WordPress — один из самых популярных конструкторов сайтов в мире, потому что он предлагает мощные функции и безопасную кодовую базу. Однако это делает их мишенью для DDoS-атак.
Хакеры используют DDoS-атаки, чтобы замедлить работу веб-сайтов и сделать их в конечном итоге недоступными для пользователей. Эти атаки могут быть направлены как на небольшие, так и на крупные сайты.
Теперь, возможно, вам интересно, как сайт малого бизнеса, использующий WordPress, может предотвратить такие DDoS-атаки при ограниченных ресурсах.
В этом руководстве мы покажем вам, как эффективно остановить и предотвратить DDoS-атаку на WordPress. Наша цель — помочь вам научиться управлять безопасностью вашего сайта от DDoS-атак как профессионал.
Что такое DDoS-атака?
DDoS (Distributed Denial of Service) — это тип кибер-атаки, который использует взломанные компьютеры и устройства для отправки или запроса данных с сервера хостинга WordPress. Цель этих запросов — замедлить и, в конечном счете, разрушить целевой сервер.
DDoS-атаки развились из DoS-атак (отказ в обслуживании). В отличие от DoS-атаки, они используют преимущества нескольких взломанных машин или серверов, расположенных в разных регионах.
Эти взломанные машины образуют сеть, которую иногда называют ботнетом. Каждая пораженная машина действует как бот и запускает атаки на целевую систему или сервер. Это позволяет им оставаться незамеченными в течение некоторого времени и наносить максимальный ущерб до того, как они будут заблокированы.
Даже крупнейшие интернет-компании уязвимы к DDoS-атакам.
В 2018 году GitHub, популярная платформа для размещения кода, стала свидетелем массированной DDoS-атаки, в результате которой было отправлено 1.3 терабайта в секунду трафика на их серверы.
Возможно, вы также помните нашумевшую атаку 2016 года на DYN (поставщика услуг DNS). Эта атака получила всемирное освещение в новостях, поскольку она затронула многие популярные сайты, такие как Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit и тысячи других сайтов.
Часто задаваемые вопросы по DDoS
Вот некоторые ответы на часто задаваемые вопросы о DDoS-атаках.
Почему происходят DDoS-атаки?
Существует несколько мотивов, стоящих за DDoS-атаками. Вот некоторые из них:
- Технически подкованные люди, которым просто скучно, находят это авантюрным
- Люди и группы, делающие политические выводы
- Группы, нацеленные на веб-сайты и сервисы определенной страны или региона
- Целенаправленные атаки на конкретный бизнес или поставщика услуг с целью нанесения денежного ущерба
- Шантаж с целью получения выкупа
В чем разница между атакой грубой силы и DDoS-атакой?
Атаки грубой силы пытаются получить несанкционированный доступ к системе путем угадывания паролей или перебора случайных комбинаций.
DDoS-атаки используются исключительно для разрушения целевой системы, делая ее медленной или недоступной.
Для более подробной информации смотрите наше руководство о том, как блокировать атаки грубой силы на WordPress.
Какой ущерб может быть нанесен DDoS-атакой?
DDoS-атаки могут снизить производительность сайта или сделать его недоступным. Это приводит к плохому пользовательскому опыту, потере бизнеса и расходам на смягчение последствий атаки, которые могут составлять тысячи долларов.
Вот разбивка этих затрат:
- Потеря бизнеса из-за недоступности веб-сайта
- Затраты на поддержку клиентов для ответа на запросы, связанные с нарушением обслуживания
- Стоимость уменьшения последствий атаки путем найма служб безопасности или поддержки
- Самая большая стоимость — это плохой пользовательский опыт и репутация бренда
Как я могу остановить и предотвратить DDoS-атаки в WordPress?
DDoS-атаки могут быть хитро замаскированы, и с ними трудно справиться. Однако, используя некоторые основные методы обеспечения безопасности, вы можете предотвратить и легко остановить DDoS-атаки на ваш сайт WordPress.
