Как остановить и предотвратить DDoS-атаку на WordPress
WordPress - один из самых популярных конструкторов веб-сайтов в мире, потому что он предлагает мощные функции и безопасную кодовую базу. Однако это не защищает WordPress или любое другое программное обеспечение от вредоносных DDoS-атак, которые распространены в Интернете.
DDoS-атаки могут замедлить работу веб-сайтов и в конечном итоге сделать их недоступными для пользователей. Эти атаки могут быть нацелены как на небольшие, так и на крупные веб-сайты.
Теперь вам может быть интересно, как может веб-сайт малого бизнеса, использующий WordPress, предотвратить такие DDoS-атаки с ограниченными ресурсами?
В этом руководстве мы покажем вам, как эффективно остановить и предотвратить DDoS-атаку на WordPress. Наша цель - помочь вам научиться управлять безопасностью вашего веб-сайта от DDoS-атак, как профессионал.
Что такое DDoS-атака?
DDoS-атака, сокращение от Distributed Denial of Service Attack, представляет собой тип кибератаки, при которой скомпрометированные компьютеры и устройства используются для отправки или запроса данных с хост-сервера WordPress. Цель этих запросов - замедлить работу целевого сервера и, в конечном итоге, вывести его из строя.
DDoS-атаки - это развитая форма DoS-атак (отказ в обслуживании). В отличие от DoS-атаки, они используют преимущества нескольких взломанных машин или серверов, расположенных в разных регионах.
Эти скомпрометированные машины образуют сеть, которую иногда называют ботнетом. Каждая пораженная машина действует как бот и запускает атаки на целевую систему или сервер.
Это позволяет им какое-то время оставаться незамеченными и наносить максимальный урон, прежде чем они будут заблокированы.
Даже крупнейшие интернет-компании уязвимы для DDoS-атак.
В 2018 году популярная платформа для хостинга кода GitHub стала свидетелем масштабной DDoS-атаки, направленной на их серверы со скоростью 1,3 терабайта в секунду.
Вы также можете вспомнить печально известную атаку 2016 года на DYN (поставщика услуг DNS). Эта атака получила всемирное освещение в СМИ, поскольку затронула многие популярные веб-сайты, такие как Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit и тысячи других веб-сайтов.
Почему происходят DDoS-атаки?
Есть несколько мотивов DDoS-атак. Ниже приведены некоторые из распространенных:
- Технически подкованные люди, которым просто скучно и которые любят приключения
- Люди и группы, пытающиеся изложить политическую точку зрения
- Группы с таргетингом на веб-сайты и услуги определенной страны или региона
- Целевые атаки на конкретный бизнес или поставщика услуг с целью причинения им денежного ущерба
- Шантажировать и собирать выкуп
В чем разница между атакой грубой силы и DDoS-атакой?
Атаки грубой силы обычно пытаются проникнуть в систему, угадывая пароли или пробуя случайные комбинации, чтобы получить несанкционированный доступ к системе.
DDoS-атаки используются исключительно для того, чтобы просто вывести целевую систему из строя, сделать ее недоступной или замедлить ее.
Подробные сведения см. В нашем руководстве о том, как заблокировать атаки методом перебора на WordPress с пошаговыми инструкциями.
Какой ущерб может нанести DDoS-атака?
DDoS-атаки могут сделать веб-сайт недоступным или снизить производительность. Это может привести к ухудшению работы пользователей, потере бизнеса, а затраты на устранение атаки могут исчисляться тысячами долларов.
Вот разбивка этих затрат:
- Потеря бизнеса из-за недоступности сайта
- Стоимость поддержки клиентов для ответа на запросы, связанные с перебоями в обслуживании
- Стоимость предотвращения атаки путем найма служб безопасности или поддержки
- Самая большая цена - плохой пользовательский опыт и репутация бренда.
