Les attaques par déni de service distribué (DDoS) atteignent des niveaux records en 2025, et une tendance inquiétante se confirme : les cybercriminels exploitent massivement les vulnérabilités non corrigées, en particulier dans les appareils connectés et les infrastructures mal sécurisées. Retour sur les chiffres, les méthodes et les bonnes pratiques pour protéger votre site WordPress.
Une vague d’attaques DDoS sans précédent
Selon NetScout, plus de 27 000 attaques DDoS orchestrées par des botnets ont été recensées rien qu’en mars 2025. Les fournisseurs de services ont été ciblés en moyenne toutes les deux minutes, avec des pics à plus de 1 600 attaques par jour. Les attaques durent en moyenne 18 minutes, soit plus longtemps que la moyenne mondiale, ce qui traduit une évolution vers des campagnes plus persistantes et ciblées.
Source : ITPro, NetScout
Pourquoi les vulnérabilités non corrigées sont-elles visées ?
Les appareils IoT et les équipements réseau, souvent choisis pour leur faible coût, sont rarement mis à jour ou corrigés. Cela laisse la porte ouverte à des failles connues, parfois vieilles de plusieurs années, comme CVE-2017-16894 ou CVE-2021-27162. Les attaquants s’appuient sur ces faiblesses pour constituer d’immenses réseaux de machines zombies (botnets) capables de lancer des attaques coordonnées à grande échelle.
Les ports 80 et 443 (web et HTTPS) sont les plus fréquemment ciblés, et les attaques multi-vecteurs (ex. : SYN Flood, DNS Flooding) se multiplient, rendant la défense plus complexe.
Des groupes organisés et motivés
Des groupes comme NoName057(16) revendiquent des centaines d’attaques chaque mois, souvent à motivation politique, contre des gouvernements, des infrastructures ou des entreprises stratégiques. Plus de 500 adresses IP et 575 domaines différents ont été ciblés en mars, preuve de l’ampleur et de la sophistication des campagnes.
Les attaques proviennent de multiples pays, la Mongolie étant en tête pour les infections IoT, mais l’Allemagne et les États-Unis figurent aussi parmi les sources principales, notamment via l’exploitation de ressources cloud ou d’entreprises mal protégées.
WordPress : une cible de choix
WordPress, qui propulse plus de 40 % des sites web mondiaux, n’est pas épargné. Les plugins et thèmes non mis à jour représentent 97 % des failles de sécurité recensées sur la plateforme. En mai 2025, le plugin OttoKit (plus de 100 000 installations actives) a ainsi été la cible d’exploitations massives de deux failles critiques, permettant à des attaquants de prendre le contrôle de sites vulnérables.
Sources : The Hacker News, Wordfence
Comment se protéger efficacement ?
- Mettez à jour WordPress, vos plugins et vos thèmes dès qu’un correctif est disponible. Activez les mises à jour automatiques si possible.
- Désactivez ou supprimez les extensions inutilisées : chaque plugin obsolète est une cible potentielle.
- Utilisez un pare-feu d’application web (WAF) pour filtrer le trafic malveillant avant qu’il n’atteigne votre site.
- Protégez vos accès administrateur avec des mots de passe forts et l’authentification à deux facteurs.
- Surveillez les journaux d’activité et configurez des alertes en cas de comportement suspect.
- Choisissez un hébergeur sécurisé qui propose des solutions anti-DDoS et des sauvegardes régulières.
En résumé
Les attaques DDoS exploitant des vulnérabilités non corrigées sont en forte hausse en 2025. La négligence dans l’application des correctifs et la gestion des extensions exposent les sites WordPress à des risques majeurs. Face à des cybercriminels toujours plus organisés et outillés, la mise à jour régulière et la vigilance restent vos meilleurs alliés pour protéger votre site et vos visiteurs.
Sources : ITPro, NetScout, The Hacker News, Wordfence, Patchstack