Вот шаги, которые необходимо предпринять, чтобы предотвратить и остановить DDoS-атаки на ваш сайт:
- Устранение вертикалей DDoS / Brute Force Attacks
- Активируйте WAF (Website Application Firewall)
- Определите, является ли это атакой грубой силы или DDoS-атакой
- Что делать во время DDoS-атаки
- Как обеспечить безопасность вашего сайта WordPress
Устранение вертикалей DDoS / атак грубой силы
Самое лучшее в WordPress то, что он очень гибкий. WordPress позволяет сторонним плагинам и инструментам интегрироваться в ваш сайт и добавлять новые функции.
Для этого WordPress предоставляет программистам несколько API. Эти API представляют собой методы, с помощью которых сторонние плагины и сервисы WordPress могут взаимодействовать с WordPress.
Однако некоторые из этих API также могут быть использованы во время DDoS-атаки путем отправки большого количества запросов. Вы можете безопасно отключить их, чтобы уменьшить количество запросов.
Отключить XML RPC в WordPress
XML-RPC позволяет сторонним приложениям взаимодействовать с вашим сайтом WordPress. Например, вам нужен XML-RPC для использования приложения WordPress на вашем мобильном устройстве.
Если вы похожи на подавляющее большинство пользователей, которые не используют мобильное приложение для работы своего сайта, то вы можете отключить XML-RPC, просто добавив следующий код в файл htaccess вашего сайта .файл htaccess.
# Блокировка WordPress xmlrpc.php requests order deny,allow deny from all
Для альтернативных методов смотрите наше руководство о том, как легко отключить XML-RPC в WordPress.
Отключение REST API в WordPress
WordPress JSON REST API позволяет плагинам и инструментам получать доступ к данным WordPress, обновлять содержимое и/или даже удалять его. Вот как можно отключить REST API в WordPress.
Первое, что вам нужно сделать, это установить и активировать плагин Disable WP Rest API. Для получения более подробной информации см. наше пошаговое руководство по установке плагина WordPress.
Плагин работает из коробки и отключает REST API для всех незалогиненных пользователей.
Активируйте WAF (Website Application Firewall)
Отключение таких векторов атак, как REST API и XML-RPC, обеспечивает ограниченную защиту от DDoS-атак. Ваш сайт все еще уязвим для обычных HTTP-запросов.
Если небольшие DDoS-атаки можно ослабить, пытаясь поймать IP-адреса плохих машин и блокировать их вручную, то при больших атаках такой подход менее эффективен.
Самый простой способ блокировать подозрительные запросы — активировать брандмауэр приложений сайта.
Брандмауэр приложений сайта действует как прокси между вашим сайтом и всем входящим трафиком. Он использует интеллектуальный алгоритм для отлова всех подозрительных запросов и их блокировки до того, как они достигнут сервера вашего сайта.
Мы рекомендуем использовать Sucuri, потому что это лучший плагин безопасности WordPress и брандмауэр сайта. Они работают на уровне DNS, что означает, что они могут поймать DDoS-атаку до того, как она сделает запрос на ваш сайт.
Стоимость Sucuri начинается от $20 в месяц (оплачивается ежегодно).
Мы используем Sucuri на WPBeginner. Ознакомьтесь с нашим тематическим исследованием о том, как они помогают блокировать сотни тысяч атак на наш сайт.
В качестве альтернативы вы можете использовать Cloudflare. Однако бесплатный сервис Cloudflare обеспечивает лишь ограниченную защиту от DDoS-атак. Для защиты от DDoS 7-го уровня вам необходимо подписаться как минимум на бизнес-план, который стоит около $200 в месяц.
См. нашу статью о Sucuri vs Cloudflare для подробного бокового сравнения.
Примечание: Брандмауэры приложений веб-сайта (WAF), работающие на уровне приложений, менее эффективны во время DDoS-атаки. Они блокируют трафик, когда он уже достиг вашего веб-сервера, поэтому он все еще влияет на общую производительность вашего сайта.
