Personne ne souhaite voir son site WordPress devenir lent, ou pire, inaccessible. Pourtant, une attaque DDoS pourrait avoir des conséquences au mieux embêtantes, au pire désastreuses. En plus des difficultés rencontrées pour contrer ce type d’attaque, cela pourrait engendrer une dégradation de l’expérience utilisateur, un mécontentement de vos clients, une perte de ventes s’il s’agit d’un site WooCommerce, et même dégrader la réputation de votre entreprise (auprès de vos clients et sur les moteurs de recherche). Alors, comment se protéger des attaques DDoS et protéger son site WordPress ?
Qu’est-ce qu’une attaque DDoS ?
Si vous ne savez pas ce qu’est une attaque DDoS, vous n’avez probablement jamais eu besoin de vous en soucier, et c’est tant mieux ! Cependant, pour protéger son site WordPress (et l’image de son entreprise), il vaut mieux connaître les principales failles et hacks à éviter, et savoir comment s’en prémunir.
« DDoS », ça veut dire quoi ?
L’abréviation DDoS désigne un déni de service distribué (Distributed Denial of Service). Concrètement, une attaque DDoS vise à rendre votre site indisponible, en simulant un fort trafic artificiel, créé par un réseau de machines corrompues. Ce type d’attaque peut prendre différentes formes. Par exemple, elle peut saturer la bande passante du serveur pour le rendre injoignable et ne plus afficher votre site, ou encore épuiser les ressources système du serveur.
Comment se déploie une attaque DDoS ?
Les attaques DDoS sont orchestrées par un cybercriminel, qui infecte les ordinateurs de personnes innocentes en propageant des malwares. Ces ordinateurs corrompus constituent un botnet, auquel le pirate ordonne de saturer le site avec de nombreuses requêtes en continu, pour le rendre indisponible. Ce déni de service empêche alors les véritables utilisateurs d’accéder au site web.
Les attaques DDoS peuvent également être basées sur la réfection et l’amplification. Ces attaques par amplification DNS (système de noms de domaine) utilisent des machines non infectées disponibles sur Internet. Ces réflecteurs répondent à des requêtes qui émanent d’une source quelconque. Le pirate leur envoie des requêtes en utilisant l’adresse IP de la victime. Cette usurpation d’identité pousse les réflecteurs à envoyer les réponses à ces requêtes sur l’adresse IP de la victime, en créant un trafic artificiel. Le phénomène d’amplification délivre bien plus de réponses que de requêtes, ce qui ne fait qu’aggraver la situation. La saturation de la bande passante entraîne alors un déni de service.
Une attaque DDoS, c’est grave à quel point ?
Les attaques DDoS peuvent être plus ou moins complexes, et plus ou moins faciles à identifier. Les motivations des pirates informatiques sont diverses : attaque d’un concurrent, passe-temps de hackers souhaitant asseoir leur crédibilité, hacktivisme visant à attaquer les idées défendues sur un site ou par l’entreprise de façon générale… Il s’agit même parfois d’écrans de fumée, qui visent à faire diversion pendant qu’une attaque de plus grande ampleur se prépare.
Bref, il est difficile d’estimer l’ampleur des dégâts, le temps et le coût de nettoyage et de remise en état du site! Quoi qu’il en soit, la meilleure chose à faire est de contacter son hébergeur web et un professionnel de la maintenance de site WordPress sans attendre !
Et comme cela n’arrive pas qu’aux autres, tout administrateur de site WordPress (ou autre) – petit ou grand, avec ou sans boutique en ligne – devrait s’en soucier, et faire son possible pour éviter ce type d’attaques.
Comment protéger son site WordPress des attaques DDoS ?
Avant toute chose, veillez à sauvegarder régulièrement l’intégralité des contenus et de la base de données de votre site WordPress. Cela vous permettra de récupérer votre travail sans encombre en cas de piratage ou de bug.
Assurez-vous ensuite que votre registrar (là où votre nom de domaine est enregistré) et/ou hébergeur dispose de diverses sécurités permettant d’éviter ces piratages : protection d’un proxy, protection contre les adresses IP usurpées, bande passante suffisamment large… Vous devrez probablement activer cette option de protection contre ces attaques. Si votre registrar, ou votre hébergeur, ne dispose pas d’outil de protection contre les attaques DDoS, vous pouvez tout simplement en changer !
