WordPress – один из самых популярных в мире разработчиков сайтов, предлагающий мощные функции и защищенную базу кода. Однако это не защищает WordPress или любое другое программное обеспечение от вредоносных DDoS-атак, распространенных в Интернете.
DDoS-атаки могут замедлить работу веб-сайтов и в конечном итоге сделать их недоступными для пользователей. Эти атаки могут быть направлены на большие и маленькие сайты.
Теперь вам может быть интересно, как веб-сайт малого бизнеса, использующий WordPress, может предотвратить эти DDoS-атаки с ограниченными ресурсами.
В этом руководстве мы покажем вам, как эффективно остановить и предотвратить DDoS-атаку в WordPress. Наша цель – помочь вам научиться управлять безопасностью вашего сайта от DDoS-атак, как профессионал.
Что такое DDoS-атака?
DDoS-атака, сокращенно «Распределенная атака типа« отказ в обслуживании »), представляет собой тип кибер-атаки, в которой используются скомпрометированные компьютеры и устройства для отправки или запроса данных с хост-сервера WordPress. Целью этих запросов является замедление и, в конечном итоге, сбой конечного сервера.
DDoS-атаки являются развитой формой DoS-атак (отказ в обслуживании). В отличие от DoS-атак, они используют преимущества нескольких скомпрометированных машин или серверов, распределенных по разным регионам.
Эти скомпрометированные машины образуют сеть, которую иногда называют ботнетом. Каждая затронутая машина действует как бот и запускает атаки на нее на целевой системе или сервере.
Это позволяет им некоторое время оставаться незамеченными и наносить максимальный урон перед блокировкой.
Даже крупнейшие интернет-компании уязвимы для DDoS-атак.
В 2018 году популярная платформа код-хостинга GitHub стала свидетелем масштабной DDoS-атаки, которая отправляла 1,3 терабайта в секунду трафика на свои серверы.
Вы также можете вспомнить знаменитую атаку в 2016 году на DYN (поставщик услуг DNS). Эта атака освещалась во всем мире, так как затрагивала многие популярные сайты, включая Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit и тысячи других сайтов.
Почему происходят DDoS-атаки?
Есть несколько мотивов DDoS-атак. Вот некоторые из них:
В чем разница между грубой силой и DDoS-атакой?
Атаки грубой силой обычно пытаются проникнуть в систему путем угадывания паролей или использования случайных комбинаций для получения несанкционированного доступа к системе.
DDoS-атаки просто используются для блокировки целевой системы, делая ее недоступной или замедляя ее.
Для получения дополнительной информации см. Наше руководство о том, как блокировать атаки методом перебора в WordPress, с пошаговыми инструкциями.
Какой урон может нанести DDoS-атака?
DDoS-атаки могут сделать сайт недоступным или снизить производительность. Это может привести к ухудшению работы пользователей, потере бизнеса, а затраты на смягчение атаки могут достигать тысяч долларов.
Вот разбивка этих затрат:
Как остановить и остановить DDoS-атаку в WordPress
DDoS-атаки могут быть хитро замаскированы и трудны в обращении. Однако с некоторыми базовыми рекомендациями по безопасности вы можете легко предотвратить и предотвратить атаки DDoS на ваш сайт WordPress.
Вот шаги, которые вы должны предпринять, чтобы предотвратить и остановить DDoS-атаки на ваш сайт WordPress.
Устранить грубую силу DDoS / Вертикальная атака
Самое лучшее в WordPress – это то, что он очень гибкий. WordPress позволяет интегрировать сторонние плагины и инструменты на ваш сайт и добавлять новые функции.
Для этого WordPress предоставляет разработчикам несколько API. Эти API-интерфейсы представляют собой методы, с помощью которых сторонние плагины и службы WordPress могут взаимодействовать с WordPress.
Тем не менее, некоторые из этих API-интерфейсов также могут быть использованы во время DDoS-атаки путем отправки нескольких запросов. Вы можете безопасно отключить их, чтобы уменьшить эти запросы.
Отключить XML RPC в WordPress
XML-RPC позволяет сторонним приложениям взаимодействовать с вашим сайтом WordPress. Например, вам нужен XML-RPC для использования приложения WordPress на вашем мобильном устройстве.
Если большинство пользователей не используют мобильное приложение, вы можете отключить XML-RPC, просто добавив следующий код в файл .htaccess вашего веб-сайта.
# Блокировать запросы WordPress xmlrpc.php
приказ отказать, разрешить
отказать всем
Для альтернативных методов, ознакомьтесь с нашим руководством о том, как легко отключить XML-RPC в WordPress.
Отключить REST API в WordPress
WordPress REST JSON API позволяет плагинам и инструментам получать доступ к данным WordPress, обновлять содержимое и / или даже удалять их. Вот как вы можете отключить REST API в WordPress.
Первое, что вы должны сделать, это установить и активировать плагин Disable API WP Rest. Для получения более подробной информации, смотрите наше пошаговое руководство по установке плагина WordPress.
Плагин работает сразу и отключает REST API для всех автономных пользователей.
Включить WAF (межсетевой экран приложения сайта)
Отключение векторов атак, таких как REST API и XML-RPC, обеспечивает ограниченную защиту от DDoS-атак. Ваш сайт по-прежнему уязвим для обычных HTTP-запросов.
Хотя вы можете смягчить небольшую атаку DOS, пытаясь обнаружить IP-адреса не той машины и вручную заблокировать их, этот подход не очень эффективен, когда речь идет о большой DDoS-атаке.
