Attacco DDoS WordPress – Come proteggere il tuo sito web

La prevalenza degli attacchi DDoS di WordPress ha causato una significativa perdita di entrate a molte piccole imprese che dipendono dal traffico online per generare entrate.

Gli attacchi DDoS rappresentano una grave minaccia per i siti Web, indipendentemente dalle loro dimensioni. Pertanto, è essenziale implementare tutte le misure di sicurezza appropriate per proteggere il tuo sito web.

In questo post, esploreremo come gli attacchi DDoS di WordPress possono danneggiare il tuo sito . Quindi ti forniremo consigli pratici su come evitare che si verifichino.

Contenuti:

• Cos'è un attacco DDoS?
• In che modo gli attacchi DDoS possono influenzare i siti Web WordPress
• Suggerimenti per proteggere il tuo sito Web WordPress dagli attacchi DDoS
  • 1. Abilita l'autenticazione a due fattori (2FA)
  • 2. Utilizzare un Web Application Firewall (WAF)
  • 3. Usa il CDN di Cloudflare
  • 4. Disabilita l'API REST in WordPress
  • 5. Mantieni aggiornati il ​​software e i plug-in di WordPress
  • 6. Monitora il traffico del tuo sito web
• Domande frequenti
• Conclusione

Cos'è un attacco DDoS?

Un attacco DDoS (Distributed Denial of Service) è un tipo di attacco informatico che tenta di sopraffare un sito Web o un server con traffico dannoso per interromperne il normale funzionamento. Questi attacchi possono verificarsi su qualsiasi sito Web, inclusi i siti basati su WordPress.

In che modo gli attacchi DDoS possono influenzare i siti Web WordPress

Le conseguenze di un attacco DDoS sui siti Web WordPress sono significative, soprattutto per i siti Web di piccole imprese. Questo perché potrebbero non avere l'infrastruttura per respingere tali attacchi. Se un attacco DDoS colpisce con successo un sito Web, potrebbe non essere più disponibile per gli utenti, causando tempi di inattività del sito Web.

Nel 2016, Internet è stato colpito da uno dei più significativi attacchi denial of service. DYN, un fornitore di servizi DNS, è stato preso di mira dall'attacco. Ha colpito molti siti popolari come Netflix, Reddit, PayPal, Visa e altri. Di conseguenza, molti utenti Internet in Europa e Nord America ne sono stati colpiti.

Gli attacchi DDoS hanno molti impatti sui proprietari di siti Web e sugli utenti di Internet. Alcuni dei danni che gli attacchi DDoS possono causare al tuo sito Web includono quanto segue.

Tempo di inattività del sito web

Una delle conseguenze più significative di un attacco DDoS è che il sito Web preso di mira potrebbe non essere più disponibile per gli utenti. Questo può essere frustrante per gli utenti, che potrebbero aver bisogno di aiuto per accedere al sito Web o utilizzare i suoi servizi.

Traffico e ricavi persi

Se un sito Web WordPress non è disponibile a causa di un attacco DDoS, può causare una perdita di traffico e entrate. Ad esempio, durante l'attacco DYN nell'ottobre 2016, Sony ha riportato una perdita totale di 2,7 milioni di dollari. Questo è enorme, considerando che l'attacco è durato solo due ore.

Danni alla reputazione

Inoltre, gli utenti potrebbero perdere la fiducia nel tuo marchio se il tuo sito web cade vittima di un attacco DDoS. Ciò può influire sulla reputazione del tuo sito Web perché anche i motori di ricerca possono inserire nella blacklist il tuo sito Web.

Costo della mitigazione

Difendersi da un attacco DDoS può essere costoso perché richiede risorse specializzate e competenze tecniche.

Perdita di dati

Uno studio condotto da Kaspersky nel 2015 ha scoperto che il 26% dei siti Web che subiscono attacchi DDoS subiscono anche perdite di dati. Gli attacchi DDoS spesso fungono da copertura per altri attacchi informatici, come gli attacchi di forza bruta.

Suggerimenti per proteggere il tuo sito Web WordPress dagli attacchi DDoS

Gli attacchi DDoS sono diventati una seria minaccia per i proprietari di siti web. E anche i siti Web più ben finanziati non sono immuni da tali attacchi. Tecnicamente, nessun sito Web è immune dagli attacchi DDoS. Tuttavia, è possibile implementare misure per arrestare e prevenire gli attacchi DDoS.

Ecco alcuni suggerimenti per la protezione DDoS di WordPress che puoi implementare per salvaguardare il tuo sito web.

1. Abilita l'autenticazione a due fattori (2FA)

L'autenticazione a due fattori (2FA) è una misura di sicurezza che richiede agli utenti di fornire un ulteriore livello di autenticazione prima di accedere a pagine sensibili come la pagina di amministrazione di WP.

