WordPress является одним из самых популярных сайтов-разработчиков в мире, потому что он предлагает мощные функции и безопасную кодовую базу. Однако это не защищает WordPress или любое другое программное обеспечение от вредоносных атак DDoS, которые распространены в Интернете.
DDoS-атаки могут замедлить работу веб-сайтов и в конечном итоге сделать их недоступными для пользователей. Эти атаки могут быть направлены как на маленькие, так и на большие сайты.
Теперь вам может быть интересно, как веб-сайт малого бизнеса, использующий WordPress, может предотвратить такие DDoS-атаки с ограниченными ресурсами?
В этом руководстве мы покажем вам, как эффективно остановить и предотвратить DDoS-атаку на WordPress. Наша цель – помочь вам научиться управлять безопасностью вашего сайта от DDoS-атак, как для профессионалов.
^
Что такое DDoS-атака?
DDoS-атака, сокращение от Распределенная атака типа «отказ в обслуживании», представляет собой тип кибер-атаки, в которой используются скомпрометированные компьютеры и устройства для отправки или запроса данных с хост-сервера WordPress. Целью этих запросов является замедление и, в конечном итоге, сбой целевого сервера.
DDoS-атаки являются развитой формой DoS-атак (отказ в обслуживании). В отличие от DoS-атак, они используют преимущества нескольких скомпрометированных машин или серверов, расположенных в разных регионах.
Эти скомпрометированные машины образуют сеть, которую иногда называют ботнетом. Каждая уязвимая машина действует как бот и запускает атаки на целевую систему или сервер.
Это позволяет им некоторое время оставаться незамеченными и наносить максимальный урон, прежде чем их блокируют.
^
Даже крупнейшие интернет-компании уязвимы для DDoS-атак.
В 2018 году GitHub, популярная платформа для размещения кода, стала свидетелем масштабной DDoS-атаки, которая отправляла трафик 1,3 терабайта в секунду на их серверы.
Возможно, вы также помните пресловутую атаку 2016 года на DYN (поставщика услуг DNS). Эта атака получила всемирное новостное освещение, поскольку она затронула многие популярные сайты, такие как Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit и тысячи других сайтов.
Почему DDoS-атаки происходят?
Есть несколько мотивов DDoS-атак. Ниже приведены некоторые из них:
Технически подкованные люди, которым просто скучно и которые находят это авантюрным
Люди и группы пытаются сделать политическую точку
Группы, ориентированные на веб-сайты и услуги определенной страны или региона
Целенаправленные атаки на конкретного предприятия или поставщика услуг с целью причинения им денежного ущерба
Шантажировать и собирать выкуп
В чем разница между грубой атакой и DDoS-атакой?
^
Атаки грубой силы обычно пытаются взломать систему путем подбора паролей или использования случайных комбинаций для получения несанкционированного доступа к системе.
DDoS-атаки используются исключительно для того, чтобы просто вывести из строя целевую систему, сделать ее недоступной или замедлить ее.
Подробности смотрите в нашем руководстве о том, как блокировать атаки методом перебора на WordPress с пошаговыми инструкциями.
Какие повреждения могут быть вызваны DDoS-атакой?
DDoS-атаки могут сделать сайт недоступным или снизить производительность. Это может привести к ухудшению работы пользователей, потере бизнеса и снижению затрат на атаку, которые могут составлять тысячи долларов.
Вот разбивка этих затрат:
Потеря бизнеса из-за недоступности сайта
Стоимость поддержки клиентов, чтобы ответить на вопросы, связанные с прерыванием обслуживания
Стоимость смягчения атаки путем найма служб безопасности или поддержки
Самая большая цена – плохой пользовательский опыт и репутация бренда.
Как остановить и предотвратить DDoS-атаку на WordPress
DDoS-атаки могут быть хитро замаскированы и с ними сложно бороться. Тем не менее, с некоторыми базовыми рекомендациями по безопасности, вы можете предотвратить и легко остановить DDoS-атаки, влияющие на ваш сайт WordPress.
