6 خطوات لخطة حماية WordPress DDoS لمنع الهجوم
نشرت: 2020-02-20مصطفى / Stock.adobe.com
عادةً ما يكون الارتفاع في عدد زيارات الويب نتيجة مرغوبة لعلامتك التجارية. ومع ذلك، قد لا تتوقع تعرض موقعك فجأة لآلاف الطلبات المتزامنة ، مما يؤدي إلى تعطله. لسوء الحظ، هذا هو بالضبط ما يحدث أثناء هجوم رفض الخدمة الموزعة أو هجوم "DDoS" على موقع WordPress .
لحسن الحظ، مثل معظم تهديدات الأمن السيبراني، هناك خطوات يمكنك اتخاذها لتقليل فرص حدوث هجوم DDoS على موقع WordPress الخاص بك. يمكن أن يساعد تنفيذ خطة الحماية في إيقاف ومنع مجرمي الإنترنت من عرقلة أعمالك التجارية عبر الإنترنت.
سنشرح في هذه التدوينة ما هي هجمات DDoS وكيف تعمل. بعد ذلك، سنزودك بخطة حماية WordPress DDoS المكونة من ست خطوات والتي يمكنك استخدامها للمساعدة في منع أي هجوم على موقعك. هيا بنا نبدأ!
في هذه المقالة
- ما هو هجوم DDoS؟
- أهمية إنشاء خطة حماية WordPress DDoS
- كيفية منع هجوم DDoS على موقع WordPress الخاص بك (6 نصائح أساسية)
- تغليف
ما هو هجوم DDoS؟
يشير هجوم DDoS إلى مشكلة أمنية يتم فيها إغراق الموقع بطلبات زائفة خلال فترة زمنية قصيرة، عادةً من خلال استخدام الروبوتات. تأتي الزيارات من مصادر متعددة، والقصد من ذلك هو إرباك موقع الويب المستهدف والتسبب في تعطله .
يمكن تنفيذ آلاف الطلبات في لحظة واحدة. خذ بعين الاعتبار هجوم DDoS لعام 2019 على شركة Imperva، والذي تعرضت شبكتها خلاله لإصابة بـ 580 مليون حزمة في الثانية (PPS) .
يؤدي هذا الارتفاع المفاجئ وغير المتوقع في الاختناقات المرورية الزائفة إلى شل الموقع، مما يجعله غير متاح وعرضة للخطر . يمكن أن تستهدف هذه الهجمات موقع ويب فرديًا أو شبكة بأكملها.
تنقسم الأنواع الأكثر شيوعًا من هجمات DDoS إلى ثلاث فئات:
- يعتمد على الحجم: يعتمد على تكرار الارتفاع الهائل في حركة المرور.
- البروتوكول: يستغل موارد الخادم لتعطيل الموقع أو الشبكة المستهدفة.
- التطبيق: هجوم أكثر تعقيدًا يستهدف تطبيق ويب.
هناك أساليب ودوافع مختلفة لتنفيذ هذا النوع من الاعتداء. يمكن للمتسللين تنفيذ هجوم DDoS لزيادة ضعف موقع WordPress الخاص بك. يمكن أن يكون وسيلة إلهاء فعالة تجعل من السهل التسلل إلى موقعك دون أن يتم اكتشافه.
ومع ذلك، في أغلب الأحيان، يكون الهدف بشكل أساسي هو اختراق الموقع المستهدف . على سبيل المثال، قد يقوم شخص ما بإجراء هجوم DDoS على أحد المنافسين . على الرغم من أن هذا إجراء ضار ومتطرف، إلا أنه لم يُسمع به من قبل، خاصة عندما تفكر في التأثير السلبي الذي يمكن أن يحدثه التوقف عن العمل على الأعمال التجارية.
أهمية إنشاء خطة حماية WordPress DDoS
يمكن أن تكون تأثيرات هجوم DDoS مدمرة لشركتك. الكثير من الأضرار التي تتبع هي نتيجة التوقف لفترات طويلة وغير متوقعة .
إذا كان موقعك غير متاح لفترة طويلة من الوقت، فمن المحتمل جدًا أن تفقد قدرًا كبيرًا من الأعمال. لن يتمكن العملاء من الوصول إلى موقعك وقد يشاهدون الخطأ 502 بوابة سيئة . وهذا يعني أنك تفوت مبيعات التجارة الإلكترونية أو تحويلات العملاء المحتملين الأخرى.
يمكن أن يؤدي عدم التوفر الممتد أيضًا إلى التأثير على تصنيفات تحسين محرك البحث (SEO) الخاصة بك . مع انخفاض مستوى الرؤية، سيتعين عليك بذل جهد أكبر لجذب العملاء المحتملين أثناء إعادة بناء مصداقية موقعك.
