Les pirates disposent de plusieurs méthodes pour attaquer un site web. Il est donc essentiel de rester informé sur les menaces les plus fréquentes. Ainsi, vous pouvez poser les bons gestes pour limiter les risques.
Par exemple, des individus malveillants peuvent cibler vos données en passant par votre ordinateur. D’autres fois, ils s’en prennent à un réseau complet.
Parmi les attaques les plus courantes, on retrouve le déni de service (DoS) et l’injection SQL.
Attaques DOS
Une attaque DoS force un seul ordinateur à bombarder votre serveur Web de données. Cette surcharge bloque votre réseau et empêche le site de répondre normalement. Résultat : votre site devient inaccessible. Les visiteurs légitimes ne peuvent plus y accéder. À leurs yeux, le site semble tout simplement en panne.
Lorsqu’elle est menée à petite échelle, une attaque par déni de service est appelée attaque DoS. Dans ce cas, un seul ordinateur tente de submerger votre site Web en l’inondant de requêtes. À plus grande échelle, on parle d’attaque DDoS (Distributed Denial of Service). Cette fois, un botnet — c’est-à-dire un réseau entier d’ordinateurs piratés ou infectés — envoie un volume massif de trafic pour paralyser le site ciblé.
Fait intéressant : la première attaque DDoS connue a été menée par un jeune pirate surnommé « mafiaboy ». À seulement 15 ans, il a réussi à faire tomber yahoo.com pendant près d’une heure, simplement pour impressionner un ami.
Comme une attaque DDoS repose sur la force brute de milliers d’ordinateurs à la fois, elle est beaucoup plus difficile à contrer qu’une attaque DoS classique.
Attaques par injection SQL
Cette attaque survient quand un pirate insère du code malveillant dans votre site, souvent à travers un formulaire. Si le site est mal conçu ou mal protégé, ce code atteint directement la base de données. Le pirate peut alors y injecter des commandes, voler des informations ou même les modifier. Les sites WordPress non mis à jour sont particulièrement vulnérables à ce type d’attaque.
Par exemple, au lieu d’écrire simplement son nom dans un champ comme « Entrez votre nom », le pirate pourrait taper quelque chose comme : Robert'; DROP TABLE Users;Autrement dit, il déclare : « Mon nom est Robert… et je vous ordonne de supprimer tous les utilisateurs de votre site ! »
Prévenir les attaques
Lorsqu’il se agit d’attaques DOS, elles sont, malheureusement, assez difficile à éviter si votre adversaire est déterminé à attaquer votre site. L’Injections SQL, cependant, sont assez simples à empêcher en utilisant une technique visant à assainir (ou échapper) vos entrées. Veillez également à installer les mises à jour de sécurité régulièrement si vous utilisez WordPress. Consultez cet article sur la façon de prévenir les attaques par injection SQL.
Si vous souhaitez en apprendre davantage sur d’autres sujets techniques expliqués simplement pour les nouveaux webmestres, explorez notre blogue — vous y trouverez plein de ressources utiles !
Laisser un commentaire