Attaques par force brute, DoS et DDoS : quelle est la différence ?
Ces types de cyberattaques sont bien connus depuis les débuts d’Internet. Posent-ils un risque de sécurité pour WordPress ? Quels outils de sécurité peuvent les atténuer efficacement ? Quelles sont les chances que nous puissions y parvenir avec succès ?
English version: Brute-force, DoS, and DDoS attacks – what’s the difference?
Une attaque par force brute est une méthode d'essais et d'erreurs utilisée par les pirates pour deviner des identifiants ou des données chiffrées telles que des identifiants, des mots de passe ou des clés de chiffrement, par des efforts considérables (par force brute) dans l'espoir de trouver la bonne réponse. L'attaque par force brute est l'une des méthodes de piratage de mots de passe les plus populaires pour pirater WordPress.
Une attaque par déni de service (DoS) vise à fermer un site web ou un serveur web, le rendant inaccessible aux utilisateurs ciblés en l'inondant de trafic inutile (requêtes indésirables) provenant d'un seul hôte (adresse IP). Les attaques DoS sont parfois utilisées pour détruire les systèmes de défense des ordinateurs. Certaines fonctionnalités de WordPress peuvent être exploitées comme vecteur d'attaque DoS. Par exemple, CVE-2018-6389 .
Une attaque DDoS est l'abréviation de « attaque DoS distribuée ». Ces attaques consistent à inonder le site web ou le serveur web ciblé de trafic inutile provenant de plusieurs appareils ou d'un botnet. Un botnet est un réseau d'ordinateurs infectés par des logiciels malveillants (malwares) à l'insu de l'utilisateur, organisés en groupe et contrôlés par des cybercriminels. Les botnets modernes peuvent contenir des dizaines de milliers d'appareils mobiles ou d'ordinateurs de bureau compromis. De par leur nature, les attaques DDoS modernes sont coûteuses et nécessitent des ressources importantes. Cela signifie généralement que l'ennemi est puissant et dispose de suffisamment d'argent sale pour commanditer ce type d'attaque. Très souvent, les attaques DDoS sont commanditées par des concurrents ou des opposants politiques sans scrupules.
Alors, quelle est la différence ?
Techniquement, ils semblent différents, mais du point de vue du propriétaire d'un site Web, la différence réside simplement dans l'objectif d'une attaque .
Les attaques DoS et DDoS ont le même objectif : attaquer la victime , le site web ciblé ou le serveur web, et en tirer profit. Parfois, l'attaque DDoS vise à détruire un système de défense et à obtenir un accès administrateur.
L'objectif des attaques par force brute est d'obtenir l'accès administrateur au site web ciblé afin d'y effectuer une activité illégale. Leurs activités typiques sont :
- Rediriger les utilisateurs légitimes vers de faux sites Web pour voler leurs données personnelles
- Création de pages de phishing avec des formulaires de paiement imitant ceux légitimes sur le site Web de la victime
- Vol de données personnelles dans une base de données clients
- Installation de portes dérobées et de chevaux de Troie sur le serveur Web pour les utiliser comme outils pour attaquer d'autres sites Web
- Installation de logiciels malveillants pour infecter les ordinateurs des administrateurs et des clients
- Modification du contenu fiable d'un site Web pour insérer des liens vers des sites Web de phishing
Comment ces attaques affectent-elles WordPress ?
Par défaut, WordPress autorise un nombre illimité de tentatives de connexion via le formulaire de connexion, l'API REST , XML-RPC ou l'envoi de cookies d'authentification spécifiques. Cela permet de déchiffrer les mots de passe relativement facilement grâce à l'attaque par force brute mentionnée précédemment.
Comment protéger WordPress et atténuer ces attaques
Les attaques par force brute et par déni de service (DoS) peuvent être efficacement atténuées grâce à un logiciel de sécurité installé sur un site web. Dans les deux cas, nul besoin d'être un expert : cette protection est gratuite.
- Les attaques par force brute contre WordPress peuvent être efficacement atténuées grâce au plugin WP Cerber. Parmi ses fonctionnalités de sécurité, il protège les interfaces XML-RPC et API REST .
- Les attaques DoS peuvent être atténuées grâce à une configuration spécifique du serveur web. L'installation d'un plugin de sécurité ne suffit pas. La meilleure pratique consiste à utiliser les règles de limitation de débit NGINX. Consultez nos recommandations : Transformez votre WordPress en Fort Knox .
Malheureusement, les attaques DDoS ne peuvent pas être atténuées au niveau du serveur web ni simplement avec une extension WordPress. Elles ne peuvent être atténuées avec succès qu'avec du matériel spécifique installé sur le réseau de l'hébergeur. De par leur nature, leur atténuation nécessite d'importantes ressources informatiques et est proposée par les hébergeurs sous forme de service sur abonnement. Contrairement aux attaques par force brute et aux attaques par déni de service (DoS), il n'existe aucune garantie que toutes les attaques DDoS soient atténuées avec succès . Tout dépend de la puissance de l'attaque, de la puissance du système anti-DDoS et de la bande passante réseau que le fournisseur de sécurité peut allouer.
L'une des solutions les plus abordables pour protéger WordPress contre les attaques DoS distribuées est d'utiliser les services Cloudflare. Cependant, il existe certains inconvénients à connaître et à prendre en compte. Cloudflare contrôlera tous les enregistrements DNS de votre domaine, le trafic web entrant et sortant de votre site web, y compris les données personnelles de vos clients, car tout le trafic et toutes ces données transitent par les serveurs proxy Cloudflare en clair. Certains utilisateurs ont signalé que Cloudflare rencontrait même des problèmes avec des propriétaires de sites web bloqués. Donc, si vous n'êtes pas confronté à des problèmes de DDoS, comme beaucoup d'entre nous, il n'y a aucune raison d'ajouter une couche supplémentaire qui pourrait vous causer des problèmes supplémentaires.
Une fois que vous avez décidé d'utiliser Cloudflare, nous vous recommandons d'utiliser un module complémentaire Cloudflare spécial pour WP Cerber .
Attraper un intrus
Cerber shows additional WHOIS information about the intruder IP address in the WordPress dashboard
Vous pouvez facilement identifier la source physique d’une attaque : un ordinateur, un appareil mobile, etc.
Si vous avez installé WP Cerber Security & Antispam, consultez cet article : En savoir plus sur l'adresse IP d'un intrus . Le plus décevant est que la grande majorité de ces attaques ne permettent pas de remonter jusqu'à un véritable auteur ou maître. Toute tentative de remonter jusqu'à eux aboutit à un ensemble d'ordinateurs personnels et d'appareils mobiles infectés, utilisés comme marionnettes, points intermédiaires pour une attaque.
En savoir plus sur l'IP de l'intrus
WP Cerber Security 2.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.