Attaques par force brute, DoS et DDoS – quelle est la différence ?
Ces types de cyberattaques sont bien connus depuis les débuts d'Internet. Posent-ils un risque de sécurité pour WordPress ? Quels outils de sécurité peuvent efficacement les atténuer ? Quelles sont les chances que nous puissions le faire avec succès?
English version: Brute-force, DoS, and DDoS attacks – what’s the difference?
Une attaque par force brute est une méthode d'essai et d'erreur utilisée par les pirates pour deviner des informations d'identification ou des données cryptées telles que des identifiants, des mots de passe ou des clés de cryptage, grâce à un effort exhaustif (en utilisant la force brute) dans l'espoir de deviner finalement correctement. L'attaque par force brute est l'une des méthodes de craquage de mot de passe les plus populaires pour pirater WordPress.
Une attaque par déni de service (DoS) est une attaque destinée à fermer un site Web ou un serveur Web, le rendant inaccessible à ses utilisateurs prévus en l'inondant de trafic inutile (demandes indésirables) provenant d'un seul hôte (adresse IP). Parfois, les attaques DoS sont utilisées pour détruire les systèmes de défense informatique. Certaines fonctionnalités de WordPress peuvent être exploitées comme vecteur d'attaque pour les attaques DoS. Par exemple, CVE-2018-6389 .
Une attaque DDoS est l'abréviation de "Distributed DoS attack". De telles attaques sont montées en inondant le site Web ou le serveur Web ciblé avec un trafic inutile provenant de plusieurs appareils ou d'un botnet. Un botnet est un réseau d'ordinateurs infectés par des logiciels malveillants (malware) à l'insu de l'utilisateur, organisés en groupe et contrôlés par des cybercriminels. Les botnets modernes peuvent contenir des dizaines de milliers d'appareils mobiles ou d'ordinateurs de bureau compromis. En raison de leur nature, les attaques DDoS modernes sont coûteuses et nécessitent beaucoup de ressources. Habituellement, cela signifie que vous avez un ennemi puissant qui a suffisamment d'argent gris pour ordonner ce type d'attaque. Très souvent, le montage d'attaques DDoS est commandé par des concurrents ou des opposants politiques sans scrupules.
Alors, quelle est la différence ?
Techniquement, ils semblent différents, mais du point de vue du propriétaire d'un site Web, la différence réside uniquement dans l'objectif d'une attaque .
Les attaques DoS et DDoS ont le même objectif. Et cet objectif est de faire tomber la victime , le site Web ciblé ou le serveur Web et d'en tirer profit. Parfois, l'attaque DDoS vise à détruire un système de défense et à obtenir un accès administratif.
L'objectif des attaques par force brute est d'obtenir un accès administrateur au site Web ciblé pour effectuer une activité illégale que l'intrus/pirate veut faire. Leurs activités typiques sont :
- Rediriger les utilisateurs légitimes vers de faux sites Web pour voler leurs données personnelles
- Créer des pages de phishing avec des formulaires de paiement qui imitent les légitimes sur le site Web de la victime
- Vol de données personnelles dans une base de données clients
- Installation de portes dérobées et de chevaux de Troie sur le serveur Web pour les utiliser comme outils pour attaquer d'autres sites Web
- Installation de logiciels malveillants pour infecter les ordinateurs des administrateurs et des clients
- Modification du contenu d'un site Web digne de confiance pour insérer des liens vers des sites Web d'hameçonnage
Comment ces attaques affectent-elles WordPress ?
Par défaut, WordPress autorise un nombre illimité de tentatives de connexion via le formulaire de connexion, l' API REST , XML-RPC ou en envoyant des cookies d'authentification spéciaux. Cela permet de craquer les mots de passe avec une relative facilité via l'attaque par force brute mentionnée ci-dessus.
Comment protéger WordPress et atténuer ces attaques
Les attaques par force brute et DoS peuvent être atténuées avec succès avec un logiciel de sécurité installé sur un site Web. Dans les deux cas, vous n'avez pas besoin d'être un nerd et vous pouvez obtenir cette protection gratuitement.
- Les attaques par force brute contre WordPress peuvent être atténuées avec succès par le plugin WP Cerber. Entre autres fonctions de sécurité, il protège les interfaces XML-RPC et REST API .
- Les attaques DoS peuvent être atténuées avec une configuration de serveur Web spéciale. Vous ne pouvez pas y parvenir en installant un plugin de sécurité. La meilleure pratique consiste à utiliser les règles de limitation de débit NGINX. Consultez nos recommandations : Transformez votre WordPress en Fort Knox .
Malheureusement, les attaques DDoS ne peuvent pas être atténuées au niveau du serveur Web ou simplement avec un plugin WordPress. Les attaques DDoS ne peuvent être atténuées avec succès qu'avec du matériel spécial installé sur le réseau du fournisseur d'hébergement. En raison de leur nature, l'atténuation des attaques DDoS nécessite beaucoup de ressources de calcul et est fournie en tant que service par les hébergeurs sur la base d'un abonnement. Contrairement aux attaques par force brute et DoS, il n'y a aucune garantie que toutes les attaques DDoS seront atténuées avec succès . Tout dépend de la puissance de l'attaque, de la puissance d'un système anti-DDoS et de la quantité de bande passante réseau que le fournisseur de sécurité peut allouer.
L'une des solutions les plus abordables pour protéger WordPress contre les attaques DoS distribuées utilise les services Cloudflare. Mais il y a certains inconvénients que vous devez connaître et prendre en compte. Cloudflare aura le contrôle sur tous vos enregistrements DNS pour votre domaine, le trafic Web vers et depuis votre site Web, y compris les données personnelles de vos clients, car tout le trafic et toutes ces données passent par les serveurs proxy Cloudflare sous forme non cryptée. Certains utilisateurs ont signalé que Cloudflare avait même des problèmes avec les propriétaires bloqués sur leurs sites Web. Donc, si vous n'avez aucun problème avec DDoS, comme beaucoup d'entre nous, il n'y a aucune raison d'ajouter une couche supplémentaire qui peut générer des douleurs supplémentaires dans le cou.
Une fois que vous avez décidé d'utiliser Cloudflare, nous vous recommandons d'utiliser un module complémentaire Cloudflare spécial pour WP Cerber .
Rattrapez un intrus
Cerber shows additional WHOIS information about the intruder IP address in the WordPress dashboard
Vous pouvez facilement identifier la source physique d'une attaque – un ordinateur, un appareil mobile, etc.
Si vous avez installé WP Cerber Security & Antispam, consultez ce post : En savoir plus sur l'IP de l'intrus . La chose la plus décevante est que la grande majorité de ces attaques ne peuvent pas être attribuées à un véritable interprète ou à un maître. Chaque tentative de les retracer aboutit à un ensemble d'ordinateurs personnels et d'appareils mobiles infectés qui sont utilisés comme des marionnettes, des points intermédiaires pour une attaque.
WP Cerber Security 6.0
WP Cerber Security 6.1
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.