WordPress DDoS 攻撃 – ウェブサイトを保護する方法

公開: 2023-03-02

WordPress の DDoS 攻撃の蔓延により、収益を得るためにオンライン トラフィックに依存している多くの中小企業が大幅な収益損失を被っています。

DDoS 攻撃は、その規模に関係なく Web サイトに深刻な脅威をもたらします。 したがって、Web サイトを保護するために適切なセキュリティ対策をすべて実装することが不可欠です。

この投稿では、 WordPress の DDoS 攻撃がどのようにサイトに損害を与えるかについて説明します。 次に、それらの発生を防ぐ方法に関する実用的なヒントを提供します。

WordPress DDoS 攻撃 - Web サイトを保護する方法

コンテンツ:

  • DDoS 攻撃とは?
  • DDoS 攻撃が WordPress Web サイトに与える影響
  • WordPress ウェブサイトを DDoS 攻撃から保護するためのヒント
    • 1. 二要素認証 (2FA) を有効にする
    • 2. Web アプリケーション ファイアウォール (WAF) を使用する
    • 3.CloudflareのCDNを使用する
    • 4. WordPress で REST API を無効にする
    • 5. WordPress ソフトウェアとプラグインを最新の状態に保つ
    • 6. ウェブサイトのトラフィックを監視する
  • よくある質問
  • 結論

DDoS 攻撃とは?

分散型サービス拒否 (DDoS) 攻撃は、Web サイトやサーバーを悪意のあるトラフィックで圧倒し、通常の運用を妨害しようとするサイバー攻撃の一種です。 これらの攻撃は、WordPress を利用したサイトを含め、あらゆる Web サイトで発生する可能性があります。

WordPress DDoS 攻撃

DDoS 攻撃が WordPress Web サイトに与える影響

WordPress Web サイトに対する DDoS 攻撃の結果は、特に中小企業の Web サイトにとって重大です。 これは、そのような攻撃を撃退するためのインフラストラクチャが不足している可能性があるためです。 DDoS 攻撃が Web サイトを標的とすることに成功すると、ユーザーがその Web サイトを利用できなくなり、Web サイトのダウンタイムが発生する可能性があります。

2016 年、インターネットは最も重大なサービス拒否攻撃の 1 つに見舞われました。 DNS サービス プロバイダーである DYN が攻撃の標的にされました。 Netflix、Reddit、PayPal、Visa などの多くの人気サイトに影響を与えました。 その結果、ヨーロッパと北米の多くのインターネット ユーザーが影響を受けました。

DDoS 攻撃は、Web サイトの所有者やインターネット ユーザーに多くの影響を与えます。 DDoS 攻撃が Web サイトに与える可能性のある損害には、次のようなものがあります。

ウェブサイトのダウンタイム

DDoS 攻撃の最も重大な結果の 1 つは、標的の Web サイトがユーザーに利用できなくなる可能性があることです。 これは、Web サイトへのアクセスやそのサービスの使用にサポートが必要なユーザーにとって、イライラする可能性があります。

トラフィックと収益の損失

DDoS 攻撃によって WordPress Web サイトが利用できなくなると、トラフィックと収益が失われる可能性があります。 たとえば、2016 年 10 月の DYN 攻撃の間、ソニーは合計 270 万ドルの損失を報告しました。 攻撃がわずか 2 時間続いたことを考えると、これは膨大な量です。

名誉毀損

さらに、Web サイトが DDoS 攻撃の犠牲になった場合、ユーザーはブランドに対する信頼を失う可能性があります。 検索エンジンもあなたのウェブサイトをブラックリストに載せる可能性があるため、これはあなたのウェブサイトの評判に影響を与える可能性があります.

