Aide de 500€ par l’État pour TPE, commerçant, hôtel, AE…

Site vitrine

Site e-commerce

Site VTC/Taxi

SEO Google

Rédaction web



Quiconque gère un site internet ou e-commerce en ligne (WordPress/WooCommerce), quelle qu’elle soit, doit se méfier des attaques DDoS. Ou des attaques par déni de service distribué. Ce qui revient à dire que quelqu’un veut fermer votre site ou votre service, et qu’il envoie donc des flots de trafic à partir de différents points pour vous submerger et rendre difficile la fermeture ou même la localisation de l’origine de l’attaque. Il engorge vos serveurs, de sorte que vos visiteurs habituels se voient refuser le service. C’est l’une des choses les plus mesquines et les plus frustrantes qui puissent arriver à un site internet. Dans cet article, je vous explique cela.

Comprendre les attaques DDoS

La plupart des attaques DDoS sont menées par des botnets, un « groupe d’ordinateurs qui ont été infectés par un logiciel malveillant et sont passés sous le contrôle d’un utilisateur malveillant ». Ces machines sont ensuite détournées et utilisées contre n’importe quel service que l’attaquant veut nuire.

Bien que les ordinateurs qui composent le botnet soient infectés par des logiciels malveillants, il est important de noter que si votre site internet ou ec-ommerce est victime d’un DDoS, votre site n’est pas infecté par un logiciel malveillant. Le DDoS empêche simplement le trafic normal de vous atteindre. Cependant, si votre ordinateur a déjà été compromis par une faille de sécurité, vos serveurs pourraient faire partie d’un botnet qui effectue une attaque DDoS sur quelqu’un d’autre

 

Le DDoS n’est pas du piratage

Comme nous l’avons dit plus haut, une attaque DDoS n’est pas une tentative d’exploitation d’une vulnérabilité pour accéder à votre site. Il s’agit plutôt d’une attaque brut force. C’est lorsqu’une partie particulière tente de s’introduire dans votre site par des tentatives répétées de connexion et de réinitialisation de mot de passe (pour ne pas dire plus).

Les DDoS ne cherchent pas à obtenir vos mots de passe, à s’emparer de votre site, à installer des logiciels malveillants ou à utiliser votre ordinateur à des fins malveillantes. Si vous êtes victime d’un DDoS, le service vous est refusé. Personne n’a besoin d’accéder à votre serveur parce qu’ils le bombardent via les canaux publics. Pas le backend comme les hacks, les intrusions et les attaques par brut force.

 

Pourquoi êtes-vous une cible DDoS ?

Pourquoi quelqu’un vous ferait-il cela ? Eh bien, l’une des plus courantes est l’idée de hacktivisme, dans laquelle un parti veut empêcher la diffusion d’idées ou d’un service auquel il s’oppose. Cela peut avoir plusieurs raisons, mais si vous publiez quelque chose qui pourrait semer la discorde, les hacktivistes pourraient vous faire subir un déni de service.

L’espionnage d’entreprise est connu pour se produire, lorsqu’un concurrent veut rendre inaccessible votre site internet ou e-commerce, par exemple, lors d’une grande vente ou à la période de l’année où vous allez faire une grande partie de votre CA. Il peut aussi s’agir d’une personne qui veut s’initier à la cybersécurité et aux subtilités des attaques DDoS. Peut-être s’agit-il simplement d’une personne qui s’ennuie quelque part, qui pense que c’est drôle et qui veut regarder le monde brûler. (Cela arrive aux jeux et services en ligne tels que le PlayStation Network ou Xbox Live ou World of Warcraft).

Si vous ne vous voyez pas être la cible d’un hacktiviste ou d’un sabotage d’entreprise, vous n’êtes probablement que la cible malchanceuse de quelqu’un qui veut causer un peu de désordre à un étranger, mais mieux vaut s’en prévenir.

