Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Coupe WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Comment arrêter et prévenir une attaque DDoS sur WordPress

WordPress est l’un des constructeurs de sites les plus populaires au monde, car il offre des fonctionnalités puissantes et une base de code sécurisée. Toutefois, cette popularité en fait une cible pour les attaques DDoS.

Les pirates utilisent les attaques DDoS pour ralentir les sites web et les rendre inaccessibles aux utilisateurs. Ces attaques peuvent viser aussi bien les petits que les grands sites. Les conséquences d’une attaque DDoS peuvent être graves, se traduisant par un manque à gagner, une réputation entachée et des internautes frustrés.

WPBeginner a été la cible de plusieurs de ces attaques, et nous avons appris à prendre des mesures pour minimiser les risques et garder notre site en sécurité. Vous vous demandez peut-être comment un site de petite entreprise utilisant WordPress peut prévenir de telles attaques DDoS avec des ressources limitées.

Ce guide vous montrera comment prévenir et arrêter les attaques DDoS dans WordPress, vous permettant de gérer en toute confiance la sécurité de votre site contre les attaques comme un vrai pro.

Stopping and preventing a DDOS attack on a WordPress site

Qu’est-ce qu’une attaque DDoS ?

Le DDoS (Distributed Denial of Service) est un type de cyberattaque qui utilise des ordinateurs et des appareils compromis pour envoyer ou demander des données à un serveur d’hébergement WordPress. Le but de ces demandes est de ralentir et éventuellement de faire planter le serveur ciblé.

Les attaques DDoS ont évolué à partir des attaques DoS (déni de service). À la différence d’une attaque DoS, elles tirent parti d’un grand nombre de machines ou de serveurs compromis, répartis dans différentes régions.

Ces machines compromises forment un réseau, parfois appelé botnet. Chaque machine affectée agit comme un bot et lance des attaques sur le système ou le serveur ciblé. Cela leur permet de passer inaperçus pendant un certain temps et de causer un maximum de dégâts avant d’être bloqués.

DDoS attack diagram

Même les plus grandes entreprises de l’internet sont vulnérables aux attaques DDoS.

En 2018, GitHub, une plateforme d’hébergement de code très populaire, a été témoin d’une attaque DDoS massive qui a envoyé 1,3 téraoctet par seconde de trafic sur ses serveurs.

Vous vous souvenez peut-être aussi de la fameuse attaque de 2016 contre DNS (un fournisseur de services DNS). Cette attaque a fait l’objet d’une couverture médiatique mondiale car elle a touché de nombreux sites populaires comme Amazon, Netflix, PayPal, Visa, Airbnb, le New York Times, Reddit et des milliers d’autres sites.

FAQ sur les DDoS

Voici quelques réponses aux questions fréquemment posées sur les attaques DDoS.

Pourquoi les attaques DDoS se produisent-elles ?

Les attaques DDoS sont motivées par plusieurs raisons. En voici quelques-unes :

  • Les personnes qui s’intéressent à la technique et qui s’ennuient trouvent cela aventureux.
  • Personnes et groupes faisant valoir un point de vue politique
  • Groupes ciblant les sites et les services d’un pays ou d’une région en particulier
  • Attaques ciblées contre une entreprise ou un fournisseur de services spécifique afin de lui causer un préjudice pécuniaire
  • Chantage afin de commander une rançon

Quelle est la différence entre une attaque par force brute et une attaque DDoS ?

Brute force attack

Les attaques par force brute tentent d’obtenir un accès non autorisé à un système en devinant les mots de passe ou en essayant des combinaisons aléatoires.

Les attaques DDoS sont purement utilisées pour faire planter le système ciblé, le rendant lent ou inaccessible.

Pour plus de détails, consultez notre guide sur la façon de bloquer les attaques par force brute sur WordPress.

Quels dommages peuvent être causés par une attaque DDoS ?

Les attaques DDoS peuvent réduire les performances d’un site ou le rendre inaccessible. Il en résulte une mauvaise expérience pour les utilisateurs/utilisatrices, une perte d’activité et les coûts d’atténuation de l’attaque, qui peuvent s’élever à des milliers de dollars.

Voici une ventilation de ces coûts :

  • Perte d’activité due à l’inaccessibilité du site
  • Coût du support client/cliente pour répondre aux requêtes liées à l’interruption du service
  • Coût de l’atténuation de l’attaque par le recours à des services de sécurité ou de support
  • Le coût le plus important est la mauvaise expérience des utilisateurs/utilisatrices et la réputation de la marque

Comment arrêter et prévenir les attaques DDoS sur WordPress ?

Les attaques DDoS peuvent être habilement déguisées et difficiles à traiter. Cependant, avec quelques bonnes pratiques de sécurité de base, vous pouvez prévenir et empêcher facilement les attaques DDoS d’affecter votre site WordPress.

Voici les étapes à suivre pour prévenir et stopper les attaques DDoS sur votre site :

Retirer les attaques DDoS / Brute Force Verticales

La meilleure chose à propos de WordPress est qu’il est très flexible. WordPress autorise des extensions et des outils tiers à s’intégrer à votre site et à y ajouter de nouvelles fonctionnalités.