軽減のコスト

DDoS 攻撃に対する防御には、専門的なリソースと技術的な専門知識が必要なため、費用がかかる可能性があります。

データロス

2015 年の Kaspersky による調査では、DDoS 攻撃に苦しむ Web サイトの 26% がデータ損失も経験していることがわかりました。 DDoS 攻撃は、ブルート フォース攻撃などの他のサイバー攻撃の隠れ蓑として機能することがよくあります。

WordPress ウェブサイトを DDoS 攻撃から保護するためのヒント

DDoS 攻撃は、Web サイトの所有者にとって深刻な脅威となっています。 また、最も資金の豊富な Web サイトでさえ、このような攻撃に無防備ではありません。 技術的には、DDoS 攻撃の影響を受けない Web サイトはありません。 ただし、DDoS 攻撃を阻止および防止する手段を実装することはできます。

Web サイトを保護するために実装できる WordPress DDoS 保護のヒントをいくつか紹介します。

1. 二要素認証 (2FA) を有効にする

二要素認証 (2FA) は、ユーザーが WP 管理ページなどの機密性の高いページにアクセスする前に、追加の認証レイヤーを提供することを要求するセキュリティ対策です。

これは、不正な Web サイト アクセス、ブルート フォース攻撃、および DDoS 攻撃から保護するのに役立ちます。

たとえば、Web サイトにログインする前に、電話または電子メールに送信されるワンタイム コードを提供するようユーザーに要求することができます。

MiniOrange Google Authenticator プラグインを使用して、WordPress で 2 要素認証 (2FA) を設定できます。

MiniOrange Authenticator をインストールするには、WordPress ダッシュボードにログインし、[プラグイン] >> [新規追加]に移動します。検索ボックスに「MiniOrange Google Authenticator」と入力します。 以下に示すように、プラグインが検索結果に表示されます。

新しいプラグイン ページを追加

次に、プラグイン名の横にある[今すぐインストール]ボタンをクリックして、プラグインを Web サイトにインストールします。 プラグインをインストールすると、ボタンが「有効化」に変わります。 それをクリックしてプラグインを有効にします。

MiniOrange Google 認証システムの構成

プラグインを有効にした後、モバイル デバイスの Google Authenticator アプリにプラグインを接続する必要があります。 これは、サイトで 2FA の有効化を完了するために必要です。

開始するには、[始めましょう]をクリックします。

miniOrange 2FA セットアップの開始

次に、[ログイン後に最初に 2FA を設定する必要があるユーザー] オプションを選択します。これにより、すべてのユーザーはログイン前に 2FA の設定を強制されます。[設定を続行]をクリックして続行します。

最初のログイン後にユーザーが 2FA を設定する必要があるかどうかを選択します

すべてのユーザーまたは一部の特定のロール (管理者や編集者など) に対してのみ 2FA を有効にすることができます。 これは、作成者などのユーザーを除外する場合に便利です。 このチュートリアルでは、管理者のみに対して 2FA を有効にします。

[特定の役割のみ]オプションを選択し、 [管理者]チェックボックスをオンにしますその後、[セットアップを続行]をクリックして続行します。

特定のロールに対してのみ 2FA を有効にする

次に、2FA をすぐに実装するか、ユーザーに猶予期間を与えるかを選択します。[すべて完了]をクリックして続行します。

2FA を実装するか、猶予期間を与えるかを選択します

ここで、構成する認証方法を選択する必要があります。Google / Microsoft / Authy Authenticatorオプションを選択し、 [保存して続行]ボタンをクリックします。

DDoS 攻撃を防ぐための認証方法を選択する

次に、自分で 2FA を構成する を選択して、構成プロセスの次のステップに進みます。

自分用に 2FA を構成するを選択します

MiniOrnage と Google Mobile Authenticator の接続

Google Authenticator は、このプロセスに適した認証アプリです。 これは、最も人気があり、Android および iOS デバイスで利用できるためです。

