Dans une de nos études de cas, nous vous avions montré comment nous avons nettoyé une attaque Negative SEO sur Kinsta. Aujourd’hui, nous allons vous montrer quelques étapes et le dépannage que nous avons pris pour arrêter une attaque DDoS sur un petit site eCommerce WordPress. Les attaques DDoS peuvent surgir de nulle part et les petits sites sont généralement encore plus vulnérables, car ils ne sont pas prêts à y faire face quand cela se produit. Laissez-nous vous poser cette question. Si votre site était attaqué demain, que feriez-vous ? Si vous n’avez pas d’idées, vous devriez peut-être mettre cet article dans vos favoris et le lire.

Qu’est-ce qu’une attaque DDoS ?

DDoS est l’abréviation de distributed denial of service. Le but principal d’une attaque DDoS est simplement de submerger votre serveur web et de l’endommager ou de l’arrêter. Une des choses frustrantes avec ce type d’attaque est que l’attaquant ne gagne généralement rien et que rien n’est piraté (lire : WordPress Piraté : Que faire lorsque votre site est en difficulté ?). Le gros problème avec les attaques DDoS est la charge écrasante qui y est associée. Il est fort probable que vous verrez aussi votre bande passante atteindre des sommets incroyables, ce qui pourrait vous coûter des centaines, voire des milliers de dollars. Si vous êtes chez un hébergeur moins cher ou mutualisé, cela peut facilement entraîner la suspension de votre compte.

Le 21 octobre 2016, la plus grande attaque DDoS (liée aux DNS) de l’histoire s’est produite, faisant tomber de grandes entreprises telles que PayPal, Spotify, Twitter, Reddit, et eBay. Certains l’ont même appelé le DNS Doomsday de l’Internet. Alors que le Web continue de croître, il n’est pas surprenant que les attaques DDoS augmentent à un rythme alarmant. En fait, selon les données fournies par easyDNS, les attaques DDoS s’aggravent avec le temps. Pour beaucoup de sites, ce n’est peut-être qu’une question de temps avant que vous ne soyez touché.

Les attaques DDoS au fil du temps

Les attaques DDoS au fil du temps

Selon un rapport de @Link11 GmbH, le volume des attaques DDoS a augmenté de 50% au T2 2018 ! 😨 Cliquez pour Tweet

Chez Kinsta, nous sommes généralement en mesure de repousser plus d’attaques que des hébergeurs moins chers, simplement grâce aux précautions de sécurité supplémentaires que nous avons mises en place. Mais nous recommandons également d’utiliser des entreprises qui disposent de grandes infrastructures et de logiciels conçus spécialement pour contrer les attaques DDoS. Nous serons toujours en faveur de laisser les experts faire ce qu’ils font le mieux. Cloudflare et Sucuri sont deux que nous recommandons pour les utilisateurs de WordPress ou tout autre type de plateforme. Investir dans une protection DDoS décente peut vous faire économiser du temps, de l’argent et de la frustration.

Arrêter une attaque DDoS sur un petit site de EDD

Dans cette étude de cas, nous avions un petit site de commerce électronique WordPress qui utilisait Easy Digital Downloads. Le site ne générait généralement qu’entre 30 et 40 Mo par jour de bande passante et quelques centaines de visiteurs par jour. En juin dernier, il a commencé à utiliser beaucoup de bande passante de façon inattendue, sans que Google Analytics n’affiche de trafic supplémentaire. Le site est instantanément passé à 15-19 Go de transfert de données par jour ! C’est une augmentation de 4 650 %. Ce n’est pas bon. Et ce n’est certainement pas seulement une petite augmentation du trafic des robots. Heureusement, le propriétaire a été en mesure de le repérer rapidement dans Kinsta Analytics.

