Plan de protection WordPress DDoS en 6 étapes pour prévenir une attaque

Publié: 2020-02-20

Mustafiz / stock.adobe.com

Habituellement, une augmentation du trafic Web est un résultat souhaitable pour votre marque. Cependant, vous ne vous attendez peut-être pas à ce que votre site soit soudainement inondé par des milliers de requêtes simultanées , provoquant son crash. Malheureusement, c'est exactement ce qui se produit lors d'une attaque par déni de service distribué ou « DDoS » sur un site WordPress .

Empêcher une attaque DDoS sur le site WordPress

Heureusement, comme la plupart des menaces de cybersécurité, vous pouvez prendre certaines mesures pour minimiser les risques d’attaque DDoS sur votre site WordPress. La mise en œuvre d'un plan de protection peut aider à arrêter et à empêcher les criminels sur Internet de paralyser votre activité en ligne.

Dans cet article, nous expliquerons ce que sont les attaques DDoS et comment elles fonctionnent. Ensuite, nous vous fournirons un plan de protection WordPress DDoS en six étapes que vous pourrez utiliser pour vous aider à prévenir une attaque sur votre site. Commençons!

Dans cet article

  • Qu'est-ce qu'une attaque DDoS ?
  • L’importance de créer un plan de protection WordPress DDoS
  • Comment prévenir une attaque DDoS sur votre site WordPress (6 conseils clés)
  • Emballer
Notre équipe chez WP Buffs s'associe à des propriétaires de sites, des agences et des indépendants pour surveiller et verrouiller les sites WordPress 24h/24 et 7j/7. Que vous ayez besoin de sécuriser un site Web ou 1 000 sites clients, nous sommes là pour vous aider.

Qu'est-ce qu'une attaque DDoS ?

Une attaque DDoS fait référence à un problème de sécurité dans lequel un site est inondé de fausses requêtes sur une courte période, généralement via l'utilisation de robots. Les visites proviennent de plusieurs sources et l'intention est de submerger le site Web cible et de le faire planter .

Des milliers de demandes peuvent avoir lieu en un instant. Prenons l'exemple de l'attaque DDoS contre Imperva en 2019, au cours de laquelle son réseau a été touché par 580 millions de paquets par seconde (PPS) .

Cette augmentation inattendue et soudaine de faux embouteillages paralyse le site, le rendant indisponible et vulnérable . Ces attaques peuvent viser un site Web individuel ou un réseau entier.

Les types d’attaques DDoS les plus courants se répartissent en trois catégories :

  • Basé sur le volume : repose sur la réplication d’un pic de trafic massif.
  • Protocole : exploite les ressources du serveur pour faire planter le site ou le réseau cible.
  • Application : attaque plus sophistiquée ciblant une application Web.

Il existe différentes méthodes et motivations pour commettre ce type d’agression. Les pirates peuvent exécuter une attaque DDoS pour augmenter la vulnérabilité de votre site Web WordPress. Cela peut constituer une distraction efficace qui facilite l’infiltration de votre site sans être détecté.

Mais le plus souvent, le but est surtout de casser le site ciblé . Par exemple, quelqu’un pourrait mener une attaque DDoS contre un concurrent . Bien qu'il s'agisse d'une mesure malveillante et extrême, elle n'est pas rare, surtout si l'on considère l'impact négatif que les temps d'arrêt peuvent avoir sur une entreprise.

L’importance de créer un plan de protection WordPress DDoS

Les effets d'une attaque DDoS peuvent être dévastateurs pour votre entreprise. Une grande partie des dommages qui en résultent sont le résultat d' un temps d'arrêt prolongé et inattendu .

Si votre site n'est pas disponible pendant une période prolongée, vous risquez très probablement de perdre une partie de votre activité. Les clients ne pourront pas accéder à votre site et pourront voir une erreur 502 Bad Gateway . Cela signifie que vous manquez des ventes en ligne ou d'autres conversions de prospects.