最初のステップは、Play ストアまたは Apple ストアから Google 認証アプリをダウンロードすることです。

Google 認証アプリ

アプリをインストールすると、QR コードをスキャンしてセットアップ キーを入力するという 2 つのオプションを含むメニュー ページが表示されます。

WordPress の DDoS 攻撃を防ぐ

QR コード オプションを選択し、以下のように Web サイトに表示されている QR バーコードをスキャンします。

スキャンが完了したら、認証アプリケーションから生成された 6 桁のコードを指定されたフィールドに入力します。

Google 認証システムを構成する

[保存して続行]オプションを選択して、入力を確認します。

それでおしまい! MiniOrange Google 2FA を使用して、Web サイトで 2FA を正常に有効にしました。

成功メッセージ - WordPress での DDoS の防止

MiniOrange で QR コードをスキャンできませんか?

提供されたQR コードをスキャンできない場合は、次のことを行う必要があります。

まず、 [バーコードをスキャンできませんか?]をクリックします。これにより、Google 認証アプリで 2FA を設定するためのキーが生成されます。

スマートフォンで Google Authenticator アプリを開き、[セットアップ キーを入力]オプションを選択します。次に、MiniOrange 2FA で生成された 16 文字のキーを貼り付けます。

6桁のコードを生成して保存

アプリ名とアカウントの種類を入力し、[追加] をクリックします。 その後、WordPress でプロセスを完了するために使用できる 6 桁のコードが生成されます。 完了したら、[保存して続行] をクリックして続行します。

次に、構成のステータスを示すメッセージが表示されます。

2FA で WordPress の DDoS 攻撃を防ぐ

これをテストするには、WordPress サイトからログアウトしてログインを試みます。ログイン ページでは、ログインを試行するたびに、電話の認証アプリから生成された 6 桁のワンタイム パスワードを入力する必要があります。 .

OTP の検証

2. Web アプリケーション ファイアウォール (WAF) を使用する

Web アプリケーション ファイアウォール (WAF) は、DDoS 攻撃を含むさまざまな脅威から Web サイトを保護できるセキュリティ対策です。

WAF は受信トラフィックを分析し、悪意のあるリクエストが Web サイトのサーバーに到達する前にブロックします。 これにより、WordPress の DDoS 攻撃が Web サイトのインフラストラクチャを圧倒し、クラッシュを引き起こすのを防ぐことができます。

Web サイトに WAF を追加する最も簡単な方法は、ファイアウォール プラグインを使用することです。 幸いなことに、Wordfence Security などの一部の WordPress セキュリティおよびアンチ DDoS プラグインには、ファイアウォール保護が付属しています。

以下では、WordPress サイトに Wordfence をインストールして有効にします。

Wordfence のインストールと有効化

Wordfence をインストールするには、WordPress 管理ダッシュボードにログインし、 [プラグイン] >> [新規追加]に移動します。右上隅にある検索バーを探し、「Wordfence」と入力してプラグインを検索します。

Wordfence Security プラグインの横にある[今すぐインストール]ボタンをクリックして、サイトにインストールします。 インストールが完了したら、プラグインを有効化します。

Wordfence セキュリティ プラグインをインストールしてアクティブ化する

WordFence をアクティブ化した後、それを機能させるにはライセンス キーを取得する必要があります。 次のページのGet Your WordFence Licenseボタンをクリックして、続きを開始します。

Wordfence ライセンスを取得する

次に、機能をテストする無料プランを選択し、「30 日間待っても大丈夫です」をクリックして続行します。

予算があれば、後で有料プランにアップグレードできます。 ただし、無料プランでは、Web サイトを保護するために必要なすべての基本機能が提供されます。

ワードフェンスのプレミアムプラン

次に、電子メール アドレスを入力し、利用規約に同意して、 [登録]をクリックします。

メール登録

Wordfence からアクティベーション メールが届きます。 メールを開き、[アクティベーション] リンクをクリックします。

Wordfence からのアクティベーション メール

その後、WordPress ダッシュボードにリダイレクトされます。 ここで、[ライセンスのインストール]ボタンをクリックして、サイトを有効にする必要があります。これで、Web サイトで Wordfence が積極的に機能するようになりました。