Определите, является ли атака грубой силой или DDoS-атакой
И грубая сила, и DDoS-атаки интенсивно используют ресурсы сервера, поэтому их симптомы выглядят довольно похоже. Ваш сайт будет работать медленнее и может выйти из строя.
Вы можете легко определить, является ли это атакой грубой силы или DDoS-атакой, посмотрев отчеты о входах в систему плагина Sucuri.
Просто установите и активируйте бесплатный плагин Sucuri, а затем перейдите на страницу Sucuri Security » Последние логины страница.
Если вы видите большое количество случайных запросов на вход, значит, ваш wp-admin подвергается атаке грубой силы. Для смягчения последствий вы можете ознакомиться с нашим руководством по блокированию атак грубой силы в WordPress.
Что делать во время DDoS-атаки
DDoS-атаки могут происходить, даже если у вас установлен брандмауэр веб-приложения и другие средства защиты. Такие компании, как CloudFlare и Sucuri, регулярно сталкиваются с этими атаками, и в большинстве случаев вы никогда не услышите об этом, поскольку они могут легко смягчить их последствия.
Однако в некоторых случаях, когда эти атаки велики, они все равно могут повлиять на вас. В этом случае лучше всего быть готовым к смягчению проблем, которые могут возникнуть во время и после DDoS-атаки.
Ниже перечислены некоторые действия, которые вы можете предпринять, чтобы минимизировать последствия DDoS-атаки.
1. Предупредите членов своей команды
Если у вас есть команда, то вам необходимо проинформировать коллег об этой проблеме.
Это поможет им подготовиться к запросам в службу поддержки, обратить внимание на возможные проблемы и оказать помощь во время или после атаки.
2. Информируйте клиентов о неудобствах
DDoS-атака может повлиять на пользовательский опыт на вашем сайте. Если у вас магазин WooCommerce, то ваши клиенты могут не иметь возможности оформить заказ или войти в свой аккаунт.
Вы можете объявить через свои аккаунты в социальных сетях, что ваш сайт испытывает технические трудности и скоро все придет в норму.
Если атака большая, то вы также можете использовать свой маркетинговый сервис электронной почты для общения с клиентами и попросить их следить за обновлениями в социальных сетях.
Если у вас есть VIP клиенты, то вы, возможно, захотите использовать свой бизнес-телефон, чтобы сделать индивидуальные звонки и сообщить им, как вы работаете над восстановлением услуг.
Общение в эти трудные времена имеет огромное значение для поддержания репутации вашего бренда.
3. Обратиться в службу поддержки хостинга и безопасности
Свяжитесь с вашим хостинг-провайдером WordPress. Атака на ваш сайт может быть частью более крупной атаки, направленной на их системы. В этом случае они смогут предоставить вам последние обновления о ситуации.
Свяжитесь с вашей службой брандмауэра и сообщите им, что ваш сайт подвергается DDoS-атаке. Возможно, они смогут еще быстрее исправить ситуацию и предоставить вам больше информации.
В брандмауэрах, таких как Sucuri, вы также можете установить настройки в ‘Paranoid Mode’, что помогает блокировать много запросов и сделать ваш сайт доступным для обычных пользователей.
Как обеспечить безопасность вашего сайта WordPress
WordPress достаточно безопасен из коробки. Однако, как самый популярный в мире конструктор сайтов, он часто становится мишенью для хакеров.
К счастью, существует множество передовых методов обеспечения безопасности, которые вы можете применить на своем сайте, чтобы сделать его еще более безопасным.
Мы составили полное пошаговое руководство по безопасности WordPress для новичков. Он проведет вас через лучшие настройки безопасности WordPress, чтобы защитить ваш сайт и его данные от общих угроз.
Надеемся, что эта статья помогла вам узнать, как блокировать и предотвратить DDoS-атаку на WordPress. Вы также можете узнать, как увеличить посещаемость вашего блога, или ознакомиться с нашим списком наиболее распространенных ошибок WordPress и как их исправить.
Источник: www.wpbeginner.com