DDoS ont de nombreux impacts sur les propriétaires de sites Web et les internautes. Certains des dommages que les attaques DDoS peuvent causer à votre site Web sont les suivants.

Temps d'indisponibilité du site Web

L'une des conséquences les plus importantes d'une attaque DDoS est que le site Web ciblé peut devenir indisponible pour les utilisateurs. Cela peut être frustrant pour les utilisateurs, qui peuvent avoir besoin d'aide pour accéder au site Web ou utiliser ses services.

Perte de trafic et de revenus

Si un site Web WordPress est indisponible en raison d'une attaque DDoS, cela peut entraîner une perte de trafic et de revenus. Par exemple, lors de l'attaque DYN en octobre 2016, Sony a signalé une perte totale de 2,7 millions de dollars. C'est énorme, étant donné que l'attaque n'a duré que deux heures.

Atteinte à la réputation

De plus, les utilisateurs peuvent perdre confiance en votre marque si votre site Web est victime d'une attaque DDoS. Cela peut affecter la réputation de votre site Web, car les moteurs de recherche peuvent également mettre votre site Web sur liste noire.

Coût de l'atténuation

La défense contre une attaque DDoS peut être coûteuse car elle nécessite des ressources spécialisées et une expertise technique.

Perte de données

Une étude réalisée par Kaspersky en 2015 a révélé que 26 % des sites Web victimes d'attaques DDoS subissent également une perte de données. Les attaques DDoS servent souvent de couverture à d'autres cyberattaques, telles que les attaques par force brute.

Conseils pour protéger votre site Web WordPress contre les attaques DDoS

Les attaques DDoS sont devenues une menace sérieuse pour les propriétaires de sites Web. Et même les sites Web les mieux financés ne sont pas à l'abri de telles attaques. Techniquement, aucun site Web n'est à l'abri des attaques DDoS. Cependant, vous pouvez mettre en œuvre des mesures pour arrêter et prévenir les attaques DDoS.

Voici quelques conseils de protection WordPress DDoS que vous pouvez mettre en œuvre pour protéger votre site Web.

1. Activer l'authentification à deux facteurs (2FA)

L'authentification à deux facteurs (2FA) est une mesure de sécurité qui oblige les utilisateurs à fournir une couche d'authentification supplémentaire avant d'accéder à des pages sensibles telles que la page d'administration WP.

Cela peut aider à protéger contre l'accès non autorisé au site Web, les attaques par force brute et les attaques DDoS.

Par exemple, vous pouvez demander aux utilisateurs de fournir un code à usage unique envoyé sur leur téléphone ou par e-mail avant de se connecter à votre site Web.

Vous pouvez mettre en place une authentification à deux facteurs (2FA) sur WordPress à l'aide du plugin MiniOrange Google Authenticator.

Pour installer MiniOrange Authenticator, connectez-vous à votre tableau de bord WordPress et allez dansPlugins >> Ajouter un nouveau .Dans le champ de recherche, tapez "MiniOrange Google Authenticator". Le plugin doit apparaître dans les résultats de la recherche, comme indiqué ci-dessous.

Ensuite, cliquez sur le boutonInstaller maintenant à côté du nom du plugin pour installer le plugin sur votre site Web.Une fois que vous avez installé le plugin, le bouton deviendra "Activer". Cliquez dessus pour activer le plugin.

Configuration de l'authentificateur Google MiniOrange

Après avoir activé le plugin, vous devrez le connecter à l'application Google Authenticator sur un appareil mobile. Ceci est nécessaire pour terminer l'activation de 2FA sur votre site.

Pour commencer, cliquez surCommençons .

Ensuite, choisissez l'optionUtilisateurs qui doivent configurer 2FA en premier après la connexion .De cette façon, tous les utilisateurs seront obligés de configurer 2FA avant de se connecter. Cliquez surContinuer la configuration pour continuer.

Vous pouvez activer le 2FA pour tous les utilisateurs ou seulement certains rôles spécifiques (par exemple, administrateur et éditeurs). Ceci est utile si vous souhaitez exclure des utilisateurs tels que des auteurs. Pour ce tutoriel, nous allons activer 2FA pour les administrateurs uniquement.

