Étude de cas

2,7 millions d'attaques bloquées
en 14 jours

Comment EagleEye a protégé Imagia contre une vague d'attaques massive — dont 2,3 millions de requêtes malveillantes en une seule journée.

Client Imagia
Secteur Architecture & Design
Plateforme WordPress
Période Mai 2026 (14 jours)
Infrastructure cPanel / AlmaLinux

Résultats en chiffres

Données réelles extraites de notre SIEM — aucun chiffre estimé.

2.7M+
Attaques bloquées (14 jours)
447K
IPs malveillantes distinctes
~3s
Détection → blocage
0
Intrusions réussies
6,654
IPs bloquées dans le firewall
380+
Plages légitimes whitelistées
−67%
Trafic atteignant Apache

Le contexte

Imagia est le site vitrine d'un cabinet d'architecture marocain hébergé sur un serveur cPanel partagé. Sans protection spécifique, il recevait des centaines d'attaques par jour sans visibilité ni moyens de réaction.

La problématique était classique pour les sites WordPress en production : tentatives de brute-force sur wp-login.php, floods XML-RPC, énumération d'utilisateurs — avec un risque réel de compromission.

EagleEye a été déployé début mai 2026. Notre agent a été installé sur le serveur, les règles personnalisées activées, et le blocage automatique configuré via l'API iptables.

L’effet a été immédiat : le spam de requêtes malveillantes a chuté drastiquement et les performances du serveur se sont nettement améliorées — moins de charge CPU, moins de connexions parasites.

Plus significatif encore : grâce aux blocages au niveau réseau (iptables/ipset), le trafic atteignant Apache a été réduit de deux tiers — les requêtes malveillantes sont stoppées avant même d’atteindre le serveur web. Le serveur est aujourd’hui nettement plus réactif pour les visiteurs légitimes.

Chronologie des événements

Les deux premières semaines de protection en temps réel.

01
10 Mai 2026 — Jour 1
Déploiement EagleEye
Agent EagleEye installé, règles WordPress activées, pipeline de blocage opérationnel. 3 499 attaques détectées et bloquées dès la première journée — confirmant que le site était déjà activement ciblé.
3 499 blocages — Jour 1
02
11 Mai 2026 — Jour 2
Montée en charge — première vague
Volume multiplié par 99× en 24h. 346 278 tentatives d'attaque en une journée — en majorité des floods WordPress Login depuis des IPs distribuées. Toutes bloquées au niveau du firewall avant d'atteindre PHP.
346 278 blocages
03
12 Mai 2026 — Jour 3
Attaque coordonnée massive — pic à 2,3M/jour
2 368 935 attaques en une seule journée. Une campagne coordonnée ciblant wp-login.php depuis des milliers d'IPs distinctes réparties mondialement. Le système a maintenu un délai de blocage inférieur à 3 secondes tout au long de l'événement. Aucune intrusion réussie. Aucune dégradation des performances pour les visiteurs légitimes.
Pic: 2 368 935 blocages en 24h
04
13–24 Mai 2026
Retour à la normale — protection continue
Après la vague, le volume est retombé à 600–1 100 attaques/jour — le niveau de bruit de fond habituel pour un site WordPress exposé. 6 654 IPs individuelles et 15 425 plages réseau ont été bloquées définitivement dans le firewall, réduisant la charge des attaquants récidivistes.
Baseline stabilisée

🔴 L'événement du 12 Mai

2 368 935 requêtes malveillantes en 24 heures. La campagne visait exclusivement wp-login.php avec rotation massive d'IPs pour contourner les blocages IP simples.

EagleEye a répondu en détectant les patterns comportementaux (fréquence de requêtes par IP, user-agents, timing) plutôt qu'en se basant uniquement sur des listes noires statiques.

Résultat : blocage au niveau réseau (iptables), avant que les requêtes atteignent Apache ou WordPress. Zéro charge supplémentaire sur PHP ou MySQL.

✅ Ce qui a fonctionné

  • Blocage réseau ~3s même à 2M+ req/jour
  • Aucune interruption de service pour les visiteurs légitimes
  • 380+ crawlers SEO jamais bloqués (Google, Bing, Ahrefs…)
  • FIM actif — aucune modification de fichier WordPress détectée
  • Tableau de bord live — visibilité complète en temps réel

Répartition des vecteurs d'attaque

Basé sur les 2 746 918 alertes de blocage classifiées par le SIEM.

WordPress Login Flood
2,697,564
Flood multi-400 (scanner)
10,554
IDS / Blocklist
11,274
Scan SSH
3,397
Activité HTTP suspecte
3,552
Brute-force SSH (PAM)
4,911
xmlrpc.php flood
2,253

* Barres proportionnelles au volume relatif, pas au total absolu.

Votre site est la prochaine cible.

Pas une hypothèse — une certitude statistique. Les scanners automatisés sondent chaque adresse IP publique en continu.

Démarrer la protection →