Вот шаги, которые вы должны предпринять, чтобы предотвратить и остановить DDoS-атаки на вашем сайте WordPress.
Удалить DDoS / Вертикали грубой силы
Самое лучшее в WordPress – это то, что он очень гибкий. WordPress позволяет сторонним плагинам и инструментам интегрироваться в ваш сайт и добавлять новые функции.
Для этого WordPress делает несколько API доступными для программистов. Эти API-интерфейсы представляют собой методы, с помощью которых сторонние плагины и службы WordPress могут взаимодействовать с WordPress.
Однако некоторые из этих API-интерфейсов также могут быть использованы во время DDoS-атаки путем отправки тонны запросов. Вы можете безопасно отключить их, чтобы уменьшить эти запросы.
Отключить XML RPC в WordPress
XML-RPC позволяет сторонним приложениям взаимодействовать с вашим сайтом WordPress. Например, вам нужен XML-RPC для использования приложения WordPress на вашем мобильном устройстве.
Если вы, как и подавляющее большинство пользователей, не пользуетесь мобильным приложением, вы можете отключить XML-RPC, просто добавив следующий код в файл .htaccess вашего веб-сайта.
^
Для альтернативных методов, смотрите наше руководство о том, как легко отключить XML-RPC в WordPress.
Отключить REST API в WordPress
WordPress JSON REST API позволяет плагинам и инструментам получать доступ к данным WordPress, обновлять содержимое и / или даже удалять их. Вот как вы можете отключить REST API в WordPress.
Первое, что вам нужно сделать, это установить и активировать плагин Disable WP Rest API. Для получения более подробной информации, смотрите наше пошаговое руководство по установке плагина WordPress.
Плагин работает “из коробки” и просто отключает REST API для всех не авторизованных пользователей.
Активировать WAF (Брандмауэр приложений веб-сайта)
^
Отключение векторов атак, таких как REST API и XML-RPC, обеспечивает ограниченную защиту от DDoS-атак. Ваш сайт по-прежнему уязвим для обычных HTTP-запросов.
Несмотря на то, что вы можете смягчить небольшую атаку DOS, пытаясь поймать плохие IP-адреса компьютеров и блокируя их вручную, этот подход не очень эффективен при работе с крупными атаками DDoS.
Самый простой способ заблокировать подозрительные запросы – активировать брандмауэр веб-приложения.
Брандмауэр веб-приложения действует как прокси между вашим веб-сайтом и всем входящим трафиком. Он использует интеллектуальный алгоритм, чтобы перехватывать все подозрительные запросы и блокировать их до того, как они попадут на сервер вашего сайта.
^
Мы рекомендуем использовать Sucuri, потому что это лучший плагин безопасности WordPress и брандмауэр веб-сайта. Он работает на уровне DNS, что означает, что они могут поймать DDoS-атаку, прежде чем он сможет сделать запрос на ваш сайт.
Цены на Sucuri начинаются с 20 долларов в месяц (оплачивается ежегодно).
Мы используем Sucuri на WPTec. Посмотрите наше исследование о том, как они помогают блокировать сотни тысяч атак на нашем сайте.
Кроме того, вы также можете использовать Cloudflare. Однако бесплатный сервис Cloudflare обеспечивает лишь ограниченную защиту от DDoS. Вам нужно подписаться как минимум на их бизнес-план для защиты от DDoS уровня 7, который стоит около 200 долларов в месяц.
См. Нашу статью о Sucuri против Cloudflare для подробного параллельного сравнения.
Примечание. Брандмауэры приложений веб-сайтов (WAF), работающие на уровне приложений, менее эффективны при атаке DDoS. Они блокируют трафик, как только он уже достиг вашего веб-сервера, поэтому он по-прежнему влияет на общую производительность вашего сайта.