Une indisponibilité prolongée peut également nuire à votre classement dans l'optimisation des moteurs de recherche (SEO) . Avec une visibilité réduite, vous devrez travailler plus dur pour attirer des prospects tout en reconstruisant la crédibilité de votre site.

De plus, une attaque DDoS peut entraîner des problèmes d'hébergement . Cela est particulièrement vrai si vous disposez d'un forfait partagé, car ce type de faille de sécurité peut affecter non seulement votre site, mais également les autres sites de votre serveur.

De plus, comme nous l'avons mentionné précédemment, un incident DDoS peut augmenter la vulnérabilité de votre site à d'autres types d'attaques . Pendant que vous êtes distrait en essayant de remettre votre site en ligne, votre attention est détournée de vos systèmes de sécurité . Cela peut faciliter l’infiltration des pirates informatiques sans que vous vous en rendiez compte.

Se remettre d'une attaque peut nécessiter beaucoup de temps et d'argent . Bien que vous ne puissiez pas nécessairement empêcher quelqu'un de mener une attaque DDoS sur votre site WordPress, vous pouvez prendre des mesures pour minimiser les dommages qui pourraient survenir si vous en êtes victime.

[bctt tweet=” L’établissement d’un plan de protection DDoS WordPress solide aide à protéger les actifs critiques de votre entreprise. #WordPress" nom d'utilisateur = "thewpbuffs"]

Comment prévenir une attaque DDoS sur votre site WordPress (6 conseils clés)

Il existe diverses méthodes que vous pouvez utiliser pour protéger votre site WordPress , telles que l'utilisation de plugins de sécurité et la désactivation de certaines fonctionnalités. Avec le bon plan de protection, vous pouvez améliorer votre capacité à rebondir après une attaque DDoS. Dans cette section, nous examinerons six conseils pour en prévenir un.

  1. Désactivez XMLR RPC et l'API REST dans WordPress
  2. Installez un pare-feu d'application Web (WAF) sur votre site
  3. Choisissez un fournisseur d'hébergement sécurisé
  4. Utiliser un réseau de diffusion de contenu (CDN)
  5. Téléchargez un plugin de protection WordPress DDoS
  6. Faites de la maintenance et de la surveillance de WordPress une priorité

1. Désactivez XML RPC et l'API REST dans WordPress

Depuis la sortie de WordPress version 3.5, vous avez la possibilité d' activer XML-RPC par défaut. Cette fonctionnalité est utile pour les pingbacks et les rétroliens.

Cependant, ce n’est pas une nécessité pour la plupart des sites. Ce n'est vraiment nécessaire que si vous comptez sur des applications mobiles pour gérer votre site WordPress.

XML-RPC est facile à compromettre, ce qui signifie qu'il expose des vulnérabilités que les pirates peuvent exploiter lors d'attaques DDoS. Nous vous recommandons donc de le désactiver.

Vous pouvez y parvenir en modifiant votre fichier .htaccess . Ouvrez-le soit via le gestionnaire de fichiers de votre compte d'hébergement , soit en utilisant le protocole de transfert de fichiers (FTP) et un client FTP tel que FileZilla. Collez ensuite l'extrait de code suivant :

 # Bloquer les requêtes WordPress xmlrpc.php

commande refuser, autoriser
nier de tous

Dans le même ordre d’idées, il est également judicieux de désactiver l’API REST dans WordPress. Il s’agit d’un autre canal qui permet aux applications tierces (et, par conséquent, aux cybercriminels) d’accéder à votre site WordPress.

Le moyen le plus simple de désactiver l'API WordPress sur votre site consiste à utiliser WP Hide & Security Enhancer.

WP Masquer et améliorer la sécurité

Ce plugin est gratuit et aucune configuration n’est requise . Après l'avoir installé et activé, vous pouvez désactiver l'API REST en allant dans WP Hide > JSON API :

Désactiver l'API REST dans WP Hide

Vous pouvez également utiliser ce plugin pour désactiver la fonctionnalité XML-RPC . Cette option se trouve dans l'onglet XML-RPC .

