Как остановить и предотвратить DDoS-атаку на WordPress

WordPress - один из самых популярных конструкторов веб-сайтов в мире, потому что он предлагает мощные функции и безопасную кодовую базу. Однако это не защищает WordPress или любое другое программное обеспечение от вредоносных DDoS-атак, которые распространены в Интернете.

DDoS-атаки могут замедлить работу веб-сайтов и в конечном итоге сделать их недоступными для пользователей. Эти атаки могут быть нацелены как на небольшие, так и на крупные веб-сайты.

Теперь вам может быть интересно, как может веб-сайт малого бизнеса, использующий WordPress, предотвратить такие DDoS-атаки с ограниченными ресурсами?

В этом руководстве мы покажем вам, как эффективно остановить и предотвратить DDoS-атаку на WordPress. Наша цель - помочь вам научиться управлять безопасностью вашего веб-сайта от DDoS-атак, как профессионал.

Что такое DDoS-атака?

DDoS-атака, сокращение от Distributed Denial of Service Attack, представляет собой тип кибератаки, при которой скомпрометированные компьютеры и устройства используются для отправки или запроса данных с хост-сервера WordPress. Цель этих запросов - замедлить работу целевого сервера и, в конечном итоге, вывести его из строя.

DDoS-атаки - это развитая форма DoS-атак (отказ в обслуживании). В отличие от DoS-атаки, они используют преимущества нескольких взломанных машин или серверов, расположенных в разных регионах.

Эти скомпрометированные машины образуют сеть, которую иногда называют ботнетом. Каждая пораженная машина действует как бот и запускает атаки на целевую систему или сервер.

Это позволяет им какое-то время оставаться незамеченными и наносить максимальный урон, прежде чем они будут заблокированы.

Даже крупнейшие интернет-компании уязвимы для DDoS-атак.

В 2018 году популярная платформа для хостинга кода GitHub стала свидетелем масштабной DDoS-атаки, направленной на их серверы со скоростью 1,3 терабайта в секунду.

Вы также можете вспомнить печально известную атаку 2016 года на DYN (поставщика услуг DNS). Эта атака получила всемирное освещение в СМИ, поскольку затронула многие популярные веб-сайты, такие как Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit и тысячи других веб-сайтов.

Почему происходят DDoS-атаки?

Есть несколько мотивов DDoS-атак. Ниже приведены некоторые из распространенных:

• Технически подкованные люди, которым просто скучно и которые любят приключения
• Люди и группы, пытающиеся изложить политическую точку зрения
• Группы с таргетингом на веб-сайты и услуги определенной страны или региона
• Целевые атаки на конкретный бизнес или поставщика услуг с целью причинения им денежного ущерба
• Шантажировать и собирать выкуп

В чем разница между атакой грубой силы и DDoS-атакой?

Атаки грубой силы обычно пытаются проникнуть в систему, угадывая пароли или пробуя случайные комбинации, чтобы получить несанкционированный доступ к системе.

DDoS-атаки используются исключительно для того, чтобы просто вывести целевую систему из строя, сделать ее недоступной или замедлить ее.

Подробные сведения см. В нашем руководстве о том, как заблокировать атаки методом перебора на WordPress с пошаговыми инструкциями.

Какой ущерб может нанести DDoS-атака?

DDoS-атаки могут сделать веб-сайт недоступным или снизить производительность. Это может привести к ухудшению работы пользователей, потере бизнеса, а затраты на устранение атаки могут исчисляться тысячами долларов.

Вот разбивка этих затрат:

• Потеря бизнеса из-за недоступности сайта
• Стоимость поддержки клиентов для ответа на запросы, связанные с перебоями в обслуживании
• Стоимость предотвращения атаки путем найма служб безопасности или поддержки
• Самая большая цена - плохой пользовательский опыт и репутация бренда.