Ciò può aiutare a proteggere da accessi non autorizzati a siti Web, attacchi di forza bruta e attacchi DDoS.

Ad esempio, potresti richiedere agli utenti di fornire un codice monouso inviato al loro telefono o e-mail prima di accedere al tuo sito web.

Puoi configurare l'autenticazione a due fattori (2FA) su WordPress utilizzando il plug-in MiniOrange Google Authenticator.

Per installare MiniOrange Authenticator, accedi alla dashboard di WordPress e vai suPlugin >> Aggiungi nuovo .Nella casella di ricerca, digita "MiniOrange Google Authenticator". Il plug-in dovrebbe apparire nei risultati della ricerca, come mostrato di seguito.

Successivamente, fai clic sul pulsanteInstalla ora accanto al nome del plug-in per installare il plug-in sul tuo sito web.Una volta installato il plug-in, il pulsante cambierà in "Attiva". Fare clic su di esso per attivare il plug-in.

Configurazione dell'autenticatore Google MiniOrange

Dopo aver attivato il plug-in, dovrai collegarlo all'app Google Authenticator su un dispositivo mobile. Questo è necessario per completare l'attivazione di 2FA sul tuo sito.

Per iniziare, fai clic suIniziamo .

Successivamente, scegli l'opzioneUtenti che devono configurare 2FA prima dopo l'accesso .In questo modo, tutti gli utenti saranno costretti a configurare 2FA prima di accedere. Fare clic suContinua configurazione per procedere.

Puoi attivare la 2FA per tutti gli utenti o solo per alcuni ruoli specifici (es. admin e redattori). Questo è utile se vuoi escludere utenti come gli autori. Per questo tutorial, attiveremo la 2FA solo per gli amministratori.

Selezionare l'opzioneSolo per ruoli specifici e selezionare la casella di controllo Amministratore. Successivamente, fai clic suContinua configurazione per procedere.

Successivamente, scegli se implementare 2FA immediatamente o concedere agli utenti un periodo di tolleranza. Fare clic suTutto fatto per continuare.

Ora dovrai selezionare il metodo di autenticazione che desideri configurare. Scegli l'opzioneGoogle / Microsoft / Authy Authenticator e fai clic sul pulsante Salva e continua.

Successivamente, selezionaConfigura 2FA per te stesso per procedere al passaggio successivo del processo di configurazione.

Connessione di MiniOrnage con Google Mobile Authenticator

Google Authenticator è l'app di autenticazione preferita per questo processo. Questo perché è il più popolare e disponibile su dispositivi Android e iOS.

Il primo passo sarà scaricare l'app Google Authentication dal Play Store o dall'Apple Store.

Dopo aver installato l'app, dovresti vedere una pagina di menu con due opzioni:Scansiona un codice QR e Inserisci una chiave di configurazione.

Seleziona l'opzione Codice QR e scansiona il codice a barre QR visualizzato sul tuo sito web come quello qui sotto.

Al termine della scansione, inserire il codice a sei cifre generato dall'applicazione di autenticazione nel campo apposito.

Confermare l'inserimento selezionando l'opzioneSalva e continua .

Questo è tutto! Hai abilitato correttamente la 2FA sul tuo sito web con MiniOrange Google 2FA.

Non riesci a scansionare il codice QR in MiniOrange?

Se non riesci a scansionare il codice QR fornito, ecco cosa devi fare:

Innanzitutto, fai clic su Non riesci a scansionare il codice a barre?Questo genererà una chiave per impostare 2FA nell'app di autenticazione di Google.

Apri l'app Google Authenticator sul telefono e seleziona l'opzioneInserisci una chiave di configurazione .Successivamente, incolla la chiave di 16 caratteri generata da MiniOrange 2FA.

Inserisci il nome di un'app e il tipo di account, quindi fai clic su Aggiungi. Genererà quindi un codice a 6 cifre che puoi utilizzare per completare il processo su WordPress. Al termine, fare clic suSalva e continua per procedere.

Successivamente, vedrai un messaggio che mostra lo stato della tua configurazione.

Per provarlo, esci dal tuo sito WordPress e prova ad accedere. Nella pagina di accesso, dovrai inserire una password monouso di 6 cifre generata dall'app di autenticazione sul tuo telefono ogni volta che effettui un tentativo di accesso .

2. Utilizzare un Web Application Firewall (WAF)

Un Web Application Firewall (WAF) è una misura di sicurezza in grado di proteggere un sito Web da varie minacce, inclusi gli attacchi DDoS.

I WAF analizzano il traffico in entrata e bloccano le richieste dannose prima che raggiungano i server del sito web. Ciò può aiutare a impedire che gli attacchi DDoS di WordPress travolgano l'infrastruttura del sito Web e ne causino l'arresto anomalo.