Sélectionnez l'optionUniquement pour des rôles spécifiques , puis cochez la case Administrateur. Après cela, cliquez surContinuer la configuration pour continuer.

Ensuite, choisissez d'implémenter 2FA immédiatement ou d'accorder aux utilisateurs un délai de grâce. Cliquez surTerminé pour continuer.

Maintenant, vous devrez sélectionner la méthode d'authentification que vous souhaitez configurer. Choisissez l'optionGoogle / Microsoft / Authy Authenticator et cliquez sur le bouton Enregistrer et continuer.

Ensuite, sélectionnezConfigurer 2FA pour vous-même pour passer à l'étape suivante du processus de configuration.

Connecter MiniOrnage avec Google Mobile Authenticator

Google Authenticator est l'application d'authentification préférée pour ce processus. C'est parce qu'il est le plus populaire et disponible sur les appareils Android et iOS.

La première étape consistera à télécharger l'application Google Authentication à partir du Play Store ou de l'Apple Store.

Après avoir installé l'application, vous devriez voir une page de menu avec deux options :Scannez un code QR et entrez une clé de configuration.

Sélectionnez l'option de code QR et scannez le code-barres QR affiché sur votre site Web comme celui ci-dessous.

Une fois l'analyse terminée, saisissez le code à six chiffres généré à partir de l'application d'authentification dans le champ désigné.

Confirmez la saisie en sélectionnant l'optionEnregistrer et continuer .

C'est ça! Vous avez activé avec succès 2FA sur votre site Web avec MiniOrange Google 2FA.

Vous ne pouvez pas scanner le code QR dans MiniOrange ?

Si vous ne parvenez pas à scanner le code QR fourni, voici ce que vous devez faire :

Tout d'abord, cliquez sur Impossible de scanner le code-barres ?Cela générera une clé pour configurer 2FA dans l'application d'authentification Google.

Ouvrez l'application Google Authenticator sur votre téléphone et sélectionnez l'optionEntrer une clé de configuration .Ensuite, collez la clé de 16 caractères générée par MiniOrange 2FA.

Entrez un nom d'application et un type de compte, puis cliquez sur ajouter. Il générera ensuite un code à 6 chiffres que vous pourrez utiliser pour terminer le processus sur WordPress. Une fois terminé, cliquez surEnregistrer et continuer pour continuer.

Ensuite, vous verrez un message indiquant l'état de votre configuration.

Pour tester cela, déconnectez-vous de votre site WordPress et essayez de vous connecter. Sur la page de connexion, vous devrez saisir un mot de passe à usage unique à 6 chiffres généré à partir de l'application d'authentification sur votre téléphone à chaque tentative de connexion. .

2. Utilisez un pare-feu d'application Web (WAF)

Un pare-feu d'application Web (WAF) est une mesure de sécurité qui peut protéger un site Web contre diverses menaces, y compris les attaques DDoS.

Les WAF analysent le trafic entrant et bloquent les requêtes malveillantes avant qu'elles n'atteignent les serveurs du site Web. Cela peut aider à empêcher les attaques WordPress DDoS de submerger l'infrastructure du site Web et de le faire planter.

Le moyen le plus simple d'ajouter WAF à votre site Web consiste à utiliser un plug-in de pare-feu. Heureusement, certains plugins de sécurité et anti-DDoS WordPress, tels que Wordfence Security, sont fournis avec une protection par pare-feu.

Ci-dessous, nous allons installer et activer Wordfence sur un site WordPress.

Installer et activer Wordfence

Pour installer Wordfence, connectez-vous à votre tableau de bord d'administration WordPress, puis accédez à Plugins >> Ajouter un nouveau. Localisez la barre de recherche dans le coin supérieur droit et tapez "Wordfence" pour rechercher le plugin.

Cliquez sur le boutonInstaller maintenant à côté du plugin Wordfence Security pour l'installer sur votre site.Activez le plugin une fois l'installation terminée.

Après avoir activé WordFence, vous devrez obtenir une clé de licence pour qu'il fonctionne. Cliquez sur le boutonObtenez votre licence WordFence sur la page suivante pour commencer la suite.

