Quiconque gère un site internet ou e-commerce en ligne (WordPress/WooCommerce), quelle qu’elle soit, doit se méfier des attaques DDoS. Ou des attaques par déni de service distribué. Ce qui revient à dire que quelqu’un veut fermer votre site ou votre service, et qu’il envoie donc des flots de trafic à partir de différents points pour vous submerger et rendre difficile la fermeture ou même la localisation de l’origine de l’attaque. Il engorge vos serveurs, de sorte que vos visiteurs habituels se voient refuser le service. C’est l’une des choses les plus mesquines et les plus frustrantes qui puissent arriver à un site internet. Dans cet article, je vous explique cela.

Comprendre les attaques DDoS

La plupart des attaques DDoS sont menées par des botnets, un « groupe d’ordinateurs qui ont été infectés par un logiciel malveillant et sont passés sous le contrôle d’un utilisateur malveillant ». Ces machines sont ensuite détournées et utilisées contre n’importe quel service que l’attaquant veut nuire.

Bien que les ordinateurs qui composent le botnet soient infectés par des logiciels malveillants, il est important de noter que si votre site internet ou ec-ommerce est victime d’un DDoS, votre site n’est pas infecté par un logiciel malveillant. Le DDoS empêche simplement le trafic normal de vous atteindre. Cependant, si votre ordinateur a déjà été compromis par une faille de sécurité, vos serveurs pourraient faire partie d’un botnet qui effectue une attaque DDoS sur quelqu’un d’autre

 

Le DDoS n’est pas du piratage

Comme nous l’avons dit plus haut, une attaque DDoS n’est pas une tentative d’exploitation d’une vulnérabilité pour accéder à votre site. Il s’agit plutôt d’une attaque brut force. C’est lorsqu’une partie particulière tente de s’introduire dans votre site par des tentatives répétées de connexion et de réinitialisation de mot de passe (pour ne pas dire plus).

Les DDoS ne cherchent pas à obtenir vos mots de passe, à s’emparer de votre site, à installer des logiciels malveillants ou à utiliser votre ordinateur à des fins malveillantes. Si vous êtes victime d’un DDoS, le service vous est refusé. Personne n’a besoin d’accéder à votre serveur parce qu’ils le bombardent via les canaux publics. Pas le backend comme les hacks, les intrusions et les attaques par brut force.

 

Pourquoi êtes-vous une cible DDoS ?

Pourquoi quelqu’un vous ferait-il cela ? Eh bien, l’une des plus courantes est l’idée de hacktivisme, dans laquelle un parti veut empêcher la diffusion d’idées ou d’un service auquel il s’oppose. Cela peut avoir plusieurs raisons, mais si vous publiez quelque chose qui pourrait semer la discorde, les hacktivistes pourraient vous faire subir un déni de service.

L’espionnage d’entreprise est connu pour se produire, lorsqu’un concurrent veut rendre inaccessible votre site internet ou e-commerce, par exemple, lors d’une grande vente ou à la période de l’année où vous allez faire une grande partie de votre CA. Il peut aussi s’agir d’une personne qui veut s’initier à la cybersécurité et aux subtilités des attaques DDoS. Peut-être s’agit-il simplement d’une personne qui s’ennuie quelque part, qui pense que c’est drôle et qui veut regarder le monde brûler. (Cela arrive aux jeux et services en ligne tels que le PlayStation Network ou Xbox Live ou World of Warcraft).

Si vous ne vous voyez pas être la cible d’un hacktiviste ou d’un sabotage d’entreprise, vous n’êtes probablement que la cible malchanceuse de quelqu’un qui veut causer un peu de désordre à un étranger, mais mieux vaut s’en prévenir.

 

Protéger WordPress / WooCommerce des attaques DDoS

Quelles que soient les raisons pour lesquelles vous pourriez devenir la cible d’une attaque DDoS, vous devez prendre des précautions pour éviter que cela ne vous arrive à vous et à votre site WordPress. La protection de votre installation WP contre les attaques par déni de service n’est pas très différente de la protection contre d’autres agressions. Du moins de votre point de vue. Les protections sous-jacentes fonctionnent de manière très différente. Mais en tant qu’utilisateur de WordPress, vous avez la chance de pouvoir laisser cela aux développeurs et aux spécialistes et de récolter simplement les fruits de leur travail et de leur expertise. J’installe votre site WordPress et WooCommerce en manuel, j’évite les installation en 1 clic, je personnalise également l’installation et le prefix.

 

Mise à jour régulière de WordPress

Cela devrait être une évidence et cela va sans dire. Mais j’insiste à le dire. Assurez-vous que votre installation WordPress est à jour. Si vous êtes encore en version 4.9 et que la version la plus récente est la 5.3, vous vous exposez non seulement à des intrus qui accèdent à votre site, mais aussi à des attaques DDoS. Au moins indirectement. Si vous tenez WP à jour, vous pouvez utiliser les versions les plus récentes des plugins de sécurité, et vous pouvez aussi faire corriger les failles de sécurité qui empêchent vos serveurs d’être infectés et intégrés dans un réseau de zombies DDoS.

Je constate que beaucoup de mes clients n’effectuent pas de mise à jour malgré mes nombreuses relances. Pour connaitre le coup d’une mise à jour, consultez cette page, je propose des forfaits de maintenance à l’acte ou via un abonnement mensuel.

 

Utiliser les plugins de sécurité

J’intègre et je paramètre le plugin SecuPress Free, qui permet de sécuriser votre site internet et e-commerce, mais je conseille d’utiliser le version Pro, j’en parle dans cet article.