Самый простой способ заблокировать подозрительные запросы – активировать брандмауэр приложения веб-сайта.
Брандмауэр приложения веб-сайта действует как прокси-сервер между веб-сайтом и всем входящим трафиком. Он использует интеллектуальный алгоритм, чтобы обнаружить все подозрительные запросы и заблокировать их, прежде чем они достигнут сервера вашего сайта.
Мы рекомендуем использовать Sucuri, потому что это лучший плагин безопасности WordPress и брандмауэр веб-сайта. Он работает на уровне DNS, что означает, что они могут обнаружить DDoS-атаку, прежде чем вы сможете сделать запрос на свой сайт.
Цены Sucuri начинаются с 20 долларов в месяц (оплачивается ежегодно).
Мы используем Sucuri в WPBeginner. Посмотрите наше исследование о том, как они помогают блокировать сотни тысяч атак на нашем сайте.
Кроме того, вы также можете использовать Cloudflare. Однако бесплатный сервис Cloudflare обеспечивает только ограниченную защиту от DDoS. Вам нужно будет подписаться как минимум на свой 7-уровневый бизнес-план защиты DDoS, который стоит около 200 долларов в месяц.
Смотрите нашу статью Sucuri vs Cloudflare для подробного параллельного сравнения.
Примечание: Брандмауэры веб-приложений (WAF), работающие на уровне приложений, менее эффективны во время DDoS-атаки. Они блокируют трафик, как только он достигает веб-сервера, и это все еще влияет на общую производительность вашего сайта.
Узнайте, является ли это грубой силой или DDoS-атакой
Брутфорс и DDoS-атаки интенсивно используют ресурсы сервера, что означает, что их симптомы очень похожи. Ваш сайт будет тормозить и может произойти сбой.
Вы можете легко узнать, является ли это грубой силой или DDoS-атакой, просто посмотрев отчеты о входе в плагин Sucuri.
Просто установите и активируйте бесплатный плагин Sucuri, а затем перейдите на Sucuri Security »Последние логины стр.
Если вы видите много случайных запросов на вход в систему, это означает, что ваш wp-admin подвергся атаке методом подбора. Чтобы смягчить это, вы можете посмотреть наше руководство о том, как блокировать атаки методом перебора в WordPress.
Что делать во время DDoS-атаки
DDoS-атаки могут происходить, даже если у вас есть брандмауэр веб-приложения и другие средства защиты. Такие компании, как CloudFlare и Sucuri, регулярно обрабатывают эти атаки, и большую часть времени вы никогда не узнаете об этом, поскольку вы легко можете их смягчить.
Однако в некоторых случаях, когда эти атаки велики, они все равно могут повлиять на вас. В этом случае лучше всего быть готовым к смягчению любых проблем, которые могут возникнуть во время и после атаки DDoS.
Ниже приведены некоторые действия, которые можно предпринять, чтобы минимизировать влияние DDoS-атаки.
1. Оповещение членов вашей команды
Если у вас есть команда, сообщите об этом своим коллегам. Это поможет им подготовиться к запросам клиентов, найти потенциальные проблемы и помочь во время или после атаки.
2. Сообщите клиентам о неудобствах.
DDoS-атака может повлиять на работу вашего сайта. Если вы управляете магазином WooCommerce, ваши клиенты могут не иметь возможности разместить заказ или войти в свою учетную запись.
Вы можете объявить через свои учетные записи в социальных сетях, что ваш сайт испытывает технические трудности и что все скоро нормализуется.
Если атака велика, вы также можете использовать почтовый маркетинг, чтобы общаться с клиентами и просить их следить за обновлениями в социальных сетях.
Если у вас есть VIP-клиенты, вы можете использовать телефонную службу своей компании, чтобы совершать отдельные телефонные звонки и сообщать о том, как вы работаете над восстановлением услуг.
Общение в эти трудные времена очень важно для поддержания репутации вашего бренда.
3. Обратитесь в службу поддержки хостинга и безопасности
Обратитесь к вашему провайдеру WordPress. Атака, которую вы видите, может быть частью более масштабной атаки, нацеленной на ваши системы. В этом случае они смогут предоставить последние обновления ситуации.
Обратитесь в службу межсетевого экрана и сообщите им, что ваш сайт подвергается DDoS-атаке. Они могут смягчить ситуацию еще быстрее и могут предоставить больше информации.
У провайдеров брандмауэров, таких как Sucuri, вы также можете настроить свои параметры в параноидальном режиме, который помогает блокировать множество запросов и сделать ваш сайт доступным для обычных пользователей.
Держите свой сайт WordPress в безопасности
WordPress довольно безопасен из коробки. Однако, как самый популярный в мире конструктор сайтов, хакеры часто нападают на него.
К счастью, есть много рекомендаций по безопасности, которые вы можете применить на своем сайте, чтобы сделать его еще более безопасным.
Мы составили полное пошаговое руководство по безопасности WordPress для начинающих. Он проведет вас через лучшие настройки безопасности WordPress для защиты вашего сайта и данных от распространенных угроз.
Мы надеемся, что эта статья помогла вам узнать, как блокировать и предотвращать DDoS-атаки в WordPress. Вы также можете ознакомиться с нашим руководством по наиболее распространенным ошибкам WordPress и способам их устранения.
Если вам понравилась эта статья, подпишитесь на наш канал YouTube, чтобы посмотреть обучающие видеоролики WordPress. Вы также можете найти нас на Twitter и Facebook,