Ensuite, sélectionnez le plan gratuit pour tester les fonctionnalités et cliquez sur"Je suis d'accord pour attendre 30 jours " pour continuer.

Vous pouvez passer à un plan payant plus tard si vous avez le budget. Cependant, le plan gratuit vous fournit toutes les fonctionnalités essentielles dont vous aurez besoin pour protéger votre site Web.

Ensuite, entrez votre adresse e-mail, acceptez les termes et conditions, puis cliquez sur S'inscrire .

Vous devriez recevoir un e-mail d'activation de Wordfence. Ouvrez votre e-mail et cliquez sur le lien d'activation.

Après cela, il vous redirigera vers votre tableau de bord WordPress. Ici, vous devrez cliquer sur le boutonInstaller la licence pour activer votre site.Avec cela, Wordfence travaille maintenant activement sur votre site Web.

Pour vérifier si WAF est activé et fonctionne, localisezWordfence à partir de votre tableau de bord WordPress et cliquez sur le lien Gérer le pare-feu.

Vous devriez voir une section sur l'écran suivant affichant l'état du WAF. Si l'état WAF est actif et que les pourcentages sont affichés, cela confirme que le WAF est activé et fonctionnel.

L'installation du plugin Wordfence sur votre site Web vous apportera les avantages suivants :

• Prévention des injections SQL
• Limitation de l'attaque brutale
• Protection contre les scripts intersites

3. Utilisez le CDN de Cloudflare

Cloudflare est un fournisseur de CDN populaire qui améliore les performances de votre site Web et vous protège des cyberattaques telles que les attaques DDoS.

Cloudflare peut absoudre les attaques DDoS à grande échelle et filtrer les sources de trafic pour détecter si des demandes spécifiques proviennent d'un attaquant.

Ci-dessous, nous vous guiderons à travers les étapes nécessaires pour activer les services de Cloudfare sur votre site Web.

Obtenir un compte Cloudflare

Au préalable, assurez-vous d'avoir d'abord accès au tableau de bord d'administration de votre bureau d'enregistrement de domaine. Vous en aurez besoin pour autoriser Cloudflare à accéder à vos paramètres DNS.

La première étape consiste à créer un compte Cloudflare. Pour ce faire, visitez la page d'inscription de Cloudflare. Ensuite, entrez votre e-mail, choisissez un mot de passe et cliquez surCréer un compte .

Ajouter votre site Web à Cloudflare

Votre compte Cloudflare est prêt. Cependant, vous devez terminer la configuration en ajoutant votre site. Après vous être connecté à votre compte, cliquez sur le boutonAjouter un site pour ajouter votre site Web.

Saisissez votre nom de domaine (par exemple, exemple.com) et cliquez surAjouter un site pour continuer.

Ensuite, sélectionnez un plan Cloudflare approprié. Cela dépend des fonctionnalités que vous souhaitez. Cependant, un plan gratuit suffit pour vous fournir la protection de base dont vous avez besoin. Sélectionnez le plan gratuit et cliquez surContinuer pour continuer.

Sur la page suivante, vous verrez une liste des enregistrements existants. Vous pouvez les consulter pour vous assurer qu'ils sont corrects.

Remarque : Il n'est pas conseillé d'apporter des modifications à vos enregistrements DNS à ce stade.

Si vous avez examiné les enregistrements et êtes satisfait, cliquez sur Continuer pour continuer.

L'étape suivante consiste à faire pointer vos serveurs de noms de domaine vers Cloudflare. Ceci est important pour terminer le processus d'activation et permettre à Cloudflare de protéger votre site.

Vous devrez remplacer les serveurs de noms existants sur votre registraire de domaine.

Ensuite, copiez les nouveaux serveurs de noms fournis par Cloudflare pour remplacer ceux que vous avez supprimés sur votre hébergeur de domaine.

Les étapes pour changer de serveur de noms diffèrent d'une société d'hébergement à l'autre. Veuillez contacter votre fournisseur d'hébergement Web si vous ne savez pas du tout comment localiser les paramètres des serveurs de noms. Cependant, nous vous montrerons comment procéder dans Namecheap.

