Как остановить и предотвратить DDoS-атаку на WordPress

/

WordPress - один из самых популярных конструкторов веб-сайтов в мире, потому что он предлагает мощные функции и безопасную кодовую базу. Однако это не защищает WordPress или любое другое программное обеспечение от вредоносных DDoS-атак, которые распространены в Интернете.

DDoS-атаки могут замедлить работу веб-сайтов и в конечном итоге сделать их недоступными для пользователей. Эти атаки могут быть нацелены как на небольшие, так и на крупные веб-сайты.

Теперь вам может быть интересно, как может веб-сайт малого бизнеса, использующий WordPress, предотвратить такие DDoS-атаки с ограниченными ресурсами?

В этом руководстве мы покажем вам, как эффективно остановить и предотвратить DDoS-атаку на WordPress. Наша цель - помочь вам научиться управлять безопасностью вашего веб-сайта от DDoS-атак, как профессионал.

Остановка и предотвращение DDOS-атаки на сайт WordPress

Что такое DDoS-атака?

DDoS-атака, сокращение от Distributed Denial of Service Attack, представляет собой тип кибератаки, при которой скомпрометированные компьютеры и устройства используются для отправки или запроса данных с хост-сервера WordPress. Цель этих запросов - замедлить работу целевого сервера и, в конечном итоге, вывести его из строя.

DDoS-атаки - это развитая форма DoS-атак (отказ в обслуживании). В отличие от DoS-атаки, они используют преимущества нескольких взломанных машин или серверов, расположенных в разных регионах.

Эти скомпрометированные машины образуют сеть, которую иногда называют ботнетом. Каждая пораженная машина действует как бот и запускает атаки на целевую систему или сервер.

Это позволяет им какое-то время оставаться незамеченными и наносить максимальный урон, прежде чем они будут заблокированы.

Схема DDoS-атаки

Даже крупнейшие интернет-компании уязвимы для DDoS-атак.

В 2018 году популярная платформа для хостинга кода GitHub стала свидетелем масштабной DDoS-атаки, направленной на их серверы со скоростью 1,3 терабайта в секунду.

Вы также можете вспомнить печально известную атаку 2016 года на DYN (поставщика услуг DNS). Эта атака получила всемирное освещение в СМИ, поскольку затронула многие популярные веб-сайты, такие как Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit и тысячи других веб-сайтов.

Почему происходят DDoS-атаки?

Есть несколько мотивов DDoS-атак. Ниже приведены некоторые из распространенных:

  • Технически подкованные люди, которым просто скучно и которые любят приключения
  • Люди и группы, пытающиеся изложить политическую точку зрения
  • Группы с таргетингом на веб-сайты и услуги определенной страны или региона
  • Целевые атаки на конкретный бизнес или поставщика услуг с целью причинения им денежного ущерба
  • Шантажировать и собирать выкуп

В чем разница между атакой грубой силы и DDoS-атакой?

Атака грубой силы

Атаки грубой силы обычно пытаются проникнуть в систему, угадывая пароли или пробуя случайные комбинации, чтобы получить несанкционированный доступ к системе.

DDoS-атаки используются исключительно для того, чтобы просто вывести целевую систему из строя, сделать ее недоступной или замедлить ее.

Подробные сведения см. В нашем руководстве о том, как заблокировать атаки методом перебора на WordPress с пошаговыми инструкциями.

Какой ущерб может нанести DDoS-атака?

DDoS-атаки могут сделать веб-сайт недоступным или снизить производительность. Это может привести к ухудшению работы пользователей, потере бизнеса, а затраты на устранение атаки могут исчисляться тысячами долларов.

Вот разбивка этих затрат:

  • Потеря бизнеса из-за недоступности сайта
  • Стоимость поддержки клиентов для ответа на запросы, связанные с перебоями в обслуживании
  • Стоимость предотвращения атаки путем найма служб безопасности или поддержки
  • Самая большая цена - плохой пользовательский опыт и репутация бренда.

Как остановить и предотвратить DDoS-атаку на WordPress

DDoS-атаки можно хорошо замаскировать, и с ними сложно бороться. Однако с помощью некоторых базовых рекомендаций по безопасности вы можете предотвратить и легко остановить DDoS-атаки на ваш сайт WordPress.

Вот шаги, которые вы должны предпринять, чтобы предотвратить и остановить DDoS-атаки на ваш сайт WordPress.