Haute utilisation de la bande passante sur le site WordPress

Haute utilisation de la bande passante sur le site WordPress

Après avoir vu l’augmentation, il fallait vérifier les logs du serveur pour enquêter sur ce qui se passait. Ce genre de choses peut facilement échapper à tout contrôle. Les 7 derniers jours ont montré que la page /account/ du site avait été demandée 5,110,00 fois et a produit un total de 66 Go de trafic. C’est un site qui génère généralement un peu plus de 1 Go de données totales en un mois entier. Nous avons tout de suite su qu’il se passait quelque chose.

L’analyse des 10 premiers clients IPS au cours des 7 derniers jours sur le site a montré instantanément une activité suspecte. La majorité d’entre eux ont reçu plus de 10 000 demandes, et il y en a eu un bon nombre. Rappelez-vous, c’est un petit site qui ne devrait recevoir que quelques milliers de demandes par mois.

Top 10 des adresses IP des clients

Top 10 des adresses IP des clients (bloquées pour des raisons de sécurité)

Vous pouvez toujours compter sur Google pour vous fournir des données. En entrant quelques-unes des principales IPs dans la recherche, nous pouvions facilement voir que la plupart d’entre elles étaient toutes des adresses proxy, signifiant que quelqu’un voulait très probablement cacher son trafic.

IP Proxy

IP Proxy

Modification des URLs

La toute première chose que nous avons faite a été de changer l’URL de la page /account/ pour quelque chose de différent. C’est toujours une bonne première mesure. Cependant, cela n’a arrêté l’attaque que pour une courte période de temps, jusqu’à ce qu’ils découvrent la nouvelle URL. Rappelez-vous que, comme il s’agit d’un site de eCommerce, il doit avoir une page de compte public. Évidemment, sur un blog seulement, changer l’URL de connexion de WordPress et le cacher complètement arrêtera la plupart de ces types d’attaques, mais cela ne fonctionnait pas dans ce cas. Nous appelons cela la Sécurité WordPress par l’obscurité.

Tentative de piratage ou brute-force ?

Une autre chose que vous pouvez confirmer dans ces situations est que ce n’est pas une tentative de piratage, ce qui n’était pas le cas dans ce cas-ci. WP Security Audit Log est un excellent plugin pour surveiller rapidement et voir s’il y a des tentatives de connexion invalides sur une page. Vous pouvez également vérifier vos logs pour voir s’il y a des actions POST en grande quantité. Il s’agit d’une attaque DDoS classique dans laquelle ils envoient simplement un paquet de trafic vers une partie du site pour essayer de le submerger.

Blocage d’IP

Si vous gérez sur votre propre serveur, la prochaine étape serait probablement d’installer un plugin de blocage d’IP ou de pare-feu tel que WordFence. Cependant, comme la plupart des autres hébergeurs WordPress infogérés, nous n’autorisons pas ce genre de plugins ici chez Kinsta. Pour plusieurs raisons. Tout d’abord, ils peuvent avoir un effet considérable sur vos performances, en particulier avec les fonctions de scan. Deuxièmement, nous utilisons des répartiteurs de charge avec Google Cloud Platform, ce qui signifie que leur fonctionnalité de blocage d’IP ne fonctionnerait pas comme prévu.

C’est pourquoi nous avons construit notre propre outil. Vous pouvez maintenant facilement bloquer les adresses IP manuellement en utilisant l’outil IP Deny dans le tableau de bord MyKinsta. Ou vous pouvez toujours contacter notre équipe de support car nous supportons également le blocage géographique.

Outil IP Deny

Outil IP Deny

Cependant, selon la durée et l’ampleur de l’attaque, il pourrait s’agir d’un processus interminable de mise sur liste noire des adresses IP, qui dans la plupart des cas ne résout pas le problème assez rapidement. Beaucoup d’attaques DDoS, lorsqu’elles sont bloquées dans une zone, apparaîtront simplement dans une autre, ou changeront les adresses IP et les adresses proxy. Dans ce cas, il est donc judicieux de tirer parti d’une solution DDoS qui pourrait aider à automatiser le processus avec leurs règles déjà intégrées compilées à partir de nombreuses années de données.