2. Installez un WAF sur votre site

Il y a de fortes chances que si vous utilisez WordPress depuis un certain temps, vous savez probablement ce qu'est un WAF. En termes simples, il s'agit d'un type de logiciel de sécurité qui ajoute une couche de protection entre votre site et le trafic malveillant. Il peut aider à prévenir les attaques DDoS en limitant l'accès des utilisateurs et en filtrant les robots .

Bien qu'il existe de nombreux WAF différents parmi lesquels choisir pour vous aider à protéger votre site WordPress , nous vous recommandons d'utiliser Sucuri.

Sucuri, un plugin WordPress de protection DDoS.

Le WAF et le système de prévention des intrusions (IPS) de Sucuri aident à protéger les sites contre les attaques par force brute, les logiciels malveillants et bien plus encore. Il peut également détecter le trafic malveillant et bloquer plusieurs types d'attaques DDoS .

Suruci propose une variété de forfaits parmi lesquels choisir. Il propose également une « aide immédiate » pour les sites actuellement attaqués.

3. Choisissez un fournisseur d'hébergement sécurisé

L’importance d’un hébergement de qualité pour votre site WordPress ne peut être surestimée. Votre serveur influence la vitesse et les performances de votre site. Cependant, cela joue également un rôle essentiel en matière de sécurité et affecte votre capacité à prévenir et à vous rétablir après une attaque DDoS.

[bctt tweet=” Votre choix de fournisseur d’hébergement pourrait vous rendre vulnérable aux attaques DDoS. #WordPress" nom d'utilisateur = "thewpbuffs"]

L’une des principales préoccupations des gens lorsqu’ils choisissent un hébergeur Web est le coût. Cependant, lorsqu’il s’agit de protéger votre site, investir dans un hébergement de qualité est inestimable. Cela est particulièrement vrai si l’on considère qu’opter pour un forfait bon marché peut se faire au détriment de vos actifs commerciaux critiques.

Compte tenu des effets néfastes qu'une attaque DDoS peut avoir sur les performances et la disponibilité de votre site, il est essentiel de choisir un fournisseur d'hébergement et un plan équipé pour détecter et gérer un afflux massif de trafic . Certains fournisseurs tels que Kinsta* et WP Engine* proposent des fonctionnalités intégrées telles que des pare-feu matériels et l'intégration CDN.

Plans d'hébergement WP Engine

J'espère que vous utilisez déjà un fournisseur d'hébergement premium et fiable . Sinon, nous vous recommandons de passer à un fournisseur d’hébergement WordPress entièrement géré qui fait de la sécurité une priorité. Cela inclut la recherche de forfaits incluant des fonctionnalités telles que le service CDN gratuit, la surveillance et l'assistance 24h/24 et 7j/7, ainsi que l'analyse des logiciels malveillants.

4. Utilisez un CDN

Un CDN fournit des serveurs réseau supplémentaires qui aident à prendre en charge votre site WordPress en gérant l'essentiel de la charge du serveur . Bien que communément référencé en matière d’optimisation des performances, cet outil peut également être utile pour la sécurité.

Fondamentalement, les CDN peuvent aider à prévenir les attaques DDoS en rendant beaucoup plus difficile la surcharge de votre serveur. Ils peuvent également aider à détecter des modèles de trafic inhabituels et, dans certains cas, servir de proxy inverse.

Il existe de nombreux fournisseurs de services CDN différents. Cependant, nous vous recommandons d'opter pour l'un des titans du marché, tel que Cloudfare.

La page d'accueil du site Web Cloudfare.

Cloudfare adopte une approche de sécurité à plusieurs niveaux qui peut contribuer à la protection et à l'atténuation des attaques DDoS . Bien qu'il propose une variété de forfaits premium, vous pouvez utiliser le Global CDN gratuitement. Un autre avantage est que vous pouvez facilement l'intégrer à votre site Web via le plugin WordPress correspondant.

5. Téléchargez un plugin de protection WordPress DDoS

Les plugins de sécurité peuvent vous faire gagner beaucoup de temps et d’énergie en rationalisant de nombreuses tâches autrement fastidieuses. Certains disposent également de fonctionnalités qui peuvent s’avérer essentielles pour prévenir les attaques DDoS sur votre site WordPress.