Удаление DDoS / Brute Force Attack Verticals

Самое лучшее в WordPress - это то, что он очень гибкий. WordPress позволяет сторонним плагинам и инструментам интегрироваться в ваш сайт и добавлять новые функции.

Для этого WordPress предоставляет программистам доступ к нескольким API. Эти API-интерфейсы представляют собой методы, с помощью которых сторонние плагины и службы WordPress могут взаимодействовать с WordPress.

Однако некоторые из этих API-интерфейсов также могут быть использованы во время DDoS-атаки путем отправки тонны запросов. Вы можете безопасно отключить их, чтобы уменьшить количество запросов.

Отключить XML RPC в WordPress

XML-RPC позволяет сторонним приложениям взаимодействовать с вашим сайтом WordPress. Например, вам нужен XML-RPC для использования приложения WordPress на мобильном устройстве.

Если вы похожи на подавляющее большинство пользователей, которые не используют мобильное приложение, вы можете отключить XML-RPC, просто добавив следующий код в файл .htaccess своего веб-сайта.

# Block WordPress xmlrpc.php requests order deny,allow deny from all

Чтобы узнать об альтернативных методах, см. Наше руководство о том, как легко отключить XML-RPC в WordPress.

Отключить REST API в WordPress

WordPress JSON REST API позволяет плагинам и инструментам получать доступ к данным WordPress, обновлять контент и / или даже удалять его. Вот как вы можете отключить REST API в WordPress.

Первое, что вам нужно сделать, это установить и активировать плагин Disable WP Rest API. Для получения дополнительной информации см. Наше пошаговое руководство по установке плагина WordPress.

Плагин работает "из коробки" и просто отключит REST API для всех не вошедших в систему пользователей.

Активировать WAF (Website Application Firewall)

Брандмауэр приложения веб-сайта (WAF)

Отключение таких векторов атак, как REST API и XML-RPC, обеспечивает ограниченную защиту от DDoS-атак. Ваш веб-сайт по-прежнему уязвим для обычных HTTP-запросов.

Хотя вы можете смягчить небольшую DOS-атаку, пытаясь поймать IP-адреса неисправных машин и заблокировать их вручную, этот подход не очень эффективен при борьбе с крупной DDoS-атакой.

Самый простой способ заблокировать подозрительные запросы - активировать брандмауэр веб-приложения.

Брандмауэр веб-приложения действует как прокси-сервер между вашим сайтом и всем входящим трафиком. Он использует интеллектуальный алгоритм, чтобы ловить все подозрительные запросы и блокировать их до того, как они достигнут сервера вашего сайта.

Брандмауэр приложения веб-сайта

Мы рекомендуем использовать Sucuri, потому что это лучший плагин безопасности WordPress и брандмауэр веб-сайтов. Он работает на уровне DNS, что означает, что они могут поймать DDoS-атаку до того, как сделает запрос на ваш сайт.

Цена на сукури начинается от 20 долларов в месяц (оплачивается ежегодно).

В качестве альтернативы вы также можете использовать Cloudflare. Однако бесплатный сервис Cloudflare обеспечивает лишь ограниченную защиту от DDoS-атак. Вам нужно будет подписаться как минимум на их бизнес-план для защиты от DDoS-атак 7 уровня, который стоит около 200 долларов в месяц.

Смотрите нашу статью о Sucuri и Cloudflare для подробного параллельного сравнения.

Примечание. Брандмауэры приложений веб-сайтов (WAF), которые работают на уровне приложений, менее эффективны во время DDoS-атаки. Они блокируют трафик, когда он уже достиг вашего веб-сервера, поэтому он по-прежнему влияет на общую производительность вашего веб-сайта.

Выяснение, это Brute Force или DDoS-атака

И грубая сила, и DDoS-атаки интенсивно используют ресурсы сервера, что означает, что их симптомы очень похожи. Ваш сайт будет работать медленнее и может дать сбой.

Вы можете легко определить, является ли это атакой грубой силы или DDoS-атакой, просто просмотрев отчеты о входе в плагин Sucuri.

Просто установите и активируйте бесплатный плагин Sucuri, а затем перейдите на страницу Sucuri Security »Последние входы.

Неудачный вход

Если вы видите большое количество случайных запросов на вход, это означает, что ваш wp-admin подвергся атаке методом грубой силы. Чтобы смягчить его, вы можете ознакомиться с нашим руководством о том, как заблокировать атаки методом перебора в WordPress.