Как остановить и предотвратить DDoS-атаку на WordPress
DDoS-атаки можно хорошо замаскировать, и с ними сложно бороться. Однако с помощью некоторых базовых рекомендаций по безопасности вы можете предотвратить и легко остановить DDoS-атаки на ваш сайт WordPress.
Вот шаги, которые вы должны предпринять, чтобы предотвратить и остановить DDoS-атаки на ваш сайт WordPress.
Удаление DDoS / Brute Force Attack Verticals
Самое лучшее в WordPress - это то, что он очень гибкий. WordPress позволяет сторонним плагинам и инструментам интегрироваться в ваш сайт и добавлять новые функции.
Для этого WordPress предоставляет программистам доступ к нескольким API. Эти API-интерфейсы представляют собой методы, с помощью которых сторонние плагины и службы WordPress могут взаимодействовать с WordPress.
Однако некоторые из этих API-интерфейсов также могут быть использованы во время DDoS-атаки путем отправки тонны запросов. Вы можете безопасно отключить их, чтобы уменьшить количество запросов.
Отключить XML RPC в WordPress
XML-RPC позволяет сторонним приложениям взаимодействовать с вашим сайтом WordPress. Например, вам нужен XML-RPC для использования приложения WordPress на мобильном устройстве.
Если вы похожи на подавляющее большинство пользователей, которые не используют мобильное приложение, вы можете отключить XML-RPC, просто добавив следующий код в файл .htaccess своего веб-сайта.
# Block WordPress xmlrpc.php requests order deny,allow deny from all
Чтобы узнать об альтернативных методах, см. Наше руководство о том, как легко отключить XML-RPC в WordPress.
Отключить REST API в WordPress
WordPress JSON REST API позволяет плагинам и инструментам получать доступ к данным WordPress, обновлять контент и / или даже удалять его. Вот как вы можете отключить REST API в WordPress.
Первое, что вам нужно сделать, это установить и активировать плагин Disable WP Rest API. Для получения дополнительной информации см. Наше пошаговое руководство по установке плагина WordPress.
Плагин работает "из коробки" и просто отключит REST API для всех не вошедших в систему пользователей.
Активировать WAF (Website Application Firewall)
Отключение таких векторов атак, как REST API и XML-RPC, обеспечивает ограниченную защиту от DDoS-атак. Ваш веб-сайт по-прежнему уязвим для обычных HTTP-запросов.
Хотя вы можете смягчить небольшую DOS-атаку, пытаясь поймать IP-адреса неисправных машин и заблокировать их вручную, этот подход не очень эффективен при борьбе с крупной DDoS-атакой.
Самый простой способ заблокировать подозрительные запросы - активировать брандмауэр веб-приложения.
Брандмауэр веб-приложения действует как прокси-сервер между вашим сайтом и всем входящим трафиком. Он использует интеллектуальный алгоритм, чтобы ловить все подозрительные запросы и блокировать их до того, как они достигнут сервера вашего сайта.
Мы рекомендуем использовать Sucuri, потому что это лучший плагин безопасности WordPress и брандмауэр веб-сайтов. Он работает на уровне DNS, что означает, что они могут поймать DDoS-атаку до того, как сделает запрос на ваш сайт.
Цена на сукури начинается от 20 долларов в месяц (оплачивается ежегодно).
В качестве альтернативы вы также можете использовать Cloudflare. Однако бесплатный сервис Cloudflare обеспечивает лишь ограниченную защиту от DDoS-атак. Вам нужно будет подписаться как минимум на их бизнес-план для защиты от DDoS-атак 7 уровня, который стоит около 200 долларов в месяц.
Смотрите нашу статью о Sucuri и Cloudflare для подробного параллельного сравнения.
Примечание. Брандмауэры приложений веб-сайтов (WAF), которые работают на уровне приложений, менее эффективны во время DDoS-атаки. Они блокируют трафик, когда он уже достиг вашего веб-сервера, поэтому он по-прежнему влияет на общую производительность вашего веб-сайта.