Comme nous l'avons mentionné ci-dessus, les WAF peuvent être extrêmement utiles pour protéger votre site. L'installation d'un plugin de sécurité fourni avec un plugin intégré est un moyen rapide d'ajouter une protection à votre installation WordPress.

De plus, des fonctionnalités telles que les limites de tentatives de connexion, la détection des URL incorrectes et des adresses IP malveillantes, ainsi que le blocage des robots, contribuent toutes à atténuer les attaques. Par conséquent, nous vous recommandons de télécharger un plugin de protection WordPress DDoS tel que Wordfence.

Le plugin WordPress Wordfence.

Wordfence peut exécuter toutes les fonctions mentionnées ci-dessus et bien plus encore. Ce plugin de sécurité WordPress comprend également des outils de surveillance du trafic et des visites en direct, ainsi que des pics d'activité .

Vous pouvez télécharger et utiliser gratuitement de nombreuses fonctionnalités du plugin. Cependant, il propose également une version premium qui débloque l'accès à la suite complète de fonctionnalités de sécurité, y compris un flux de défense contre les menaces en temps réel.

6. Faites de la maintenance et de la surveillance de WordPress une priorité

Lorsqu'il s'agit de gérer votre site Web, la meilleure forme de protection est parfois la prévention . Dans vos efforts pour minimiser les risques d’attaque DDoS sur votre site WordPress, il est essentiel de faire de la maintenance et de la surveillance régulières une priorité.

Effectuer une maintenance régulière de votre site contribuera à le maintenir en parfait état et, à terme, à réduire le nombre de vulnérabilités pouvant être exploitées par les intrus. Une surveillance de routine peut vous aider à détecter les activités suspectes avant qu'elles ne causent des dommages importants.

De nombreuses tâches sont impliquées dans une maintenance et une surveillance appropriées, notamment :

  • Mises à jour de WordPress, des plugins et des thèmes
  • Surveillance de la disponibilité
  • Sauvegardes automatisées
  • Optimisation de la vitesse
  • Analyse et suppression des logiciels malveillants

Rester maître de ces tâches peut prendre du temps, mais c'est un processus nécessaire. Nous vous suggérons de rendre les choses beaucoup plus faciles en vous inscrivant à un plan de soins WordPress, comme ceux que nous proposons chez WP Buffs.

Plans de soins WordPress WP Buffs

Une maintenance professionnelle vous offre une tranquillité d'esprit en sachant que votre site est correctement entretenu. De plus, vous libérez du temps dans votre propre emploi du temps pour vous concentrer sur d’autres questions professionnelles urgentes.

Emballer

Compte tenu du large éventail de menaces de sécurité qui existent aujourd’hui, rester à la pointe de toutes peut sembler insurmontable. Cependant, avec l'augmentation de la fréquence et de la gravité des attaques DDoS, il est plus important que jamais de s'assurer que votre site WordPress est correctement protégé .

Dans cet article, nous avons discuté de six conseils que vous pouvez utiliser pour arrêter et prévenir une attaque DDoS sur votre site WordPress :

  1. Désactivez XMLR RPC et l'API REST dans WordPress.
  2. Installez un WAF sur votre site.
  3. Choisissez un fournisseur d'hébergement sécurisé.
  4. Utilisez un CDN.
  5. Téléchargez un plugin de protection WordPress DDoS.
  6. Faites de la maintenance et de la surveillance de WordPress une priorité.

Si vous souhaitez faire de l'entretien et de la maintenance du site WordPress une priorité mais que vous ne savez pas si vous avez le temps pour cela, envisagez de nous confier le travail à WP Buffs . Nos plans complets d'entretien du site peuvent vous aider dans tous les domaines, depuis l'installation des plugins appropriés jusqu'à la réalisation de contrôles de sécurité approfondis du site .

Vous souhaitez donner votre avis ou participer à la conversation ? Ajoutez vos commentaires sur Twitter.

Crédit image : Scott Weber.