Что делать во время DDoS-атаки

DDoS-атаки могут происходить, даже если у вас есть брандмауэр веб-приложений и другие средства защиты. Такие компании, как CloudFlare и Sucuri, регулярно борются с этими атаками, и в большинстве случаев вы никогда не услышите об этом, поскольку они могут легко смягчить их.

Однако в некоторых случаях, когда эти атаки велики, они все равно могут повлиять на вас. В этом случае лучше быть готовым к устранению проблем, которые могут возникнуть во время и после DDoS-атаки.

Ниже приведены несколько вещей, которые вы можете сделать, чтобы минимизировать влияние DDoS-атаки.

1. Предупредите членов вашей команды

Если у вас есть команда, вам необходимо сообщить коллегам о проблеме. Это поможет им подготовиться к запросам в службу поддержки, выявить возможные проблемы и помочь во время или после атаки.

2. Сообщите клиентам о неудобствах.

DDoS-атака может повлиять на работу пользователей на вашем сайте. Если вы запускаете магазин WooCommerce, ваши клиенты могут не иметь возможности разместить заказ или войти в свою учетную запись.

Вы можете объявить через свои учетные записи в социальных сетях, что у вашего веб-сайта возникли технические проблемы, и вскоре все вернется в норму.

Если атака серьезна, вы также можете использовать службу электронного маркетинга, чтобы общаться с клиентами и просить их следить за вашими обновлениями в социальных сетях.

Если у вас есть VIP-клиенты, вы можете использовать свою служебную телефонную службу, чтобы делать отдельные телефонные звонки и сообщать им, как вы работаете над восстановлением услуг.

Коммуникация в эти трудные времена имеет огромное значение для сохранения репутации вашего бренда.

3. Обратитесь в службу поддержки хостинга и безопасности.

Свяжитесь со своим хостинг-провайдером WordPress. Атака, свидетелем которой вы можете быть, может быть частью более крупной атаки, нацеленной на их системы. В этом случае они смогут предоставить вам последние новости о ситуации.

Обратитесь в службу брандмауэра и сообщите им, что ваш сайт подвергся DDoS-атаке. Они могут смягчить ситуацию еще быстрее и предоставить вам дополнительную информацию.

В провайдерах брандмауэров, таких как Sucuri, вы также можете установить свои настройки в параноидальном режиме, который помогает заблокировать множество запросов и сделать ваш сайт доступным для обычных пользователей.

Обеспечение безопасности вашего сайта WordPress

WordPress вполне безопасен из коробки. Однако, будучи самым популярным в мире конструктором веб-сайтов, он часто становится целью хакеров.

К счастью, существует множество передовых методов обеспечения безопасности, которые вы можете применить на своем веб-сайте, чтобы сделать его еще более безопасным.

Мы составили полное пошаговое руководство по безопасности WordPress для начинающих. Он проведет вас через лучшие настройки безопасности WordPress для защиты вашего веб-сайта и его данных от распространенных угроз.

Мы надеемся, что эта статья помогла вам узнать, как заблокировать и предотвратить DDoS-атаку на WordPress. Вы также можете ознакомиться с нашим руководством по наиболее распространенным ошибкам WordPress и способам их исправления.

Нужна помощь с WordPress? Свяжитесь сейчас
[email protected]

Это переведенная версия оригинальной статьи от wpbeginner, весь контент, изображения и авторство принадлежит автору

Как использовать приложение WordPress на вашем iPhone, iPad и Android (Руководство)

Знаете ли вы, что почти половина всего мирового трафика веб-сайтов исходит от мобильных устройств? Люди не просто просматривают Интернет на мобильных

Как добавить отслеживание событий Google Analytics в WordPress

Вы хотите отслеживать активность пользователей, пока они находятся на вашем сайте? Вы можете отслеживать просмотры страниц, источник перехода,

Как создать онлайн-торговую площадку с помощью WordPress

Вы хотите создать онлайн-торговую площадку с помощью WordPress? WordPress позволяет легко создать онлайн-торговую площадку, такую ​​как Etsy, eBay или Amazon.

Как увидеть ключевые слова, которые люди используют для поиска вашего сайта WordPress

Вы хотите увидеть, по каким ключевым словам люди находят ваш сайт на WordPress? Ключевые слова - это фразы, которые пользователи вводят в поисковых