La sécurité en ligne est un travail en soi et, dans les grandes sociétés, il y a plusieurs des professionnels de l’informatique spécialisés qui s’occupent de tous ses aspects importants.
Toutefois, même si vous êtes une personne qui gère un blog personnel, vous pouvez prendre certaines mesures pour améliorer la sécurité de votre site Web.
Qu’est-ce qu’une attaque DDoS
DDoS signifie Distributed Denial of Service. Il s’agit d’une forme avancée de DoS, ou attaque par déni de service : une forme d’attaque dont le but est de perturber le trafic normal d’un site Web, d’un serveur, d’un service ou d’un réseau.
DDoS est distribué en vertu de l’attaque menée par un réseau d’appareils (un botnet) qu’un acteur malveillant utilise pour effectuer l’action. Le fait qu’une attaque soit répartie sur un réseau la rend plus compliqué à détecter et à bloquer.
L’attaque elle-même fonctionne en écrasant la capacité d’un serveur : alors qu’il lutte pour gérer le flot de requêtes, il ralentit ou plante, incapable de toutes les traiter.
Comment une attaque DDoS nuit-elle à mon site Web
En premier lieu, cela ralentit le fonctionnement de votre site Web ou le bloque. Il s’agit d’un effet négatif très réel et distinct sur l’expérience utilisateur de vos visiteurs et sur votre trafic. Si vous exploitez une boutique en ligne, vous risquez de perdre des ventes, tandis que si vous hébergez du contenu, vos visiteurs iront ailleurs pour l’obtenir.
Deuxièmement, vous pouvez perdre votre réputation auprès des moteurs de recherche et des clients. Un site Web qui ne peut pas être atteint en cas de besoin sera évité par les visiteurs potentiels de retour, tandis que les mesures de référencement telles que l’autorité, la confiance et la pertinence peuvent aussi être affectées.
Enfin, réparer les dégâts peut vous coûter cher, surtout si vous devez embaucher du personnel de soutien ou investir dans une solution de cybersécurité.
Pourquoi les attaques DDoS se produisent
Il y a plusieurs de multiples raisons pour lesquelles vous pouvez devenir la cible d’une attaque WordPress DDoS. Par exemple, certains acteurs malveillants peuvent soumettre votre site Web à une attaque DDoS dans l’espoir de vous soutirer de l’argent afin de faire cesser l’attaque.
Ou, vous hébergez peut-être du contenu qu’une personne trouve politiquement controversé au point qu’il se déchaînera pour discréditer votre site Web pour des raisons politiques.
Enfin, vos concurrents peuvent vouloir tenter de nuire ou de discréditer votre site Web et décider d’engager un pirate informatique pour le faire en utilisant une attaque DDoS.
Comme vous le constatez, personne n’est totalement à l’abri des pirates informatiques sans scrupules et peut faire l’objet de ce type d’attaque sans raison particulière. Cela dit, examinons quelques-unes des façons dont vous pourriez vous protéger.
Augmenter la bande passante
Si vous pouvez vous permettre d’augmenter la bande passante en passant à un meilleur plan avec votre ou un autre fournisseur d’hébergement, cela pourrait vous protéger des attaques DDoS. Après tout, une attaque DDoS ne fait qu’accaparer votre bande passante. Si votre capacité de bande passante dépasse la capacité de l’attaquant à inonder votre site Web de demandes, l’attaque sera inefficace. Mais cela ne fait rien en termes de défense contre l’attaque elle-même.
Employer un CDN
Un CDN, ou Content Delivery Network, est un réseau de serveurs qui garantit que le serveur le plus proche du demandeur reçoit la demande. Bien qu’il soit principalement conçu pour réduire la latence (améliorer les temps de chargement), l’utilisation d’un CDN peut présenter certains avantages en ce qui concerne la protection de votre site Web contre les attaques DDoS.
Un CDN vous protège d’une attaque DDoS en utilisant avec efficacité la même tactique qu’un opérateur de botnet : il distribue les requêtes entre plusieurs serveurs, en s’assurant que votre site Web ne soit pas submergé. Heureusement, il y a plusieurs de nombreux fournisseurs de CDN parmi lesquels choisir.
Employer la protection DDoS au niveau du serveur
Certains hébergeurs proposent une protection DDoS dans le cadre du forfait que vous utilisez actuellement, ce qui signifie que vous disposez peut-être déjà d’une certaine protection. D’autres peuvent l’offrir en qualité de service payant supplémentaire ou dans le cadre d’un forfait différent. Choisissez un fournisseur d’hébergement prêt à vous protéger contre les attaques DDoS s’il en existe un, ou passez à un forfait avec des protections DDoS si vous pouvez vous le permettre.