Выяснение, является ли это грубой силой или DDoS-атакой
Как перебор, так и DDoS-атаки интенсивно используют ресурсы сервера, поэтому их симптомы выглядят очень похоже. Ваш сайт будет работать медленнее и может потерпеть крах.
Вы можете легко узнать, является ли это атака грубой силой или DDoS-атака, просто просматривая отчеты о входе в плагин Sucuri.
Просто установите и активируйте бесплатный плагин Sucuri, а затем перейдите на страницу Sucuri Security »Последние логины.
^
Если вы видите большое количество случайных запросов входа в систему, то это означает, что ваш wp-admin подвергается атаке методом грубой силы. Чтобы смягчить это, вы можете посмотреть наше руководство о том, как блокировать атаки методом перебора в WordPress.
Что делать во время DDoS-атаки
DDoS-атаки могут происходить, даже если у вас есть брандмауэр веб-приложения и другие средства защиты. Такие компании, как CloudFlare и Sucuri, имеют дело с этими атаками на регулярной основе, и большую часть времени вы никогда не услышите об этом, поскольку они могут легко смягчить его.
Однако в некоторых случаях, когда эти атаки велики, они все равно могут повлиять на вас. В этом случае лучше быть готовым к смягчению проблем, которые могут возникнуть во время и после атаки DDoS.
Ниже приведены несколько вещей, которые вы можете сделать, чтобы минимизировать воздействие DDoS-атаки.
1. Оповещение членов вашей команды
Если у вас есть команда, вам нужно сообщить коллегам о проблеме. Это поможет им подготовиться к запросам в службу поддержки, найти возможные проблемы и помочь во время или после атаки.
2. Сообщите клиентам о неудобстве
DDoS-атака может повлиять на работу пользователей на вашем сайте. Если вы управляете магазином WooCommerce, ваши клиенты могут не иметь возможности разместить заказ или войти в свою учетную запись.
Вы можете объявить через свои учетные записи в социальных сетях, что у вашего веб-сайта возникли технические проблемы, и все скоро вернется в норму.
Если атака велика, вы также можете использовать свой почтовый маркетинговый сервис, чтобы общаться с клиентами и просить их следить за вашими обновлениями в социальных сетях.
Если у вас есть VIP-клиенты, возможно, вы захотите воспользоваться услугой служебной телефонной связи, чтобы совершать отдельные телефонные звонки и сообщать им о том, как вы работаете над восстановлением служб.
Общение в эти трудные времена очень важно для поддержания репутации вашего бренда.
3. Обратитесь в службу поддержки хостинга и безопасности
Свяжитесь с вашим провайдером WordPress. Атака, свидетелем которой вы являетесь, может быть частью более масштабной атаки, направленной на их системы. В этом случае они смогут предоставить вам последние обновления о ситуации.
Обратитесь в службу межсетевого экрана и сообщите им, что ваш сайт подвергается DDoS-атаке. Они могут смягчить ситуацию еще быстрее и предоставить вам больше информации.
В провайдерах брандмауэров, таких как Sucuri, вы также можете установить свои настройки в режим Paranoid, который помогает блокировать множество запросов и сделать ваш сайт доступным для обычных пользователей.
Обеспечение безопасности вашего сайта WordPress
WordPress достаточно безопасен из коробки. Тем не менее, как самый популярный в мире конструктор сайтов, он часто становится целью хакеров.
К счастью, есть много рекомендаций по безопасности, которые вы можете применить на своем сайте, чтобы сделать его еще более безопасным.
Мы составили полное пошаговое руководство по безопасности WordPress для начинающих. Он проведет вас через лучшие настройки безопасности WordPress для защиты вашего сайта и его данных от распространенных угроз.
Мы надеемся, что эта статья помогла вам научиться блокировать и предотвращать DDoS-атаки на WordPress. Вы также можете ознакомиться с нашим руководством по наиболее распространенным ошибкам WordPress и способам их устранения.