Le déménagement du site vers Cloudflare n’a pas aidé

Souvent, Cloudflare fait un travail décent pour arrêter le trafic de base des robots, mais quand il s’agit du plan gratuit, leur protection DDoS n’est pas la meilleure. En fait, nous avons déménagé le site vers Cloudflare, ce qui a entraîné un trafic encore plus suspect sur le site. Bien que nous pensons que c’était simplement dû à l’attaque qui redoublait d’efforts. Comme on peut le voir ci-dessous, cela atteignait près de 50 000 demandes par heure. Leur partie CDN fonctionne très bien, mais si vous avez besoin de plus, vous devrez probablement payer.

Requêtes sur Cloudflare

Requêtes sur Cloudflare

Nous avons ensuite mis en place le « Rate Limiting » sur le site. Cela vous permet de créer un trafic basé sur des règles correspondant à une URL, puis de le bloquer/limiter en fonction de l’activité. Cette option peut être activée sur le forfait gratuit et coûte 0,05 $ par tranche de 10 000 demandes. Cependant, au rythme où nous voyions les demandes, cela aurait été environ 36 millions de demandes par mois, ce qui aurait coûté 180 $ par mois à lui seul. Donc, de toute évidence, ce n’était pas une solution qui réglait le problème. Et oui, nous avons essayé tous les types de règles possibles.

Rate Limiting

Rate Limiting

Note : Le rate limiting est facturé en fonction du nombre de bonnes requêtes (non bloquées) qui correspondent à vos règles définies sur tous vos sites Web. Mais dans ce cas, ça ne marchait pas.

L’étape suivante, dont nous savions déjà qu’elle arrivait, consistait à tester un véritable pare-feu pour les applications Web. Beaucoup d’utilisateurs ne s’en rendent pas compte, mais le plan gratuit de Cloudflare ne l’inclut pas. Et cela est presque nécessaire pour stopper les attaques DDoS de nos jours. La prochaine option serait donc de passer au plan Pro de Cloudflare à 20 $/mois. Cependant, c’est là que vous devriez prendre le temps de comparer d’autres solutions tierces.

Gratuit n'est pas toujours meilleur, que ce soit pour la protection DDoS ou l'hébergement #WordPress. 👍 Cliquez pour Tweet

Comparaison de Cloudflare avec Sucuri

À notre avis, deux des meilleures solutions qui existent actuellement pour les pare-feu d’applications Web et qui sont faciles à mettre en œuvre pour tout type de site sont Cloudflare et Sucuri. Note : Nous ne sommes affiliés à aucune de ces sociétés. Cependant, si vous y regardez de plus près, vous verrez que Sucuri est peut-être un bien meilleur rapport qualité-prix pour vous. Jetons un coup d’œil, car ils ont tous les deux des plans à 20 $ / mois.

Cloudflare

Avec le plan Pro de Cloudflare, vous bénéficiez uniquement d’une protection DDoS avancée aux couches 3 et 4 (pour en savoir plus sur les attaques DDoS des couches 3 et 4). Ceci aidera à arrêter automatiquement les attaques TCP SYN, UDP et ICMP sur leurs serveurs périphériques, afin qu’ils n’atteignent jamais votre serveur d’origine. Pour bénéficier de la protection de la couche 7, vous devez passer au forfait à 200 $ / mois. Rappelez-vous qu’il s’agit d’un très petit site de eCommerce, donc 200 $/mois seraient très coûteux, en plus de leurs frais d’hébergement.

Sucuri

Avec le plan de Sucuri à 20 $ / mois, vous obtenez une protection DDoS avancée aux couches 3 et 4, ainsi qu’à la couche 7. Cela permet de détecter automatiquement les changements soudains dans le trafic et protège contre les POST Floods et les attaques basées sur les DNS, de sorte qu’elles n’atteignent jamais votre serveur d’origine. D’emblée, vous verrez probablement une meilleure atténuation des DDoS avec Sucuri. Et dans ce cas, nous voulions la couche 7 pour les attaques HTTP flood.