Mise à jour des serveurs de noms Namecheap

Tout d'abord, connectez-vous à votre compte et cliquez surDomain List .

Sur la page du domaine, localisez le domaine que vous souhaitez modifier et cliquez surGérer .

Ensuite, cliquez sur le menu déroulantServeurs de noms et sélectionnez DNS personnalisé.

Dans les zones de saisie, entrez les deux serveurs de noms fournis par Cloudflare et cliquez sur la coche pour enregistrer vos modifications.

Vous pouvez maintenant retourner sur Cloudflare pour vérifier les modifications du serveur de noms en cliquant surTerminé, vérifier les serveurs de noms .

Remarque : la modification de vos serveurs de noms peut prendre jusqu'à 48 heures pour se propager.

La protection DDoS de Cloudflare

Cloudflare activera automatiquement la protection DDoS sur votre site après avoir ajouté votre site Web à Cloudflare.

Malgré cela, il est conseillé de mettre en place des mesures supplémentaires pour protéger votre site. En fonction du risque auquel votre site Web est confronté, vous pouvez mettre en œuvre des paramètres supplémentaires pour mieux protéger votre site.

Laissez-nous vous montrer deux paramètres essentiels à mettre en œuvre pour protéger votre site Web contre les attaques DDoS.

Créer un remplacement DDos personnalisé

Vous pouvez personnaliser le comportement de la protection DDoS par défaut de Cloudflare en déployant un remplacement DDoS personnalisé.

Pour utiliser cette option, connectez-vous à votre compte Cloudflare. Ensuite, sélectionnez votre site Web pour vous déplacer dans sa zone.

Ensuite, accédez àSécurité >> DDoS dans le menu de gauche.Cliquez sur Déployer unremplacement DDoSpour continuer.

Sur la page suivante, ajoutez un nom pour votre remplacement. Après cela, modifiez l'action de l'ensemble de règles surDéfi géré et définissez la sensibilité sur FaibleouMoyenneen fonction des risques auxquels vous êtes confronté. Après cela, faites défiler vers le bas et cliquez surEnregistrer .

La mise en œuvre de cette stratégie aidera à filtrer le trafic nuisible provenant d'une source DDoS. Il utilise des ensembles de défis gérés présentés aux utilisateurs par Cloudflare.

Activer le mode de combat de bot

Une autre approche que vous pouvez adopter pour protéger votre site contre les attaques DDoS consiste à activer le mode Bot Fight. Le mode de combat contre les robots permet de détecter et d'empêcher le trafic de robots connu d'accéder à votre site.

Pour activer le mode Bot Fight, accédez àSécurité >> Bots et basculez l'option de mode de combat de bot sur la position activée.

Cloudflare vous fournit tous les outils dont vous avez besoin pour protéger votre site Web contre les attaques DDoS. Les conseils ci-dessus devraient protéger votre site de la plupart des attaques DDoS si vous les suivez correctement.

4. Désactiver l'API REST dans WordPress

L'API WordPress REST est une fonctionnalité de WordPress qui permet aux développeurs d'accéder et de manipuler les données WordPress à l'aide de requêtes HTTP. Parfois, l'API REST peut être utilisée comme vecteur d'attaques DDoS.

Vous pouvez désactiver l'API WP REST en utilisant plusieurs méthodes dans WordPress. Cependant, la méthode la plus simple consiste à utiliser des extraits de code du plugin WPCode.

Vous devrez installer et activer le plugin sur votre site WordPress.

Après avoir activé le plugin, allez dansCode Snippets >> + Add Snippet.

Sur la page suivante, tapez "rest api" dans le champ de recherche. Désactiver l'API Rest devrait maintenant apparaître dans les résultats de la recherche.

Ensuite, cliquez surUse Snippet pour passer à l'étape suivante.

Enfin, basculez le bouton "inactif" sur "actif" pour activer le code. Une fois terminé, cliquez surMettre à jour pour enregistrer vos modifications.

L'API REST est maintenant désactivée sur votre site Web. Étant donné que les API sont des points vulnérables de votre site WordPress que les attaquants peuvent exploiter, la désactivation de l'API REST vous protège des attaques DDoS qui exploitent ces points faibles de l'API.