Il modo più semplice per aggiungere WAF al tuo sito Web è con un plug-in firewall. Fortunatamente, alcuni plugin di sicurezza e anti-DDoS di WordPress, come Wordfence Security, sono dotati di protezione firewall.

Di seguito, installeremo e attiveremo Wordfence su un sito WordPress.

Installazione e attivazione di Wordfence

Per installare Wordfence, accedi alla dashboard di amministrazione di WordPress e poi vai a Plugin >> Aggiungi nuovo. Individua la barra di ricerca nell'angolo in alto a destra e digita "Wordfence" per cercare il plug-in.

Fai clic sul pulsanteInstalla ora accanto al plug-in Wordfence Security per installarlo sul tuo sito.Attiva il plug-in una volta completata l'installazione.

Dopo aver attivato WordFence, dovrai ottenere una chiave di licenza affinché funzioni. Fai clic sul pulsanteOttieni la tua licenza WordFence nella pagina successiva per iniziare la continuazione.

Successivamente, seleziona il piano gratuito per testare le funzionalità e fai clic su"Sto bene aspettando 30 giorni " per procedere.

Puoi passare a un piano a pagamento in un secondo momento se hai il budget. Tuttavia, il piano gratuito ti fornisce tutte le funzionalità essenziali di cui avrai bisogno per proteggere il tuo sito web.

Successivamente, inserisci il tuo indirizzo e-mail, accetta i termini e le condizioni e fai clic su Registrati .

Dovresti ricevere un'e-mail di attivazione da Wordfence. Apri la tua e-mail e fai clic sul link di attivazione.

Successivamente, ti reindirizzerà alla dashboard di WordPress. Qui, dovrai fare clic sul pulsanteInstalla licenza per attivare il tuo sito.Con ciò, ora hai Wordfence che lavora attivamente sul tuo sito web.

Per verificare se WAF è abilitato e funzionante, individuaWordfence dalla dashboard di WordPress e fai clic sul link Gestisci firewall.

Dovresti vedere una sezione nella schermata successiva che mostra lo stato del WAF. Se lo stato WAF è attivo e vengono visualizzate le cifre percentuali, conferma che il WAF è abilitato e funzionante.

L'installazione del plug-in Wordfence sul tuo sito web ti darà i seguenti vantaggi:

• Prevenzione dell'iniezione SQL
• Limitazione dell'attacco brutale
• Protezione da cross-site scripting

3. Usa il CDN di Cloudflare

Cloudflare è un popolare provider CDN che migliora le prestazioni del tuo sito Web e ti protegge da attacchi informatici come gli attacchi DDoS.

Cloudflare può assolvere attacchi DDoS su larga scala e filtrare le fonti di traffico per rilevare se richieste specifiche provengono da un utente malintenzionato.

Di seguito, ti guideremo attraverso i passaggi necessari per attivare i servizi di Cloudfare sul tuo sito web.

Ottenere un account Cloudflare

Come prerequisito, assicurati di avere prima accesso alla dashboard di amministrazione del tuo registrar di domini. Ne avrai bisogno per consentire a Cloudflare di accedere alle tue impostazioni DNS.

Il primo passo è creare un account Cloudflare. Per farlo, visita la pagina di registrazione di Cloudflare. Successivamente, inserisci la tua email, scegli una password e fai clic suCrea account .

Aggiunta del tuo sito web a Cloudflare

Il tuo account Cloudflare è pronto. Tuttavia, devi completare la configurazione aggiungendo il tuo sito. Dopo aver effettuato l'accesso al tuo account, fai clic sul pulsanteAggiungi sito per aggiungere il tuo sito web.

Inserisci il tuo nome di dominio (ad es. esempio.com) e fai clic suAggiungi sito per continuare.

Successivamente, seleziona un piano Cloudflare adatto. Questo dipende dalle funzionalità che desideri. Tuttavia, un piano gratuito è sufficiente per fornirti la protezione di base di cui hai bisogno. Seleziona il piano gratuito e fai clic suContinua per procedere.

Nella pagina successiva, vedrai un elenco di record esistenti. Puoi esaminarli per assicurarti che siano corretti.

Nota : non è consigliabile apportare modifiche ai tuoi record DNS in questa fase.

Se hai esaminato i record e sei soddisfatto, fai clic su Continua per procedere.

La fase successiva consiste nell'indirizzare i server dei nomi di dominio a Cloudflare. Questo è importante per completare il processo di attivazione e per consentire a Cloudflare di proteggere il tuo sito.

Dovrai sostituire i nameserver esistenti sul tuo registrar di domini.