Как остановить и предотвратить DDoS-атаку на WordPress

DDoS-атаки можно хорошо замаскировать, и с ними сложно бороться. Однако с помощью некоторых базовых рекомендаций по безопасности вы можете предотвратить и легко остановить DDoS-атаки на ваш сайт WordPress.

Вот шаги, которые вы должны предпринять, чтобы предотвратить и остановить DDoS-атаки на ваш сайт WordPress.

Удаление DDoS / Brute Force Attack Verticals

Самое лучшее в WordPress - это то, что он очень гибкий. WordPress позволяет сторонним плагинам и инструментам интегрироваться в ваш сайт и добавлять новые функции.

Для этого WordPress предоставляет программистам доступ к нескольким API. Эти API-интерфейсы представляют собой методы, с помощью которых сторонние плагины и службы WordPress могут взаимодействовать с WordPress.

Однако некоторые из этих API-интерфейсов также могут быть использованы во время DDoS-атаки путем отправки тонны запросов. Вы можете безопасно отключить их, чтобы уменьшить количество запросов.

Отключить XML RPC в WordPress

XML-RPC позволяет сторонним приложениям взаимодействовать с вашим сайтом WordPress. Например, вам нужен XML-RPC для использования приложения WordPress на мобильном устройстве.

Если вы похожи на подавляющее большинство пользователей, которые не используют мобильное приложение, вы можете отключить XML-RPC, просто добавив следующий код в файл .htaccess своего веб-сайта.

# Block WordPress xmlrpc.php requests order deny,allow deny from all

Чтобы узнать об альтернативных методах, см. Наше руководство о том, как легко отключить XML-RPC в WordPress.

Отключить REST API в WordPress

WordPress JSON REST API позволяет плагинам и инструментам получать доступ к данным WordPress, обновлять контент и / или даже удалять его. Вот как вы можете отключить REST API в WordPress.

Первое, что вам нужно сделать, это установить и активировать плагин Disable WP Rest API. Для получения дополнительной информации см. Наше пошаговое руководство по установке плагина WordPress.

Плагин работает "из коробки" и просто отключит REST API для всех не вошедших в систему пользователей.

Активировать WAF (Website Application Firewall)

Отключение таких векторов атак, как REST API и XML-RPC, обеспечивает ограниченную защиту от DDoS-атак. Ваш веб-сайт по-прежнему уязвим для обычных HTTP-запросов.

Хотя вы можете смягчить небольшую DOS-атаку, пытаясь поймать IP-адреса неисправных машин и заблокировать их вручную, этот подход не очень эффективен при борьбе с крупной DDoS-атакой.

Самый простой способ заблокировать подозрительные запросы - активировать брандмауэр веб-приложения.

Брандмауэр веб-приложения действует как прокси-сервер между вашим сайтом и всем входящим трафиком. Он использует интеллектуальный алгоритм, чтобы ловить все подозрительные запросы и блокировать их до того, как они достигнут сервера вашего сайта.

Мы рекомендуем использовать Sucuri, потому что это лучший плагин безопасности WordPress и брандмауэр веб-сайтов. Он работает на уровне DNS, что означает, что они могут поймать DDoS-атаку до того, как сделает запрос на ваш сайт.

Цена на сукури начинается от 20 долларов в месяц (оплачивается ежегодно).

В качестве альтернативы вы также можете использовать Cloudflare. Однако бесплатный сервис Cloudflare обеспечивает лишь ограниченную защиту от DDoS-атак. Вам нужно будет подписаться как минимум на их бизнес-план для защиты от DDoS-атак 7 уровня, который стоит около 200 долларов в месяц.

Смотрите нашу статью о Sucuri и Cloudflare для подробного параллельного сравнения.

Примечание. Брандмауэры приложений веб-сайтов (WAF), которые работают на уровне приложений, менее эффективны во время DDoS-атаки. Они блокируют трафик, когда он уже достиг вашего веб-сервера, поэтому он по-прежнему влияет на общую производительность вашего веб-сайта.