5. Gardez votre logiciel WordPress et vos plugins à jour

La mise à jour des thèmes et des plugins WordPress est un autre moyen de protéger votre site Web contre les attaques DDoS et d'améliorer la sécurité du site Web. Les mises à jour du logiciel et des plug-ins permettent de garantir que le site Web utilise la version la plus sécurisée du logiciel.

Dans WordPress, la plupart des mises à jour incluent généralement des correctifs pour les vulnérabilités que les attaquants DDoS pourraient exploiter.

Pour mettre à jour vos plugins WordPress, connectez-vous à votre WordPress et accédez àTableau de bord >> Mises à jour.

Sur la page des mises à jour, vous verrez tous les plugins qui doivent être mis à jour sur votre site. Cochez la case Sélectionner tout pour marquer tous les plugins.Ensuite, faites défiler vers le bas et cliquez surMettre à jour les plugins .

Vérifiez et mettez également à jour vos thèmes WordPress.

Pendant que vous y êtes, assurez-vous d'utiliser la dernière version de WordPress.

6. Surveillez le trafic de votre site Web et surveillez les pics inhabituels

En tant que propriétaire de site Web, vous devez immédiatement prendre des mesures pour prévenir les attaques et rétablir les opérations normales si vous soupçonnez une attaque.

Cela peut inclure la recherche de l'assistance d'un expert en sécurité ou la mise en œuvre de mesures de sécurité supplémentaires. Par exemple, vous pouvez utiliser des plugins de sécurité tels que Wordfence pour surveiller votre trafic en cas d'activité inhabituelle.

Si vous avez mis en œuvre la deuxième astuce de ce didacticiel, vous devez avoir installé le plug-in Wordfence Security sur votre site Web.

Pour accéder à la fonction de gestion du trafic, cliquez sur le menu latéralde Wordfence .Ensuite, cliquez surGérer le pare-feu pour continuer.

Après cela, faites défiler jusqu'au bouton pour localiser la section "Rate Limiting".

Ensuite, activez la fonction de blocage avancé Rate Limiting pour l'activer.

Sur la page de configuration de la limitation du débit, vous pouvez activer diverses méthodes de contrôle du trafic pour aider à sécuriser votre site WordPress contre le trafic indésirable et réduire la charge sur les ressources du serveur.

Par exemple, vous pouvez établir une limite de demandes, en régulant le nombre de demandes qu'un utilisateur particulier peut effectuer.

La fonction de limitation de débit de Wordfence vous permet de contrôler les robots d'exploration et les vues de pages humaines. Vous pouvez également l'utiliser pour limiter les pics de trafic inhabituels sur les sites WordPress. Bien que Wordfence puisse être personnalisé davantage pour améliorer la sécurité de WordPress , vous devez éviter de bloquer le trafic légitime.

Attaque DDoS WordPress (FAQ)

Ci-dessous, nous avons répondu à certaines des principales questions que les utilisateurs posent sur la protection de leur site WordPress contre les attaques DDoS.

WordPress a-t-il une protection DDoS ?

WordPress n'a pas de protection DDoS par défaut. Cependant, vous pouvez mettre en place certaines mesures pour protéger votre site WordPress des attaques DDoS. Celles-ci peuvent inclure : l'utilisation de services tiers tels que Cloudflare ou l'installation de plug-ins de sécurité tels que Wordfence.

Comment les attaquants DDoS attaquent-ils un site Web ?

Les attaquants déploient des attaques DDoS sur WordPress en inondant le site cible de plusieurs requêtes. Ceux-ci visent à rendre plus difficile l'accès au site pour les utilisateurs légitimes.

Conclusion – WordPress DDoS

En résumé, la protection de votre site Web WordPress contre les attaques DDoS est essentielle, car les attaques sur votre site Web peuvent affecter négativement votre entreprise.

Heureusement, nous avons fourni quelques étapes dans cet article que vous pouvez suivre pour sécuriser votre site WordPress contre les attaques DDoS.

Si vous êtes confus au sujet d'une étape, veuillez nous en informer dans la section des commentaires ci-dessous ou contactez nos experts pour obtenir des conseils supplémentaires.