WP ダッシュボードにリダイレクト

WAF が有効で機能しているかどうかを確認するには、WordPress ダッシュボードからWordfence を見つけて、[ファイアウォールの管理]リンクをクリックします。

Wordfence ダッシュボード - WordPress DDoS 攻撃

次の画面に WAF のステータスを表示するセクションが表示されます。 WAF ステータスがアクティブで、パーセンテージの数値が表示されている場合、WAF が有効で機能していることを確認します。

WordPress で DDoS を防止する WAF を有効にしました

Web サイトに Wordfence プラグインをインストールすると、次の利点が得られます。

  • SQL インジェクションの防止
  • ブルートアタック制限
  • クロスサイト スクリプティング保護

3.CloudflareのCDNを使用する

Cloudflare は、Web サイトのパフォーマンスを向上させ、DDoS 攻撃などのサイバー攻撃から保護する人気のある CDN プロバイダーです。

Cloudflare は、大規模な DDoS 攻撃を回避し、トラフィック ソースをフィルタリングして、特定のリクエストが攻撃者からのものかどうかを検出できます。

以下では、Web サイトで Cloudfare のサービスを有効にするために必要な手順を説明します。

Cloudflare アカウントを取得する

前提条件として、最初にドメイン レジストラーの管理ダッシュボードにアクセスできることを確認してください。 Cloudflare が DNS 設定にアクセスできるようにするために必要です。

最初のステップは、Cloudflare アカウントを作成することです。 これを行うには、Cloudflare サインアップ ページにアクセスしてください。 次に、メールアドレスを入力し、パスワードを選択して、[アカウントの作成]をクリックします。

Cloudflare アカウントを作成する

Web サイトを Cloudflare に追加する

Cloudflare アカウントの準備が整いました。 ただし、サイトを追加してセットアップを完了する必要があります。 アカウントにログインしたら、[サイトを追加]ボタンをクリックして Web サイトを追加します。

サイト追加ボタンをクリック

ドメイン名 (example.com など) を入力し、[サイトを追加]をクリックして続行します。

ドメイン名を入力してください - WordPress DDoS

次に、適切な Cloudflare プランを選択します。 これは、必要な機能によって異なります。 ただし、必要な基本的な保護を提供するには無料プランで十分です。 無料プランを選択し、[続行]をクリックして続行します。

適切なCloudflareプランを選択

次のページに、既存のレコードのリストが表示されます。 それらを見直して、それらが正しいことを確認できます。

DNS レコードを確認する

注: この段階で DNS レコードを変更することはお勧めできません。

記録を確認して問題がなければ、 [続行]をクリックして続行します。

WordPress での DDoS 攻撃を防ぐ

次の段階は、ドメイン ネームサーバーを Cloudflare に向けることです。 これは、アクティベーション プロセスを完了し、Cloudflare がサイトを保護できるようにするために重要です。

ドメイン レジストラーの既存のネームサーバーを置き換える必要があります。

ネームサーバーの設定を完了する

次に、Cloudflare が提供する新しいネームサーバーをコピーして、ドメイン ホストで削除したネームサーバーを置き換えます。

Cloudflare ネームサーバーを追加する

ネームサーバーを変更する手順は、ホスティング会社によって異なります。 ネームサーバー設定の場所がわからない場合は、Web ホスティング プロバイダーにお問い合わせください。 ただし、Namecheap でこれを行う方法を紹介します。