Pour ce faire, WordPress met plusieurs API à la disposition des programmeurs. Ces API sont des méthodes par lesquelles les extensions et les services WordPress tiers peuvent interagir avec WordPress.

Cependant, certaines de ces API peuvent également être exploitées lors d’une attaque DDoS en envoyant une tonne de demandes. Vous pouvez les désactiver en toute sécurité pour réduire ces demandes.

Désactiver XML-RPC dans WordPress

XML-RPC autorise les applications tierces à interagir avec votre site WordPress. Par exemple, vous avez besoin de XML-RPC pour utiliser l’application WordPress sur votre appareil mobile.

Si vous êtes comme la grande majorité des utilisateurs qui n’utilisent pas l’application mobile pour gérer leur site web, vous pouvez désactiver XML-RPC en ajoutant simplement le code suivant au fichier .htaccess de votre site :

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Pour des méthodes alternatives, voir notre guide sur la façon de désactiver facilement XML-RPC dans WordPress.

Désactiver l’API REST dans WordPress

L’API REST JSON de WordPress permet aux extensions et aux outils d’accéder aux données de WordPress, de mettre à jour le contenu et/ou même de le supprimer. Voici comment désactiver l’API REST dans WordPress.

Nous vous recommandons d’utiliser l’extension WPCode. Il s’agit de la meilleure extension d’extraits de code qui vous permettra de désactiver l’API REST en quelques clics.

En savoir plus, Veuillez consulter notre guide sur la désactivation de l’API REST JSON dans WordPress.

Vous pouvez également utiliser l’extension Disable WP Rest API. L’extension est prête à l’emploi et désactive l’API REST pour tous les utilisateurs/utilisatrices non connectés.

Activer un WAF (Website Application Firewall)

Website Application Firewall (WAF)

La désactivation des vecteurs d’attaque tels que l’API REST et XML-RPC n’offre qu’une protection limitée contre les attaques DDoS. Votre site reste vulnérable aux demandes HTTP normales.

S’il est possible d’atténuer les effets d’une petite attaque DDoS en essayant d’attraper les adresses IP des mauvaises machines et en les bloquant manuellement, cette approche est moins efficace lorsqu’il s’agit d’une attaque de grande ampleur.

Le moyen le plus simple de bloquer les demandes suspectes est d’activer un pare-feu d’application de site web.

Un pare-feu d’application de site web agit comme un proxy entre votre site et tout le trafic entrant. Il utilise un algorithme intelligent pour détecter toutes les demandes suspectes et les bloquer avant qu’elles n’atteignent le serveur de votre site.

Website application firewall

Nous recommandons d’utiliser Sucuri car c’est la meilleure extension de sécurité WordPress et le meilleur pare-feu de site. Il fonctionne au niveau du DNS, ce qui signifie qu’il peut attraper une attaque DDoS avant qu’elle ne puisse faire une demande à votre site.

Les tarifs de Sucuri commencent à partir de 199,99 $ par an.

Nous utilisons Sucuri sur WPBeginner. Consultez notre étude de cas sur la façon dont ils aident à bloquer des centaines de milliers d’attaques sur notre site.

Vous pouvez également utiliser Cloudflare. Cependant, le service gratuit de Cloudflare offre uniquement une protection limitée contre les attaques DDoS. Vous devrez souscrire au moins à leur offre commerciale pour bénéficier d’une protection DDoS de calque 7, qui coûte environ 200 $ par mois.

Voir notre article sur Sucuri vs. Cloudflare pour une comparaison détaillée.

Note : Les pare-feu d’application de site web (WAF) qui fonctionnent au niveau de l’application sont moins efficaces lors d’une attaque DDoS. Ils bloquent le trafic une fois qu’il a déjà atteint votre serveur web, de sorte qu’il affecte toujours les performances globales de votre site.

Déterminer s’il s’agit d’une attaque par force brute ou d’une attaque DDoS

Les attaques par force brute et les attaques DDoS utilisent toutes deux de manière intensive les ressources du serveur, ce qui signifie que leurs symptômes sont assez similaires. Votre site devient plus lent et peut se bloquer.

Vous pouvez facilement trouver s’il s’agit d’une attaque par force brute ou d’une attaque DDoS en consultant les rapports de connexion du plugin Sucuri.

Il suffit d’installer et d’activer l’extension gratuite de Sucuri, puis de se rendre sur la page  » Sécurité Sucuri  » Dernières connexions.

Failed logins

Si vous voyez un grand nombre de demandes de connexion aléatoires, cela signifie que votre wp-admin subit une attaque par force brute. Pour y mettre fin, vous pouvez consulter notre guide sur la façon de bloquer les attaques par force brute sur WordPress.

Que faire en cas d’attaque DDoS ?

Les attaques DDoS peuvent se produire même si vous avez mis en place un pare-feu d’application web et d’autres protections. Des entreprises comme CloudFlare et Sucuri font face à ces attaques régulièrement, et la plupart du temps, vous n’en entendrez jamais parler car elles peuvent facilement les atténuer.