Désactiver l’API Rest
L’API Rest est une fonctionnalité de WordPress qui permet aux plugins et aux outils de développement d’accéder à vos informations WordPress et de ou de supprimer votre contenu WordPress. S’il est indéniablement utile (essentiel, voire) au fonctionnement normal de WordPress, il représente une voie d’accès pour les hackers. Le désactiver fermera cette avenue.
Il y a plusieurs au moins deux façons de désactiver l’API JSON Rest : en utilisant un plugin tel que Disable WP REST API ou en ajoutant du code à votre fichier functions.php. Notez, cela dit, que la désactivation complète de l’API Rest vous empêchera de ou de publier vos publications si vous utilisez Gutenberg, et peut causer des problèmes avec certains autres plugins ou fonctionnalités. En savoir plus sur la manière d’éviter ces problèmes dans notre article lié ci-dessus.
Désactiver XML-RPC
XML-RPC est un système qui permet à des applications tierces d’accéder à votre site Web. Il n’est pas utilisé très souvent, mais il peut présenter une porte dérobée à votre site Web. Il n’est pas très compliqué de désactiver XML-RPC pour votre site Web : vous pouvez le faire rapidement et facilement en localisant le fichier .htaccess et en y ajoutant le code suivant :
refuse the order, allow the refusal of all
refuse the order, allow
refuse from all
Notez que cela vous empêchera d’employer l’application WordPress sur votre appareil mobile pour accéder à votre site Web (qui est de toute façon utilisé par une petite minorité d’utilisateurs).
Utilisation du plugin de sécurité Defender
Les actions ci-dessus, de même que certaines autres pratiques de sécurité utiles, ne sont pas intégrées à WordPress. Vous pouvez ajouter ces outils à votre boîte à outils de sécurité en installant un plugin, et le plugin que nous recommandons est le plugin Defender Security.
Pour employer le plugin, vous devrez le configurer. Cliquez sur le bouton Activer et configurer pour commencer.
Le plugin suivra automatiquement le processus de configuration. Une fois que c’est fait, cliquez sur le bouton Terminer.
Vous serez alors redirigé vers l’écran principal du plugin. Il y a beaucoup de sections différentes ici, mais votre principale préoccupation devrait être la section Recommandations. Cliquez sur le bouton Afficher tout pour y accéder.
Parmi les deux principales vulnérabilités décrites, vous pourrez désactiver à la fois l’API Rest (indiquée par le contrôle Désactiver l’éditeur de fichiers) et XML-RPC à l’aide du contrôle Désactiver XML-RPC. Vous pouvez soit employer le menu déroulant Actions groupées pour accepter toutes les recommandations, soit passer d’une option à l’autre, en cliquant sur chacune d’elles à tour de rôle et en cliquant sur le bouton requis.
Nous vous encourageons à explorer les autres fonctionnalités de sécurité du plugin, telles que l’authentification à deux facteurs et le masquage de la page de connexion.
Installer un pare-feu
Vous pouvez aussi empêcher les attaques DDoS en utilisant un pare-feu. Il y a plusieurs plusieurs bonnes solutions sur notre liste des meilleurs plugins de pare-feu pour WordPress, et Defender, décrit ci-dessus, possède aussi sa propre fonction de pare-feu, cela dit, pour en tirer pleinement parti, vous devez mettre à niveau vers la version complète du plugin.
Si vous ne souhaitez pas mettre à jour le plugin Defender, vous pouvez simplement sélectionner l’un des plugins de notre liste (en vous assurant qu’il dispose d’une fonction de protection DoS/DDoS) et l’activer. Certains plugins vous permettront aussi d’interdire des adresses IP spécifiques si les propriétaires de ces adresses persistent à tenter de nuire à votre site Web à l’aide d’une attaque DDoS. Si un pare-feu affecte le fonctionnement normal du site Web, ce que certains pare-feu peuvent faire, consultez le développeur du plugin.
Liste noire des adresses IP suspectes
Cette étape est liée à ce qui précède : les pirates persistants qui continuent d’opérer de manière répétée à partir des mêmes quelques adresses IP peuvent être bloqués à l’aide de certains plug-ins de pare-feu, mais il y a plusieurs d’autres moyens de bloquer les adresses IP suspectes de votre site Web. Ceci, cela dit, est un vaste sujet qui mérite son propre article, et vous pouvez (et devriez) obtenir notre point de vue à partir de l’article lié dans cette section.
Quand tout le reste échoue – Revert
Il est possible que vous ayez créé une vulnérabilité en installant un plugin ou un thème non sécurisé. Dans ce cas, vous pourrez peut-être vous protéger des attaques DDoS et supprimer la vulnérabilité si vous revenez à la dernière version de travail de votre site Web.
Il y a plusieurs de nombreuses façons de sauvegarder manuellement ou automatiquement votre site Web, mais elles ne font pas l’objet de ce post. Néanmoins, il convient de mentionner que le retour à une version précédente du site Web peut supprimer la vulnérabilité jusqu’à ce que vous ou votre personnel puissiez la corriger.