Security Blog
Security Blog
Posted By Gregory

Force brute, les attaques DoS et DDoS – quelle est la différence?

Comment sont-ils dangereux? Quels outils ou plugins WordPress peuvent les atténuer? Quelles sont les chances que nous puissions le faire avec succès? Mettons les choses au clair avec ces activités d’intrus que nous voyons tous les jours sur n’importe quel site Web.


English version: Brute-force, DoS, and DDoS attacks – what’s the difference?


Une attaque par force brute est une méthode d'essai et d'erreur utilisée par les pirates informatiques pour deviner des informations d'identification ou des données cryptées telles que des identifiants, des mots de passe ou des clés de cryptage. L’attaque par force brute est toujours l’une des méthodes de piratage de mot de passe les plus populaires pour pirater WordPress de nos jours.

Une attaque par déni de service (DoS) est une attaque destinée à fermer un site Web, le rendant ainsi inaccessible aux utilisateurs auxquels il est destiné en l'inondant de trafic inutile (demandes indésirables). Les attaques par déni de service sont parfois utilisées pour détruire des systèmes de défense informatique. Certaines fonctionnalités de WordPress peuvent être exploitées en tant que vecteur d’attaque. Par exemple, CVE-2018-6389 .

Une attaque DDoS est l'abréviation de Attaque DoS distribuée. Ces attaques sont effectuées en inondant le site Web ciblé d'un trafic inutile provenant de plusieurs appareils ou d'un botnet. Un botnet est un réseau d'ordinateurs infectés par un logiciel malveillant (malware) à l'insu de l'utilisateur, organisés en groupe et contrôlés par des cybercriminels. Les réseaux de zombies modernes peuvent contenir des dizaines de milliers d'appareils mobiles ou d'ordinateurs de bureau compromis. De par leur nature, les attaques DDoS modernes sont coûteuses et nécessitent beaucoup de ressources. Habituellement, cela signifie que vous avez un ennemi puissant qui dispose de suffisamment d’argent gris pour commander ce type d’attaque. Très souvent, les attaques DDoS performantes sont commandées par des concurrents ou des opposants politiques peu scrupuleux.

Alors, quelle est la différence?

Techniquement, ils ont l'air différents, mais du point de vue d'un propriétaire de site Web, la différence réside uniquement dans le but d'une attaque .

Les deux attaques DoS et DDoS ont le même objectif. Et cet objectif est de faire tomber la victime , le site Web ou le serveur Web ciblé, et de réaliser un profit. Parfois, l’attaque DDoS réussit à détruire le système de défense et à obtenir un accès administratif.

Le but des attaques par force brute est d’obtenir un accès administrateur au site Web ciblé afin de réaliser certaines activités illégales qu’un intrus ou un pirate informatique voudrait faire. Leurs activités typiques sont:

  • Vol de données personnelles d'une base de données clients
  • Réorienter les utilisateurs légitimes vers de faux sites Web pour y voler leurs données personnelles
  • Installation de portes dérobées et de chevaux de Troie sur le serveur Web pour pouvoir les utiliser à long terme
  • Installation de logiciels malveillants pour infecter les ordinateurs des administrateurs et des clients
  • Ajout de liens vers des sites Web infectés au contenu de sites Web

Ces attaques affectent-elles réellement WordPress?

Par défaut, WordPress autorise un nombre illimité de tentatives de connexion via le formulaire de connexion XML-RPC ou en envoyant des cookies d'authentification spéciaux. Cela permet de casser les mots de passe avec une relative facilité via l'attaque par force brute mentionnée ci-dessus.

Comment protéger WordPress et atténuer ces attaques

Les deux attaques par force brute et DoS peuvent être atténués avec succès avec le logiciel de sécurité installé sur un site Web. Dans les deux cas, vous n'avez pas besoin d'être un nerd et pouvez obtenir cette protection gratuitement.

  1. Les attaques brutales contre WordPress peuvent être atténués avec succès avec le plug – in gratuit WP Cerber. Parmi les autres fonctionnalités de sécurité, il offre une protection pour les interfaces API XML-RPC et REST.
  2. Les attaques DoS peuvent être atténuées avec une configuration de serveur Web spéciale. Vous ne pouvez pas réaliser cela en installant un plugin de sécurité. La meilleure pratique consiste à utiliser les règles de limitation de débit NGINX. Consultez nos recommandations: Transformez votre WordPress en Fort Knox .

Malheureusement, les attaques DDoS ne peuvent pas être atténuées au niveau d'un serveur Web ou simplement avec un plugin WordPress. Les attaques DDoS ne peuvent être limitées avec succès qu'avec un matériel spécial installé sur le réseau du fournisseur d'hébergement. En raison de la limitation des attaques DDoS, qui nécessitent beaucoup de ressources, cela coûte de l’argent et est fourni en tant que service par des fournisseurs d’hébergement sur la base d’un abonnement. Contrairement aux attaques par force brute et par déni de service, rien ne garantit que toutes les attaques par DDoS seront atténuées avec succès . Tout dépend de la puissance de l'attaque, de la puissance du système anti-DDoS fourni par le fournisseur d'hébergement et de la quantité d'un fournisseur d'hébergement en bande passante réseau.

L’utilisation du service Cloudflare est l’une des solutions les plus abordables pour protéger WordPress des attaques DDoS. Mais il y a quelques inconvénients mineurs. Ces gars-là auront le contrôle de tous vos enregistrements DNS, ainsi que du trafic Web entrant et sortant vers et depuis votre site Web, car tout le trafic passe par les serveurs Cloudflare. Certains utilisateurs ont signalé que Cloudflare avait même des problèmes avec les propriétaires bloqués sur leurs sites Web. Donc, si vous n’avez pas de problèmes de DDoS, comme beaucoup d’entre nous, il n’ya aucune raison d’ajouter une couche supplémentaire qui puisse générer une douleur supplémentaire au cou.

Rattraper un intrus

WordPress IP address information

Cerber shows additional WHOIS information about the intruder IP address in the WordPress dashboard

Vous pouvez facilement identifier une source physique d'attaque – un ordinateur, un appareil mobile, etc.

Si vous avez installé WP Cerber Security & Antispam, consultez cet article: En savoir plus sur l'IP de l'intrus . La chose la plus décevante est que la grande majorité de ces attaques ne peut être attribuée à un véritable artiste ou à un maître. Toute tentative pour les retrouver aboutit à un ensemble de PC domestiques ou d'appareils mobiles infectés utilisés comme marionnettes, points intermédiaires d'une attaque.

Peut-être qu’un jour, il n’y aura pas d’accès anonyme à Internet et que toute personne dans le monde sera responsable de tout le trafic sortant de ses appareils connectés à Internet, mais pour le moment, tous les sites Web sont soumis à la pression des pirates informatiques .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.