بالإضافة إلى ذلك، يمكن أن يؤدي هجوم DDoS إلى حدوث مشكلات في الاستضافة . وينطبق هذا بشكل خاص إذا كنت تستخدم خطة مشتركة، حيث أن هذا النوع من الاختراق الأمني يمكن أن يؤثر ليس فقط على موقعك، بل على المواقع الأخرى الموجودة على الخادم الخاص بك أيضًا.
كما ذكرنا من قبل أيضًا، يمكن لحادث DDoS أن يزيد من تعرض موقعك لأنواع أخرى من الهجمات . أثناء تشتيت انتباهك بمحاولة إعادة موقعك إلى الإنترنت، يتم تحويل تركيزك بعيدًا عن أنظمة الأمان الخاصة بك. وهذا قد يسهل على المتسللين التسلل دون أن تلاحظ ذلك.
قد يتطلب التعافي من الهجوم الكثير من المال والوقت . على الرغم من أنه لا يمكنك بالضرورة منع شخص ما من تنفيذ هجوم DDoS على موقع WordPress الخاص بك، إلا أنه يمكنك اتخاذ خطوات لتقليل الضرر الذي يحدث إذا وقعت ضحية لأحد هذه الهجمات.
[bctt tweet=” يساعد إنشاء خطة قوية لحماية WordPress من DDoS على حماية أصول عملك المهمة. #WordPress” اسم المستخدم =”thewpbuffs”]كيفية منع هجوم DDoS على موقع WordPress الخاص بك (6 نصائح أساسية)
هناك مجموعة متنوعة من الطرق التي يمكنك استخدامها لحماية موقع WordPress الخاص بك ، مثل استخدام المكونات الإضافية للأمان وتعطيل ميزات معينة. باستخدام خطة الحماية المناسبة، يمكنك تحسين قدرتك على التعافي من هجوم DDoS. في هذا القسم، سنلقي نظرة على ستة نصائح لمنع حدوث ذلك.
- تعطيل XMLR RPC وREST API في WordPress
- قم بتثبيت جدار حماية تطبيقات الويب (WAF) على موقعك
- اختر مزود استضافة آمن
- استخدم شبكة توصيل المحتوى (CDN)
- قم بتنزيل مكون WordPress الإضافي للحماية من DDoS
- اجعل صيانة WordPress ومراقبته أولوية
1. قم بتعطيل XML RPC وREST API في WordPress
منذ إصدار WordPress الإصدار 3.5، أصبح لديك خيار تمكين XML-RPC افتراضيًا. هذه الميزة مفيدة لـ pingbacks وtrackbacks.
ومع ذلك، فهو ليس ضروريًا لمعظم المواقع. إنها ضرورية فقط إذا كنت تعتمد على تطبيقات الهاتف المحمول لإدارة موقع WordPress الخاص بك.
من السهل اختراق XML-RPC، مما يعني أنه يكشف عن نقاط الضعف التي يمكن للمتسللين استغلالها أثناء هجمات DDoS. ولذلك، نوصي بتعطيله.
يمكنك تحقيق ذلك عن طريق تحرير ملف .htaccess الخاص بك. افتحه إما عبر مدير ملفات حساب الاستضافة الخاص بك، أو باستخدام بروتوكول نقل الملفات (FTP) وعميل FTP مثل FileZilla. ثم قم بلصق مقتطف الكود التالي:
# منع طلبات WordPress xmlrpc.php رفض الطلب، السماح رفض من الجميع
وعلى نفس المنوال، من الذكي أيضًا تعطيل REST API في WordPress. هذه قناة أخرى تتيح لتطبيقات الطرف الثالث (وبالتالي مجرمي الإنترنت) الوصول إلى موقع WordPress الخاص بك.
أسهل طريقة لتعطيل WordPress API على موقعك هي باستخدام WP Hide & Security Enhancer.
هذا البرنامج المساعد مجاني للاستخدام وليس هناك أي تكوين مطلوب . بعد تثبيته وتنشيطه، يمكنك تعطيل REST API بالانتقال إلى WP Hide > JSON API :
يمكنك أيضًا استخدام هذا البرنامج المساعد لتعطيل وظيفة XML-RPC . يوجد هذا الخيار في علامة التبويب XML-RPC .
2. قم بتثبيت WAF على موقعك
من المحتمل أنك إذا كنت تستخدم WordPress لفترة من الوقت، فمن المحتمل أنك تعرف ما هو WAF. ببساطة، إنه نوع من برامج الأمان التي تضيف طبقة من الحماية بين موقعك وحركة المرور الضارة. يمكن أن يساعد في منع هجمات DDoS عن طريق تقييد وصول المستخدم وتصفية الروبوتات .