 

Protéger WordPress / WooCommerce des attaques DDoS

Quelles que soient les raisons pour lesquelles vous pourriez devenir la cible d’une attaque DDoS, vous devez prendre des précautions pour éviter que cela ne vous arrive à vous et à votre site WordPress. La protection de votre installation WP contre les attaques par déni de service n’est pas très différente de la protection contre d’autres agressions. Du moins de votre point de vue. Les protections sous-jacentes fonctionnent de manière très différente. Mais en tant qu’utilisateur de WordPress, vous avez la chance de pouvoir laisser cela aux développeurs et aux spécialistes et de récolter simplement les fruits de leur travail et de leur expertise. J’installe votre site WordPress et WooCommerce en manuel, j’évite les installation en 1 clic, je personnalise également l’installation et le prefix.

 

Mise à jour régulière de WordPress

Cela devrait être une évidence et cela va sans dire. Mais j’insiste à le dire. Assurez-vous que votre installation WordPress est à jour. Si vous êtes encore en version 4.9 et que la version la plus récente est la 5.3, vous vous exposez non seulement à des intrus qui accèdent à votre site, mais aussi à des attaques DDoS. Au moins indirectement. Si vous tenez WP à jour, vous pouvez utiliser les versions les plus récentes des plugins de sécurité, et vous pouvez aussi faire corriger les failles de sécurité qui empêchent vos serveurs d’être infectés et intégrés dans un réseau de zombies DDoS.

Je constate que beaucoup de mes clients n’effectuent pas de mise à jour malgré mes nombreuses relances. Pour connaitre le coup d’une mise à jour, consultez cette page, je propose des forfaits de maintenance à l’acte ou via un abonnement mensuel.

 

Utiliser les plugins de sécurité

J’intègre et je paramètre le plugin SecuPress Free, qui permet de sécuriser votre site internet et e-commerce, mais je conseille d’utiliser le version Pro, j’en parle dans cet article.

En général, le pare-feu établit un périmètre autour de votre serveur et détermine qui peut y entrer et qui ne peut pas. Les règles fonctionnent soit sur une liste noire, soit sur une liste blanche de priorités. Les développeurs et le gestionnaire du site bloquent (ou mettent sur liste noire) les réseaux malveillants connus, leurs régions et leurs adresses IP. Cela protège votre site contre les menaces connues, mais si une nouvelle menace surgit d’ailleurs, vous pouvez toujours être en danger.

La liste blanche empêche donc ces deux situations de se produire en ne permettant qu’au trafic connu d’accéder à votre site. Vous ne pouvez pas obtenir de DDoS parce que vous n’avez pas pré-approuvé ces adresses IP ou ces régions pour l’accès à votre site en premier lieu. Si votre activité principale provient de certains pays ou régions, c’est un moyen efficace d’empêcher les réseaux malveillants et les pirates inconnus d’accéder à votre site. DDoS, brut force ou autre, si vous n’avez pas dit « entrez », ils n’entrent pas.

SecuPress Pro a des avantages et des inconvénients pour ces deux méthodes, mais en général, les développeurs ont mis en place un ensemble solide de protections prédéfinies qui assurent la sécurité et le fonctionnement efficace et, peut-être plus important encore, la rentabilité de votre site.

 

Consulter les journaux

Les journaux de SecurPress Pro ou de votre hébergeur sont quelque chose que la plupart des utilisateurs ne savent pas ou ne se soucient pas. Mais si vous risquez une attaque DDoS, la tenue de journaux et la visualisation de la provenance du trafic et des erreurs éventuelles de vos serveurs peuvent s’avérer très précieuses pour garantir le bon fonctionnement de votre système. Le simple fait de savoir qu’à 1h23 du matin, 126 tentatives de connexion ont eu lieu depuis l’autre bout du monde est suffisant pour justifier votre attention et pour suivre le processus de mise à jour, faire des sauvegardes, scanner et vérifier la présence de logiciels malveillants, etc.