Cependant, dans certains cas, lorsque ces attaques sont de grande ampleur, elles peuvent tout de même avoir un impact sur vous. Dans ce cas, il est préférable de se préparer à atténuer les problèmes qui peuvent survenir pendant et après l’attaque DDoS.

Voici quelques mesures que vous pouvez prendre pour minimiser l’impact d’une attaque DDoS.

1. Alerter les membres de votre équipe

Si vous avez une équipe, vous devez informer vos collègues de ce problème.

Cela les aidera à se préparer aux requêtes du support client, à détecter les problèmes éventuels et à apporter leur aide pendant ou après l’attaque.

2. Informer les clients/clientes de la gêne occasionnée

Une attaque DDoS peut affecter l’expérience des utilisateurs/utilisatrices sur votre site. Si vous gérez un magasin Outil de personnalisation, alors vos clients peuvent ne pas être en mesure de passer une commande ou de se connecter à leurs comptes.

Vous pouvez annoncer sur vos comptes de réseaux sociaux que votre site rencontre des difficultés techniques et que tout rentrera bientôt dans l’ordre.

Si l’attaque est importante, alors vous pouvez également utiliser votre service de marketing e-mail pour communiquer avec les clients et leur demander de suivre vos mises à jour sur les réseaux sociaux.

Si vous avez des clients/clientes personnalisés, vous pouvez utiliser votre service téléphonique professionnel pour les appeler individuellement et leur faire savoir que vous travaillez au rétablissement des services.

La communication en ces temps difficiles fait une énorme différence pour préserver la réputation de votre marque.

3. Contacter le support de l’hébergeur et de la sécurité

Prenez contact avec votre fournisseur d’hébergement WordPress. L’attaque contre votre site peut faire partie d’une attaque plus large visant leurs systèmes. Dans ce cas, ils seront en mesure de vous fournir les dernières mises à jour concernant la situation.

Contactez votre service de pare-feu et faites-lui savoir que votre site fait l’objet d’une attaque DDoS. Ils pourront peut-être atténuer la situation encore plus rapidement et vous fournir de plus amples informations.

Avec des fournisseurs de pare-feu comme Sucuri, vous pouvez également définir vos Réglages pour être en  » mode paranoïaque « , ce qui aide à bloquer un grand nombre de demandes et à rendre votre site accessible aux utilisateurs/utilisatrices normaux.

Comment assurer la sécurité de votre site WordPress

WordPress est assez sûr dans sa version initiale. Cependant, en tant que constructeur de sites le plus populaire au monde, il est souvent la cible des pirates informatiques.

Heureusement, il existe de nombreuses bonnes pratiques de sécurité que vous pouvez appliquer à votre site pour le rendre encore plus sûr.

Nous avons terminé un guide complet de sécurité WordPress étape par étape pour les débutants. Il vous guidera à travers les meilleurs réglages de sécurité WordPress pour protéger votre site et ses données contre les menaces courantes.

Vous pouvez également consulter d’autres articles relatifs à l’amélioration de la sécurité de WordPress :

Nous espérons que cet article vous a aidé à apprendre comment bloquer et prévenir une attaque DDoS sur WordPress. Vous pouvez également consulter notre guide sur la façon de prévenir les attaques par injection SQL sur WordPress et notre liste de contrôle des tâches de maintenance cruciales à effectuer régulièrement sur WordPress.

Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.

Divulgation : Notre contenu est soutenu par les lecteurs. Cela signifie que si vous cliquez sur certains de nos liens, nous pouvons gagner une commission. Consultez comment WPBeginner est financé, pourquoi cela compte et comment vous pouvez nous soutenir. Voici notre processus éditorial.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

L'ultime WordPress Toolkit

Accédez GRATUITEMENT à notre boîte à outils - une collection de produits et de ressources liés à WordPress que tous les professionnels devraient avoir !

Reader Interactions

4 commentairesLaisser une réponse

  1. Jiří Vaněk

    Currently, I dare to say that an excellent and free protection against DDoS attacks is Cloudflare. The DNS A record is hidden behind a proxy DNS, so the attack is mostly directed not at the target server but at the Cloudflare server. Cloudflare then effectively filters out the DDoS attack. For me, currently one of the best solutions available.

  2. Prabuddh

    Disable XML RPC in WordPress Code is wrong,
    The code ends with but you ended with which gives an error, Please solve this.

    Thanks

    • WPBeginner Support

      We di bit see your recommendations in your comment but we did find a typo and it should be fixed :)

      Administrateur

  3. Mohamad EL-Wakeel

    great articles, but would you make one as comparison between
    DDoS Attack & Brute Force Attack, and how to detect both.

    Thanks.

Laisser une réponse

Merci d'avoir choisi de laisser un commentaire. Veuillez garder à l'esprit que tous les commentaires sont modérés selon notre politique de commentaires, et votre adresse e-mail ne sera PAS publiée. Veuillez NE PAS utiliser de mots-clés dans le champ du nom. Ayons une conversation personnelle et significative.