Namecheap ネームサーバーの更新

まず、アカウントにログインし、[ドメイン リスト]をクリックします。

ドメイン一覧

ドメイン ページで、編集するドメインを見つけて[管理]をクリックします。

ドメインを編集し、[管理] をクリックします

次に、Nameserversドロップダウンをクリックし、 Custom DNSを選択します。

カスタム DNS を選択

入力ボックスに、Cloudflare が提供する 2 つのネームサーバーを入力し、チェックマークをクリックして変更を保存します。

Cloudflareのネームサーバーを2つ入力

Cloudflare に戻り、[Done, check nameservers]をクリックしてネームサーバーの変更を確認できます。

ネームサーバーを確認する

補足:ネームサーバーの変更が反映されるまでに最大 48 時間かかる場合があります。

Cloudflare の DDoS 保護

WebサイトをCloudflareに追加すると、CloudflareはサイトでDDoS保護を自動的に有効にします。

それにもかかわらず、サイトを保護するための追加の手段を実装することをお勧めします。 Web サイトが直面するリスクに応じて、サイトをさらに保護するために実装できる追加の設定がいくつかあります。

Web サイトを DDoS から保護するために実装する必要がある 2 つの重要な設定を紹介します。

カスタム DDos オーバーライドを作成する

カスタム DDoS オーバーライドを展開することで、Cloudflare のデフォルトの DDoS 保護の動作をカスタマイズできます。

このオプションを使用するには、Cloudflare アカウントにログインします。 次に、Web サイトを選択してそのゾーンに移動します。

Cloudflare アカウント

次に、左側のメニューで[セキュリティ] >> [DDoS]に移動します。[DDoSオーバーライドのデプロイ] をクリックして続行します。

DDoS オーバーライドを展開して WordPress サイトを保護する

次のページで、オーバーライドの名前を追加します。 その後、ルールセット アクションをManaged Challengeに変更し、直面するリスクに応じて感度をLowまたはMediumに設定します。 その後、下にスクロールして[保存]をクリックします。

WordPress の Cloudflare DDoS オーバーライド設定

この戦略を実装すると、DDoS ソースからの有害なトラフィックを除外するのに役立ちます。 Cloudflare がユーザーに提示する一連の管理されたチャレンジを使用します。

ボットファイトモードを有効にする

サイトを DDoS から保護するためのもう 1 つの方法は、ボット ファイト モードを有効にすることです。 ボット ファイト モードは、既知のボット トラフィックがサイトにアクセスするのを検出してブロックするのに役立ちます。

ボット ファイト モードを有効にするには、[セキュリティ] >> [ボット]に移動し、ボット ファイト モード オプションをオンの位置に切り替えます。

ボットファイトモードを有効にして、WordPress の DDoS 攻撃を防ぎます

Cloudflare は、Web サイトを DDoS から保護するために必要なすべてのツールを提供します。 上記のヒントを正しく実行すれば、ほとんどの DDoS 攻撃からサイトを保護できます。

4. WordPress で REST API を無効にする

WordPress REST API は、開発者が HTTP リクエストを使用して WordPress データにアクセスし、操作できるようにする WordPress の機能です。 場合によっては、REST API が DDoS 攻撃のベクトルとして使用されることがあります。

WordPress でいくつかの方法を使用して、WP REST API を無効にすることができます。 ただし、最も簡単な方法は、WPCode プラグインのコード スニペットを使用することです。

WordPress サイトにプラグインをインストールして有効化する必要があります。

プラグインを有効化したら、Code Snippet >> + Add Snippetに移動します。

+ スニペット ページを追加

次のページで、検索ボックスに「rest api」と入力します。 Disable Rest API が検索結果に表示されるようになりました。

DDos 攻撃を防ぐために WordPress REST API を無効にする

次に、「スニペットを使用」をクリックして次のステップに進みます。

WordPress での DDoS 攻撃を防ぐためにスニペットを使用する

最後に、「非アクティブ」ボタンを「アクティブ」に切り替えて、コードをアクティブにします。 完了したら、[更新]をクリックして変更を保存します。

コードを有効にする

Web サイトで REST API が無効になりました。 API は攻撃者が悪用できる WordPress サイトの脆弱点であるため、REST API を無効にすると、これらの API の弱点を悪用する DDoS 攻撃から保護されます。

