Attaques par force brute, DoS et DDoS : quelle est la différence ?
Ces types de cyberattaques sont bien connus depuis les débuts d’Internet. Posent-ils un risque de sécurité pour WordPress ? Quels outils de sécurité peuvent les atténuer efficacement ? Quelles sont les chances que nous puissions y parvenir avec succès ?
English version: Brute-force, DoS, and DDoS attacks – what’s the difference?
Une attaque par force brute est une méthode d'essais et d'erreurs utilisée par les pirates pour deviner des informations d'identification ou des données cryptées telles que des identifiants, des mots de passe ou des clés de cryptage, grâce à un effort exhaustif (en utilisant la force brute) dans l'espoir de deviner finalement correctement. L’attaque par force brute est l’une des méthodes de craquage de mot de passe les plus populaires pour pirater WordPress.
Une attaque par déni de service (DoS) est une attaque visant à fermer un site Web ou un serveur Web, le rendant inaccessible à ses utilisateurs prévus en l'inondant de trafic inutile (requêtes indésirables) provenant d'un seul hôte (adresse IP). Parfois, les attaques DoS sont utilisées pour détruire les systèmes de défense informatique. Certaines fonctionnalités de WordPress peuvent être exploitées comme vecteur d’attaque pour les attaques DoS. Par exemple, CVE-2018-6389 .
Une attaque DDoS est l'abréviation de « Distributed DoS Attack ». De telles attaques sont organisées en inondant le site Web ou le serveur Web ciblé avec du trafic inutile provenant de plusieurs appareils ou d'un botnet. Un botnet est un réseau d'ordinateurs infectés par un logiciel malveillant (malware) à l'insu de l'utilisateur, organisés en groupe et contrôlés par des cybercriminels. Les botnets modernes peuvent contenir des dizaines de milliers d’appareils mobiles ou d’ordinateurs de bureau compromis. De par leur nature, les attaques DDoS modernes sont coûteuses et nécessitent beaucoup de ressources. Habituellement, cela signifie que vous avez un ennemi puissant qui dispose de suffisamment d’argent gris pour ordonner ce type d’attaque. Très souvent, les attaques DDoS croissantes sont ordonnées par des concurrents ou des opposants politiques sans scrupules.
Alors, quelle est la différence ?
Techniquement, ils semblent différents, mais du point de vue du propriétaire d'un site Web, la différence réside uniquement dans le but de l'attaque .
Les attaques DoS et DDoS ont le même objectif. Et cet objectif est de faire tomber la victime , le site Web ciblé ou le serveur Web et d'en tirer profit. Parfois, l'attaque DDoS vise à détruire un système de défense et à obtenir un accès administratif.
L’objectif des attaques par force brute est d’obtenir un accès administrateur au site Web ciblé afin d’effectuer une activité illégale que l’intrus/hacker souhaite réaliser. Leurs activités typiques sont :
- Rediriger les utilisateurs légitimes vers de faux sites Web pour voler leurs données personnelles
- Création de pages de phishing avec des formulaires de paiement qui imitent les formulaires légitimes sur le site Web de la victime
- Voler des données personnelles dans une base de données clients
- Installation de portes dérobées et de chevaux de Troie sur le serveur Web pour les utiliser comme outils pour attaquer d'autres sites Web
- Installation de logiciels malveillants pour infecter les ordinateurs des administrateurs et des clients
- Modification du contenu d'un site Web fiable pour insérer des liens vers des sites Web de phishing
Comment ces attaques affectent-elles WordPress ?
Par défaut, WordPress autorise des tentatives de connexion illimitées via le formulaire de connexion, l'API REST , XML-RPC ou en envoyant des cookies d'authentification spéciaux. Cela permet de déchiffrer les mots de passe avec une relative facilité via l'attaque par force brute mentionnée ci-dessus.
Comment protéger WordPress et atténuer ces attaques
Les attaques par force brute et DoS peuvent être atténuées avec succès grâce à un logiciel de sécurité installé sur un site Web. Dans les deux cas, vous n’avez pas besoin d’être un nerd et pouvez bénéficier de cette protection gratuitement.
- Les attaques par force brute contre WordPress peuvent être atténuées avec succès par le plugin WP Cerber. Entre autres fonctionnalités de sécurité, il protège les interfaces XML-RPC et REST API .
- Les attaques DoS peuvent être atténuées grâce à une configuration de serveur Web spéciale. Vous ne pouvez pas y parvenir en installant un plugin de sécurité. La meilleure pratique consiste à utiliser les règles de limitation de débit NGINX. Consultez nos recommandations : Transformez votre WordPress en Fort Knox .
Malheureusement, les attaques DDoS ne peuvent pas être atténuées au niveau du serveur Web ou simplement avec un plugin WordPress. Les attaques DDoS ne peuvent être atténuées avec succès qu'avec du matériel spécial installé sur le réseau du fournisseur d'hébergement. En raison de leur nature, l'atténuation des attaques DDoS nécessite beaucoup de ressources informatiques et est fournie sous forme de service par les fournisseurs d'hébergement sur la base d'un abonnement. Contrairement aux attaques par force brute et DoS, rien ne garantit que toutes les attaques DDoS seront atténuées avec succès . Tout dépend de la puissance de l'attaque, de la puissance du système anti-DDoS et de la quantité de bande passante réseau que le fournisseur de sécurité peut allouer.
L'une des solutions les plus abordables pour protéger WordPress contre les attaques DoS distribuées consiste à utiliser les services Cloudflare. Mais il existe certains inconvénients que vous devez connaître et prendre en compte. Cloudflare aura le contrôle de tous vos enregistrements DNS pour votre domaine, du trafic Web vers et depuis votre site Web, y compris les données personnelles de vos clients, car tout le trafic et toutes ces données passent par les serveurs proxy Cloudflare sous forme non cryptée. Certains utilisateurs ont signalé que Cloudflare avait même des problèmes avec les propriétaires bloqués hors de leurs sites Web. Donc, si vous n’avez aucun problème avec les DDoS, comme beaucoup d’entre nous, il n’y a aucune raison d’ajouter une couche supplémentaire qui peut générer des douleurs supplémentaires au cou.
Une fois que vous avez décidé d'opter pour Cloudflare, nous vous recommandons d'utiliser un module complémentaire Cloudflare spécial pour WP Cerber .
Rattraper un intrus
Cerber shows additional WHOIS information about the intruder IP address in the WordPress dashboard
Vous pouvez facilement identifier la source physique d'une attaque : un ordinateur, un appareil mobile, etc.
Si WP Cerber Security & Antispam est installé, consultez cet article : En savoir plus sur l'adresse IP de l'intrus . Le plus décevant est que la grande majorité de ces attaques ne peuvent pas être attribuées à un véritable artiste ou à un maître. Chaque tentative pour les retrouver aboutit à un ensemble d’ordinateurs personnels et d’appareils mobiles infectés qui sont utilisés comme des marionnettes, des points intermédiaires pour une attaque.
WP Cerber Security 1.7
WP Cerber Security 1.8
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.