في حين أن هناك العديد من WAFs المختلفة للاختيار من بينها للمساعدة في حماية موقع WordPress الخاص بك ، فإننا نوصي باستخدام Sucuri.
يساعد نظام WAF ونظام منع التطفل (IPS) الخاص بشركة Sucuri على حماية المواقع من هجمات القوة الغاشمة والبرامج الضارة وغير ذلك الكثير. يمكنه أيضًا اكتشاف حركة المرور الضارة وحظر أنواع متعددة من هجمات DDoS .
تقدم Suruci مجموعة متنوعة من الخطط للاختيار من بينها. كما أن لديها "مساعدة فورية" للمواقع التي تتعرض للهجوم حاليًا.
3. اختر مزود استضافة آمن
لا يمكن المبالغة في أهمية الاستضافة عالية الجودة لموقع WordPress الخاص بك. يؤثر الخادم الخاص بك على سرعة وأداء موقعك. ومع ذلك، فهو يلعب أيضًا دورًا أساسيًا في الأمان ويؤثر على قدرتك على منع هجوم DDoS والتعافي منه.
[bctt tweet=” قد يؤدي اختيارك لموفر الاستضافة إلى جعلك عرضة لهجمات DDoS. #WordPress” اسم المستخدم =”thewpbuffs”]التكلفة هي أحد الاهتمامات الكبيرة التي يفكر فيها الأشخاص غالبًا عند اختيار مضيف الويب. ومع ذلك، عندما يتعلق الأمر بحماية موقعك، فإن الاستثمار في الاستضافة عالية الجودة أمر لا يقدر بثمن. وينطبق هذا بشكل خاص عندما تفكر في أن اختيار خطة رخيصة قد يأتي على حساب أصول عملك الهامة.
بالنظر إلى التأثيرات الضارة التي يمكن أن يحدثها هجوم DDoS على أداء موقعك ووقت تشغيله، فمن الضروري اختيار مزود استضافة وخطة مجهزة لاكتشاف التدفق الهائل من حركة المرور والتعامل معه. يأتي بعض مقدمي الخدمة، مثل Kinsta* وWP Engine* مزودين بميزات مدمجة مثل جدران الحماية للأجهزة وتكامل CDN.
نأمل أنك تستخدم بالفعل مزود استضافة متميز وموثوق . إذا لم يكن الأمر كذلك، فنوصي بالتبديل إلى موفر استضافة WordPress المُدار بالكامل والذي يجعل الأمان أولوية. يتضمن ذلك البحث عن الخطط التي تتضمن ميزات مثل خدمة CDN المجانية والمراقبة والدعم على مدار الساعة طوال أيام الأسبوع وفحص البرامج الضارة.
4. استخدم CDN
توفر شبكة CDN خوادم شبكة إضافية تساعد في دعم موقع WordPress الخاص بك عن طريق التعامل مع الجزء الأكبر من تحميل الخادم . على الرغم من الإشارة إليها بشكل شائع فيما يتعلق بتحسين الأداء، إلا أن هذه الأداة يمكن أن تكون مفيدة أيضًا للأمان.
بشكل أساسي، يمكن أن تساعد شبكات CDN في منع هجمات DDoS من خلال زيادة صعوبة إرباك الخادم الخاص بك. ويمكنها أيضًا المساعدة في اكتشاف أنماط حركة المرور غير المعتادة، وفي بعض الحالات، تعمل بمثابة وكيل عكسي.
هناك العديد من مقدمي خدمات CDN المختلفين. ومع ذلك، نوصي بالذهاب مع أحد عمالقة السوق، مثل Cloudfare.
تتبع Cloudfare نهجًا أمنيًا متعدد الطبقات يمكن أن يساعد في الحماية من هجمات DDoS والتخفيف من حدتها . على الرغم من أن لديها مجموعة متنوعة من الخطط المتميزة للاختيار من بينها، يمكنك استخدام Global CDN مجانًا. فائدة أخرى هي أنه يمكنك دمجها بسهولة مع موقع الويب الخاص بك عبر مكون WordPress الإضافي المناسب.
5. قم بتنزيل البرنامج الإضافي لحماية DDoS من WordPress
يمكن أن توفر لك المكونات الإضافية للأمان الكثير من الوقت والطاقة من خلال تبسيط العديد من المهام المرهقة. يحتوي بعضها أيضًا على ميزات قد تكون ضرورية لمنع هجمات DDoS على موقع WordPress الخاص بك.