Une attaque HTTP flood est un type d’attaque d’application de couche 7 qui utilise les requêtes GET/POST valides standard utilisées pour récupérer des informations, comme dans les récupérations de données URL typiques (images, informations, etc.) pendant les sessions SSL. Un flood HTTP GET/POST est une attaque volumétrique qui n’utilise pas de paquets malformés, de techniques de spoofing ou de réflexion. – Sucuri

Sucuri offre également l’équilibrage de charge dans son plan à 70 $/mois alors que Cloudflare a plusieurs frais liés à différents aspects de leur fonction d’équilibrage de charge, tels que la tarification basée sur l’utilisation, si vous voulez un équilibrage de charge géographique, etc.

Les deux ont des caractéristiques similaires telles que la possibilité d’ajouter des défis à certaines pages, la mise en liste noire des adresses IP, etc. Cependant, en ce qui concerne la protection DDoS, Sucuri offre plus. Nous aimons aussi beaucoup l’UI de l’outil IP blacklisting  de Sucuri et comment certaines choses sont configurées par rapport à Cloudflare.

Et n’oubliez pas qu’aucune entreprise ne peut vous promettre une protection à 100 % contre les DDoS, tout ce qu’elle peut faire est de vous aider à les atténuer automatiquement.

Déménagement du site vers Sucuri

Déplacer votre site vers Sucuri est assez facile. Tout comme Cloudflare, il n’y a techniquement rien à installer, car cela agit comme un service proxy complet. Cela signifie que vous pointez vos DNS vers eux, puis vers votre hébergeur. Et essentiellement, le pare-feu d’application Web (ou WAF) se trouve au milieu.

Leur tableau de bord, à notre avis, n’est pas aussi flashy ou moderne que Cloudflare, mais quand il s’agit d’un WAF, vous devriez vraiment vous soucier de la façon dont il fonctionne bien. Comme vous pouvez le voir ci-dessous, il détecte fondamentalement votre IP d’hébergement actuel, et ils vous fournissent un pare-feu IP. C’est à cela que vous pointez votre DNS (Un enregistrement A + un enregistrement AAAA).

Tableau de bord Sucuri

Tableau de bord Sucuri

Vous pouvez être opérationnel sur Sucuri en quelques minutes. Ce qui est bien en cas d’attaque DDoS en cours. Le seul temps d’attente est vraiment la propagation DNS. Ils incluent également un CDN HTTP/2 Anycast. C’est donc plus qu’un simple pare-feu. Il peut également aider à accélérer votre site WordPress. Mais vous pouvez également utiliser votre propre CDN en option, par exemple KeyCDN avec Sucuri.

Ils incluent un certificat SSL gratuit avec Let’s Encrypt ou vous pouvez télécharger le vôtre. Un bémol est que Let’s Encrypt n’est pas automatisé, vous devez ouvrir un ticket. Mais leur processus de certification SSL personnalisé est rapide. Un autre conseil pour la performance est que vous pourriez vouloir activer l’option de mise en cache du site. Ceci honorera le cache de votre serveur d’origine au lieu d’utiliser celui de Sucuri. Il est fort probable que vous ayez déjà configuré la mise en cache sur votre hébergeur WordPress comme vous le souhaitez.

Mise en cache du site sur Sucuri

Mise en cache du site sur Sucuri

Options de sécurité avancées

Sous l’écran de sécurité, vous pouvez facilement bloquer tout le trafic XML-RPC, les robots agressifs, activer des en-têtes de sécurité supplémentaires comme HSTS, et bien plus encore. Note : Le trafic XML-RPC était déjà bloqué sur ce site particulier.

Options de sécurité avancées de Sucuri

Options de sécurité avancées de Sucuri

Vue en temps réel

Une chose que nous aimons vraiment, c’est leur vue de protection DDoS en temps réel. Vous pouvez facilement y accéder et voir un journal complet des requêtes en cours. Vous pouvez en un seul clic bloquer ou débloquer tout ce qui est suspect, et cela vous donnera même une raison si cela a déjà été bloqué.