Выяснение, это Brute Force или DDoS-атака
И грубая сила, и DDoS-атаки интенсивно используют ресурсы сервера, что означает, что их симптомы очень похожи. Ваш сайт будет работать медленнее и может дать сбой.
Вы можете легко определить, является ли это атакой грубой силы или DDoS-атакой, просто просмотрев отчеты о входе в плагин Sucuri.
Просто установите и активируйте бесплатный плагин Sucuri, а затем перейдите на страницу Sucuri Security »Последние входы.
Если вы видите большое количество случайных запросов на вход, это означает, что ваш wp-admin подвергся атаке методом грубой силы. Чтобы смягчить его, вы можете ознакомиться с нашим руководством о том, как заблокировать атаки методом перебора в WordPress.
Что делать во время DDoS-атаки
DDoS-атаки могут происходить, даже если у вас есть брандмауэр веб-приложений и другие средства защиты. Такие компании, как CloudFlare и Sucuri, регулярно борются с этими атаками, и в большинстве случаев вы никогда не услышите об этом, поскольку они могут легко смягчить их.
Однако в некоторых случаях, когда эти атаки велики, они все равно могут повлиять на вас. В этом случае лучше быть готовым к устранению проблем, которые могут возникнуть во время и после DDoS-атаки.
Ниже приведены несколько вещей, которые вы можете сделать, чтобы минимизировать влияние DDoS-атаки.
1. Предупредите членов вашей команды
Если у вас есть команда, вам необходимо сообщить коллегам о проблеме. Это поможет им подготовиться к запросам в службу поддержки, выявить возможные проблемы и помочь во время или после атаки.
2. Сообщите клиентам о неудобствах.
DDoS-атака может повлиять на работу пользователей на вашем сайте. Если вы запускаете магазин WooCommerce, ваши клиенты могут не иметь возможности разместить заказ или войти в свою учетную запись.
Вы можете объявить через свои учетные записи в социальных сетях, что у вашего веб-сайта возникли технические проблемы, и вскоре все вернется в норму.
Если атака серьезна, вы также можете использовать службу электронного маркетинга, чтобы общаться с клиентами и просить их следить за вашими обновлениями в социальных сетях.
Если у вас есть VIP-клиенты, вы можете использовать свою служебную телефонную службу, чтобы делать отдельные телефонные звонки и сообщать им, как вы работаете над восстановлением услуг.
Коммуникация в эти трудные времена имеет огромное значение для сохранения репутации вашего бренда.
3. Обратитесь в службу поддержки хостинга и безопасности.
Свяжитесь со своим хостинг-провайдером WordPress. Атака, свидетелем которой вы можете быть, может быть частью более крупной атаки, нацеленной на их системы. В этом случае они смогут предоставить вам последние новости о ситуации.
Обратитесь в службу брандмауэра и сообщите им, что ваш сайт подвергся DDoS-атаке. Они могут смягчить ситуацию еще быстрее и предоставить вам дополнительную информацию.
В провайдерах брандмауэров, таких как Sucuri, вы также можете установить свои настройки в параноидальном режиме, который помогает заблокировать множество запросов и сделать ваш сайт доступным для обычных пользователей.
Обеспечение безопасности вашего сайта WordPress
WordPress вполне безопасен из коробки. Однако, будучи самым популярным в мире конструктором веб-сайтов, он часто становится целью хакеров.
К счастью, существует множество передовых методов обеспечения безопасности, которые вы можете применить на своем веб-сайте, чтобы сделать его еще более безопасным.
Мы составили полное пошаговое руководство по безопасности WordPress для начинающих. Он проведет вас через лучшие настройки безопасности WordPress для защиты вашего веб-сайта и его данных от распространенных угроз.
Мы надеемся, что эта статья помогла вам узнать, как заблокировать и предотвратить DDoS-атаку на WordPress. Вы также можете ознакомиться с нашим руководством по наиболее распространенным ошибкам WordPress и способам их исправления.