En général, le pare-feu établit un périmètre autour de votre serveur et détermine qui peut y entrer et qui ne peut pas. Les règles fonctionnent soit sur une liste noire, soit sur une liste blanche de priorités. Les développeurs et le gestionnaire du site bloquent (ou mettent sur liste noire) les réseaux malveillants connus, leurs régions et leurs adresses IP. Cela protège votre site contre les menaces connues, mais si une nouvelle menace surgit d’ailleurs, vous pouvez toujours être en danger.

La liste blanche empêche donc ces deux situations de se produire en ne permettant qu’au trafic connu d’accéder à votre site. Vous ne pouvez pas obtenir de DDoS parce que vous n’avez pas pré-approuvé ces adresses IP ou ces régions pour l’accès à votre site en premier lieu. Si votre activité principale provient de certains pays ou régions, c’est un moyen efficace d’empêcher les réseaux malveillants et les pirates inconnus d’accéder à votre site. DDoS, brut force ou autre, si vous n’avez pas dit « entrez », ils n’entrent pas.

SecuPress Pro a des avantages et des inconvénients pour ces deux méthodes, mais en général, les développeurs ont mis en place un ensemble solide de protections prédéfinies qui assurent la sécurité et le fonctionnement efficace et, peut-être plus important encore, la rentabilité de votre site.

 

Consulter les journaux

Les journaux de SecurPress Pro ou de votre hébergeur sont quelque chose que la plupart des utilisateurs ne savent pas ou ne se soucient pas. Mais si vous risquez une attaque DDoS, la tenue de journaux et la visualisation de la provenance du trafic et des erreurs éventuelles de vos serveurs peuvent s’avérer très précieuses pour garantir le bon fonctionnement de votre système. Le simple fait de savoir qu’à 1h23 du matin, 126 tentatives de connexion ont eu lieu depuis l’autre bout du monde est suffisant pour justifier votre attention et pour suivre le processus de mise à jour, faire des sauvegardes, scanner et vérifier la présence de logiciels malveillants, etc.

Votre hébergeur devrait avoir des journaux que vous pouvez consulter, et le Codex WordPress contient des informations détaillées sur les journaux de débogage que vous pouvez consulter.

 

Conclusion

En fin de compte, la plupart des utilisateurs de WordPress ne risquent probablement pas de subir une attaque DDoS. Mais vous pourriez l’être. N’importe qui pourrait l’être. C’est pourquoi il est si important de mettre en place une sécurité pour y faire face. Mais chaque fois que vous diffusez du contenu, que vous réussissez et que vous êtes vu par le grand public, ou que vous attirez l’attention de quelqu’un de mauvais, il y a un risque que votre gagne-pain soit en jeu. Il est assez facile pour les gens d’engager un botnet DDoS s’ils le souhaitent vraiment.

FAQ, quoi, pourquoi et comment ?

Votre page FAQ est une section de votre site web qui deviendra une destination incontournable pour vos clients. Cette page est l'une des pages les plus négligées pour de nombreux sites web, mais en réalité, elle est l'une des plus importantes pour vous aider à...

Trojans, Spywares, Rogues… Kesako ?

J’avais déjà publié un petit article « Le web et son monde impitoyable ! » à lire ici. Dans l’article qui va suivre on va parler de certains mots qui peuvent vous paraître étrangers, mais je vais vous expliquer de quoi il s’agit.   Le ver : Le ver est un malware,...

Bye WhatsApp, hello Wire ou Signal

La vie privée et la confidentialité sont parmi les sujets les plus sensibles de nos jours. Chaque jour, vous recevez des informations sur une violation de la sécurité ou une brèche dans la sécurité due à des défauts d'application. Rien n'est sûr, même les messagers...

Bye le piratage

Aujourd’hui nous avons des centaines de mots de passe à retenir… les sites e-commerces, vos boites mails, les sites d’annonces etc etc, il est conseillé d’utiliser des mots de passe compliqués, exit votre date de naissance ou le 12345678. Il est aussi conseillé de ne...

Site e-commerce, les abandons de paniers

Les abandons de paniers sont le cauchemar des e-commerçants ou responsables marketing, surtout à l’approche des fêtes malgré qu’il soit réduit pendant cette période, une période où un e-commerçant effectue une grande partie de son CA.   Pourquoi les internautes...

Votre site devient… easy

Dans un premier temps, je vous souhaite de passer de bonnes fêtes de fin d’année ainsi qu’à vos proches. En cette nouvelle année qui approche, je voulais vous offrir une nouvelle expérience et vous faciliter d’avantage la gestion de votre site. Lors des premières...

Collaborer avec un influenceur pour renforcer la notoriété de sa marque

Pour de nombreuses marques, le marketing d'influence est rapidement devenu un élément important d'une stratégie marketing globale. De nombreux spécialistes du marketing pensent à tort qu'ils auront plus de succès en travaillant avec des influenceurs bien connus....

J’ouvre ma boite pour 0 €

Être son propre patron, c’est certainement le rêve d’un tiers de Français. Et oui, devenir chef d’entreprise ou encore exercer son talent en mode freelance nous excite tous. Travailler selon son rythme et ses convictions pour mettre plus en valeur ses compétences,...

Acheter un nom de domaine et un hébergement

Vous voulez lancer une nouvelle entreprise ou créer votre site e-commerce ? Si c'est le cas, vous devrez alors enregistrer un nom de domaine.   La première étape de la création d'un site internet consiste à trouver un nom de domaine et à l'enregistrer. Le nom de...

Créer votre site internet gratuitement, sans développeur web

Malgré un titre un peu racoleur, comme mon article "Mon boucher est webdesigner (ou pas)" on va parler de ces plateformes qui permettent de créer un site internet gratuitement, elles ont absolument leur place. Les blogueurs amateurs et même certains professionnels qui...
Lorem velit, Curabitur venenatis, Aenean mattis odio venenatis Praesent diam tempus sem,
Share This