Выяснение, это Brute Force или DDoS-атака

И грубая сила, и DDoS-атаки интенсивно используют ресурсы сервера, что означает, что их симптомы очень похожи. Ваш сайт будет работать медленнее и может дать сбой.

Вы можете легко определить, является ли это атакой грубой силы или DDoS-атакой, просто просмотрев отчеты о входе в плагин Sucuri.

Просто установите и активируйте бесплатный плагин Sucuri, а затем перейдите на страницу Sucuri Security »Последние входы.

Если вы видите большое количество случайных запросов на вход, это означает, что ваш wp-admin подвергся атаке методом грубой силы. Чтобы смягчить его, вы можете ознакомиться с нашим руководством о том, как заблокировать атаки методом перебора в WordPress.

Что делать во время DDoS-атаки

DDoS-атаки могут происходить, даже если у вас есть брандмауэр веб-приложений и другие средства защиты. Такие компании, как CloudFlare и Sucuri, регулярно борются с этими атаками, и в большинстве случаев вы никогда не услышите об этом, поскольку они могут легко смягчить их.

Однако в некоторых случаях, когда эти атаки велики, они все равно могут повлиять на вас. В этом случае лучше быть готовым к устранению проблем, которые могут возникнуть во время и после DDoS-атаки.

Ниже приведены несколько вещей, которые вы можете сделать, чтобы минимизировать влияние DDoS-атаки.

1. Предупредите членов вашей команды

Если у вас есть команда, вам необходимо сообщить коллегам о проблеме. Это поможет им подготовиться к запросам в службу поддержки, выявить возможные проблемы и помочь во время или после атаки.

2. Сообщите клиентам о неудобствах.

DDoS-атака может повлиять на работу пользователей на вашем сайте. Если вы запускаете магазин WooCommerce, ваши клиенты могут не иметь возможности разместить заказ или войти в свою учетную запись.

Вы можете объявить через свои учетные записи в социальных сетях, что у вашего веб-сайта возникли технические проблемы, и вскоре все вернется в норму.

Если атака серьезна, вы также можете использовать службу электронного маркетинга, чтобы общаться с клиентами и просить их следить за вашими обновлениями в социальных сетях.

Если у вас есть VIP-клиенты, вы можете использовать свою служебную телефонную службу, чтобы делать отдельные телефонные звонки и сообщать им, как вы работаете над восстановлением услуг.

Коммуникация в эти трудные времена имеет огромное значение для сохранения репутации вашего бренда.

3. Обратитесь в службу поддержки хостинга и безопасности.

Свяжитесь со своим хостинг-провайдером WordPress. Атака, свидетелем которой вы можете быть, может быть частью более крупной атаки, нацеленной на их системы. В этом случае они смогут предоставить вам последние новости о ситуации.

Обратитесь в службу брандмауэра и сообщите им, что ваш сайт подвергся DDoS-атаке. Они могут смягчить ситуацию еще быстрее и предоставить вам дополнительную информацию.

В провайдерах брандмауэров, таких как Sucuri, вы также можете установить свои настройки в параноидальном режиме, который помогает заблокировать множество запросов и сделать ваш сайт доступным для обычных пользователей.

Обеспечение безопасности вашего сайта WordPress

WordPress вполне безопасен из коробки. Однако, будучи самым популярным в мире конструктором веб-сайтов, он часто становится целью хакеров.

К счастью, существует множество передовых методов обеспечения безопасности, которые вы можете применить на своем веб-сайте, чтобы сделать его еще более безопасным.

Мы составили полное пошаговое руководство по безопасности WordPress для начинающих. Он проведет вас через лучшие настройки безопасности WordPress для защиты вашего веб-сайта и его данных от распространенных угроз.

Мы надеемся, что эта статья помогла вам узнать, как заблокировать и предотвратить DDoS-атаку на WordPress. Вы также можете ознакомиться с нашим руководством по наиболее распространенным ошибкам WordPress и способам их исправления.