كما ذكرنا أعلاه، يمكن أن تكون WAFs مفيدة بشكل لا يصدق لحماية موقعك. يعد تثبيت مكون إضافي للأمان يأتي مزودًا بواحد مضمن طريقة سريعة لإضافة الحماية إلى تثبيت WordPress الخاص بك.
بالإضافة إلى ذلك، تساعد الوظائف، مثل حدود محاولات تسجيل الدخول، وعنوان URL السيئ، واكتشاف عنوان IP الضار، وحظر الروبوتات، في تخفيف الهجوم. لذلك، نوصي بتنزيل مكون WordPress الإضافي للحماية من DDoS مثل Wordfence.
يمكن لـ Wordfence أداء جميع الوظائف المذكورة أعلاه وأكثر. يتضمن مكون أمان WordPress الإضافي هذا أيضًا أدوات لمراقبة حركة المرور والزيارات المباشرة، بالإضافة إلى زيادة النشاط .
يمكنك تنزيل العديد من ميزات البرنامج المساعد واستخدامها مجانًا. ومع ذلك، فهو يقدم أيضًا إصدارًا مميزًا يفتح إمكانية الوصول إلى المجموعة الكاملة من ميزات الأمان، بما في ذلك موجز الدفاع عن التهديدات في الوقت الفعلي.
6. اجعل صيانة WordPress ومراقبته أولوية
عندما يتعلق الأمر بإدارة موقع الويب الخاص بك، في بعض الأحيان يكون أفضل شكل من أشكال الحماية هو الوقاية . في إطار جهودك لتقليل فرص حدوث هجوم DDoS على موقع WordPress الخاص بك، من الضروري جعل الصيانة الدورية والمراقبة أولوية.
سيساعد إجراء الصيانة المنتظمة لموقعك في الحفاظ عليه في أفضل حالاته وفي النهاية تقليل عدد نقاط الضعف المتاحة التي يمكن للمتسللين استغلالها. يمكن أن تساعدك المراقبة الروتينية على اكتشاف الأنشطة المشبوهة قبل أن تسبب ضررًا كبيرًا.
هناك العديد من المهام التي تنطوي عليها الصيانة والمراقبة المناسبة، بما في ذلك:
- تحديثات على WordPress والمكونات الإضافية والموضوعات
- مراقبة وقت التشغيل
- النسخ الاحتياطية الآلية
- تحسين السرعة
- فحص وإزالة البرامج الضارة
يمكن أن تكون متابعة هذه المهام عملية تستغرق وقتًا طويلاً، ولكنها عملية ضرورية. نقترح تسهيل الأمر بشكل كبير من خلال الاشتراك في خطة رعاية WordPress، مثل تلك التي نقدمها في WP Buffs.
تمنحك الصيانة الاحترافية راحة البال بمعرفة أن موقعك يتم الاعتناء به بشكل صحيح. بالإضافة إلى ذلك، يمكنك توفير الوقت في جدولك الزمني للتركيز على مسائل العمل الملحة الأخرى.
تغليف
بالنظر إلى المجموعة الواسعة من التهديدات الأمنية الموجودة اليوم، فإن البقاء على رأس هذه التهديدات جميعًا يمكن أن يكون مرهقًا. ومع ذلك، مع تزايد هجمات DDoS من حيث التكرار والخطورة، أصبح من المهم أكثر من أي وقت مضى التأكد من حماية موقع WordPress الخاص بك بشكل صحيح .
في هذا المنشور، ناقشنا ستة نصائح يمكنك استخدامها للمساعدة في إيقاف ومنع هجوم DDoS على موقع WordPress الخاص بك:
- تعطيل XMLR RPC وREST API في WordPress.
- قم بتثبيت WAF على موقعك.
- اختر مزود استضافة آمن.
- استخدم CDN.
- قم بتنزيل مكون حماية WordPress DDoS الإضافي.
- اجعل صيانة WordPress ومراقبته أولوية.
إذا كنت تريد أن تجعل رعاية موقع WordPress وصيانته أولوية ولكنك غير متأكد مما إذا كان لديك الوقت لذلك، ففكر في الاستعانة بمصادر خارجية للعمل معنا في WP Buffs . يمكن أن تساعدك خططنا الشاملة للعناية بالموقع في كل شيء بدءًا من تثبيت المكونات الإضافية المناسبة وحتى إجراء فحوصات أمنية شاملة للموقع .
هل تريد تقديم ملاحظاتك أو الانضمام إلى المحادثة؟ أضف تعليقاتك على تويتر.
حقوق الصورة: سكوت ويبر.