Votre hébergeur devrait avoir des journaux que vous pouvez consulter, et le Codex WordPress contient des informations détaillées sur les journaux de débogage que vous pouvez consulter.

 

Conclusion

En fin de compte, la plupart des utilisateurs de WordPress ne risquent probablement pas de subir une attaque DDoS. Mais vous pourriez l’être. N’importe qui pourrait l’être. C’est pourquoi il est si important de mettre en place une sécurité pour y faire face. Mais chaque fois que vous diffusez du contenu, que vous réussissez et que vous êtes vu par le grand public, ou que vous attirez l’attention de quelqu’un de mauvais, il y a un risque que votre gagne-pain soit en jeu. Il est assez facile pour les gens d’engager un botnet DDoS s’ils le souhaitent vraiment.

Négligez pas la mise à jour

Un aspect souvent négligé : l’entretien du site Web C‘est tout particulièrement vrai si vous utilisez un CMS comme WordPress ou WooCommerce ou Prestashop. Un site qu’on néglige au fil du temps risque de devenir vulnérable et pour certains malchanceux, des hackers...

Steeve c’est quoi ton job ?

Je m’appelle Steeve je suis développeur front-end et back-end, et  consultant SEO. Dans un nom plus commun pour la plupart des gens… je suis webdesigner. C’est le moment où certains d’entre vous s’exclameront « parfait, c’est exactement ce que je recherche ! » et où...

Les incontournables réseaux sociaux de la rentrée 2020 !

En évidence, dans l'intervalle d'une journée, les internautes consacrent environ 7h de leur temps à l'internet. Certains d'entre eux passent près de 2h sur les réseaux sociaux. Cette théorie peut paraître moins évidente pour vous, mais prenez le temps de comprendre...

Lancer son site e-commerce : Le guide

Avoir une idée de site e-commerce n'est que la première étape du processus - même si elle est cruciale et passionnante. Savoir ce que l'on veut vendre n'est qu'un début. Ensuite, il y a tant de choses à prendre en compte pour lancer un site e-commerce, et si vous ne...

Acheter un nom de domaine et un hébergement

Vous voulez lancer une nouvelle entreprise ou créer votre site e-commerce ? Si c'est le cas, vous devrez alors enregistrer un nom de domaine.   La première étape de la création d'un site internet consiste à trouver un nom de domaine et à l'enregistrer. Le nom de...

J’ai testé KARKOA

KARKOA n’est pas le nom de mon nouvel animal de compagnie, ni celui d’une contrée au fin fond du monde, KARKOA est la marque de mon nouveau sac de sport. Vous allez me dire que ce sac de sport est comme tous les autres, banal… eh bien, non ! KARKAO a su créer,...

Je veux mon site web

Certains désirent monter leur propre commerce en ligne, d’autres désirent juste avoir un site internet vitrine pour leur activité professionnelle, d’autres, enfin, souhaitent faire la promotion d’un produit commercial. Dans tous les cas, et quels que soient votre...

Un live chat pour votre site web/e-commerce

Nous le savons tous, je suppose. Une excellente relation prestataire-client est apte de promouvoir votre activité professionnelle notamment commerciale. Quoi de mieux alors, pour mettre en confiance un potentiel client, qu’un module chat live sur son...

Instagram Ads – Le guide ultime pour les débutants

Chaque mois, environ 500 millions d'utilisateurs se connectent à leur compte Instagram, soit pour partager leurs photos et vidéos préférées, soit pour consulter le contenu d'autres personnes. Si votre entreprise a fait de la publicité avec succès sur Facebook et...

Changement d’hébergeur et transfert de mail

Il existe de nombreuses bonnes raisons de vouloir changer d’hébergeur, site trop lent à cause d’une offre low-cost, besoin de passer sur une offre premium, besoin d’un serveur plus qualitatif. Je conseille l’hébergeur o2switch, lire mon article « Mon hébergeur web est...
Aenean Nullam at Lorem fringilla ut neque. sit
Share This