5. WordPress ソフトウェアとプラグインを最新の状態に保つ

WordPress のテーマとプラグインを更新することは、Web サイトを DDoS 攻撃から保護し、Web サイトのセキュリティを強化するもう 1 つの方法です。 ソフトウェアとプラグインの更新により、Web サイトで最も安全なバージョンのソフトウェアが使用されるようになります。

WordPress では、通常、ほとんどのアップデートには、DDoS 攻撃者が悪用できる脆弱性に対する修正が含まれています。

WordPress プラグインを更新するには、WordPress にログインし、[ダッシュボード] >> [更新] に移動します。

更新ページには、サイトで更新が必要なすべてのプラグインが表示されます。 すべてのプラグインをマークするには、 [すべて選択]チェックボックスをオンにします。次に、下にスクロールしてUpdate Pluginsをクリックします。

WordPressプラグインを更新する

また、WordPress テーマを確認して更新します。

WordPress テーマを更新する

その際、WordPress の最新バージョンを使用していることを確認してください。

WordPress の最新バージョンを確認する

6. ウェブサイトのトラフィックを監視し、異常なスパイクに注意する

Web サイトの所有者として、攻撃の疑いがある場合は、攻撃を防止し、通常の操作を復元するための措置を直ちに講じる必要があります。

これには、セキュリティの専門家の支援を求めることや、追加のセキュリティ対策の実装が含まれる場合があります。 たとえば、Wordfence などのセキュリティ プラグインを使用して、トラフィックの異常なアクティビティを監視できます。

このチュートリアルの 2 番目のヒントを実装した場合は、Web サイトに Wordfence Security プラグインをインストールする必要があります。

トラフィック管理機能にアクセスするには、Wordfenceサイド メニューをクリックします。次に、[ファイアウォールの管理]をクリックして続行します。

Wordfence ダッシュボード

その後、ボタンまでスクロールして「レート制限」セクションを見つけます。

レート制限セクション - WordPress DDoS を防ぐ

次に、Rate Limiting の高度なブロック機能をオンにして有効にします。

ブロック機能をオンにする

レート制限設定ページでは、WordPress サイトを不要なトラフィックから保護し、サーバー リソースの負荷を軽減するために、さまざまなトラフィック制御方法を有効にすることができます。

たとえば、リクエスト制限を設定して、特定のユーザーが作成できるリクエストの数を規制できます。

WordPress で DDoS を防止するためにリクエストの数を調整する

Wordfence のレート制限機能により、クローラーと人間のページ ビューを制御できます。 また、WordPress サイトの異常なトラフィック スパイクを制限するためにも使用できます。 Wordfence をさらにカスタマイズして WordPress のセキュリティを強化できますが、正当なトラフィックをブロックしないようにする必要があります。

WordPress DDoS 攻撃 (よくある質問)

以下では、WordPress サイトを DDoS 攻撃から保護することに関してユーザーからよく寄せられる質問のいくつかに回答しています。

WordPress には DDoS 保護がありますか?

WordPress にはデフォルトで DDoS 保護がありません。 ただし、WordPress サイトを DDoS 攻撃から保護するためのいくつかの対策を実装できます。 これには、Cloudflare などのサードパーティ サービスの使用や、Wordfence などのセキュリティ プラグインのインストールが含まれます。

攻撃者はどのように Web サイトを DDoS 攻撃しますか?

攻撃者は、標的のサイトに複数のリクエストを送信することで、WordPress に DDoS 攻撃を展開します。 これらは、正当なユーザーがサイトにアクセスするのを難しくすることを目的としています.

結論 – WordPress DDoS

要約すると、Web サイトへの攻撃はビジネスに悪影響を及ぼす可能性があるため、WordPress Web サイトを DDoS 攻撃者から保護することは不可欠です。

ありがたいことに、この投稿では、WordPress サイトを DDoS 攻撃から保護するために従うことができるいくつかの手順を提供しています.

手順についてご不明な点がある場合は、下のコメント セクションでお知らせいただくか、詳しいガイダンスについて専門家にお問い合わせください。