Protection DDoS en temps réel

Protection DDoS en temps réel

Autres rapports utiles

Il y a beaucoup d’autres rapports utiles, comme le tableau des attaques bloquées. Cela vous permet de voir rapidement un pourcentage des types d’attaques bloquées, y compris les attaques DDoS. D’autres graphiques dans cette fenêtre incluent le trafic par type de navigateur, appareils et codes de réponse HTTP.

Protection DDoS en temps réel

Protection DDoS en temps réel

Le graphique du trafic moyen par heure est pratique pour voir quelles sont les heures de pointe pour votre trafic et un ratio de requêtes bloquées.

Trafic moyen par heure

Trafic moyen par heure

Le tableau du trafic par pays peut vous aider à déterminer si quelque chose provient d’une géolocalisation spécifique. Sous leurs contrôles d’accès, vous pouvez alors facilement bloquer temporairement un pays entier en un seul clic.

Trafic par pays

Trafic par pays

D’autres fonctions du contrôle d’accès incluent la possibilité de dresser une liste blanche et une liste noire des adresses IP et des chemins, de bloquer les user-agents, de bloquer les cookies, de bloquer les référents HTTP et de protéger une certaine page avec un captcha, deux facteurs ou un simple mot de passe.

Contrôle d'accès Sucuri

Contrôle d’accès Sucuri

Est-ce que Sucuri a aidé notre petit site de eCommerce WordPress ? En fait, une heure après la fin de la propagation du DNS, toute la bande passante et les requêtes ont instantanément diminué sur le site (voir ci-dessous) et il n’y a pas eu un seul problème depuis. C’est donc un bon investissement et un gain de temps certain si vous rencontrez des problèmes de ce genre.

Pare-feu de l'application web Sucuri ajouté

Pare-feu de l’application web Sucuri ajouté

Et voici à quoi ressemblait le site quelque temps après le passage à Sucuri. Comme vous pouvez le constater, le transfert de données par jour a été ramené à son niveau initial de 30-40 Mo.

Faible utilisation de la bande passante

Faible utilisation de la bande passante

Même si vous n’êtes pas victime d’une attaque, peut-être voulez-vous simplement un moyen plus facile d’empêcher les robots de voler la bande passante de votre hébergeur. Ils ont aidé WP Beginner à bloquer plus de 450 000 attaques en 3 mois. Nous avons également remarqué un commentaire intéressant sur cet article :

Nous sommes frappés de plein fouet par les robots spammeurs situés sur Amazon AWS et Google Cloud. Savez-vous si le pare-feu Sucuri peut vous aider ? Nous utilisons actuellement WPEngine qui a un pare-feu intégré (qui ne bloque rien) et CloudFlare (qui ne bloque pas non plus le spam), nous sommes à court d’options et espérons vraiment que Sucuri peut nous aider. – AJ

Si vous avez déjà essayé d’autres solutions, essayez peut-être Sucuri. Et ne vous méprenez pas, Cloudflare est toujours une excellente solution pour beaucoup de sites, car nous les recommandons à la plupart de nos clients. Leurs plans supérieurs à 200 $ / mois auraient très probablement aussi permis d’atténuer l’attaque. Cependant, il est toujours bon de connaître les autres solutions disponibles. Surtout si vous avez un budget serré.

Résumé

Espérons que les informations ci-dessus vous donnent un peu plus d’informations sur la façon d’arrêter une attaque DDoS. Ce n’est bien sûr qu’une des nombreuses façons d’aborder la situation. Mais si vous êtes déjà en mode panique, la migration vers Cloudflare ou Sucuri peut vous permettre de reprendre votre travail en un rien de temps. Si vous essayez juste d’économiser de l’argent sur la bande passante des robots collecteurs de mails, un pare-feu d’application Web peut également être une solution très efficace.

Que pensez-vous de Cloudflare vs Sucuri ? Aimez-vous aussi voir ces études de cas avec des données en direct ? Si c’est le cas, faites-le nous savoir ci-dessous car cela nous aide à décider quel type de contenu nous devrions publier à l’avenir.

100
Partages