Successivamente, copia i nuovi server dei nomi forniti da Cloudflare per sostituire quelli che hai rimosso sul tuo host di dominio.

I passaggi per cambiare i server dei nomi differiscono da una società di hosting all'altra. Contatta il tuo provider di hosting web se non sei sicuro di come individuare le impostazioni dei server dei nomi. Tuttavia, ti mostreremo come farlo in Namecheap.

Aggiornamento dei server dei nomi Namecheap

Innanzitutto, accedi al tuo account e fai clic suElenco domini .

Nella pagina del dominio, individua il dominio che desideri modificare e fai clic suGestisci .

Quindi, fai clic sul menu a discesaServer dei nomi e seleziona DNS personalizzato.

Nelle caselle di input, inserisci i due nameserver forniti da Cloudflare e fai clic sul segno di spunta per salvare le modifiche.

Ora puoi tornare a Cloudflare per verificare le modifiche al server dei nomi facendo clic suFine, controlla i server dei nomi .

Nota a margine: la modifica dei server dei nomi può richiedere fino a 48 ore per la propagazione.

Protezione DDoS di Cloudflare

Cloudflare abiliterà automaticamente la protezione DDoS sul tuo sito dopo aver aggiunto il tuo sito web a Cloudflare.

Nonostante ciò, è consigliabile implementare misure aggiuntive per proteggere il tuo sito. A seconda del rischio che il tuo sito web deve affrontare, ci sono alcune impostazioni extra che puoi implementare per proteggere ulteriormente il tuo sito.

Lascia che ti mostriamo due impostazioni essenziali da implementare per proteggere il tuo sito Web dagli attacchi DDoS.

Crea un Override DDos personalizzato

Puoi personalizzare il comportamento della protezione DDoS predefinita di Cloudflare distribuendo un override DDoS personalizzato.

Per utilizzare questa opzione, accedi al tuo account Cloudflare. Quindi, seleziona il tuo sito web per spostarti nella sua zona.

Successivamente, vai suSicurezza >> DDoS nel menu a sinistra.Fare clic suDistribuisci un overrideDDoS per procedere.

Nella pagina successiva, aggiungi un nome per l'override. Successivamente, modifica l'azione del set di regole inSfida gestita e imposta la sensibilità su BassaoMediaa seconda dei rischi che affronti. Successivamente, scorri verso il basso e fai clic suSalva .

L'implementazione di questa strategia aiuterà a filtrare il traffico dannoso da una fonte DDoS. Utilizza serie di sfide gestite presentate agli utenti da Cloudflare.

Attiva la modalità Lotta Bot

Un altro approccio che potresti adottare per proteggere il tuo sito dagli attacchi DDoS consiste nell'attivare la modalità Bot Fight. La modalità di lotta ai bot aiuta a rilevare e impedire al traffico bot noto di accedere al tuo sito.

Per attivare la modalità Bot Fight, vai suSicurezza >> Bot e attival'opzione della modalità Bot Fight.

Cloudflare ti fornisce tutti gli strumenti necessari per proteggere il tuo sito Web dagli attacchi DDoS. I suggerimenti di cui sopra dovrebbero proteggere il tuo sito dalla maggior parte degli attacchi DDoS se li segui correttamente.

4. Disabilita l'API REST in WordPress

L'API REST di WordPress è una funzionalità di WordPress che consente agli sviluppatori di accedere e manipolare i dati di WordPress utilizzando richieste HTTP. A volte, l'API REST può essere utilizzata come vettore per attacchi DDoS.

Puoi disabilitare WP REST API utilizzando diversi metodi in WordPress. Tuttavia, il metodo più semplice consiste nell'utilizzare frammenti di codice dal plug-in WPCode.

Dovrai installare e attivare il plug-in sul tuo sito WordPress.

Dopo aver attivato il plugin, vai suCode Snippets >> + Add Snippet.

Nella pagina successiva, digita "rest api" nella casella di ricerca. Disable Rest API dovrebbe ora apparire nei risultati della ricerca.

Successivamente, fai clic suUsa snippet per procedere al passaggio successivo.

Infine, imposta il pulsante "inattivo" su "attivo" per attivare il codice. Al termine, fai clic suAggiorna per salvare le modifiche.

L'API REST è ora disabilitata sul tuo sito web. Poiché le API sono punti vulnerabili sul tuo sito WordPress che gli aggressori possono sfruttare, la disabilitazione dell'API REST ti protegge dagli attacchi DDoS che sfruttano questi punti deboli dell'API.

5. Mantieni aggiornati il ​​software e i plug-in di WordPress

L'aggiornamento di temi e plug-in di WordPress è un altro modo per proteggere il tuo sito Web dagli attacchi DDoS e migliorare la sicurezza del sito Web. Gli aggiornamenti del software e dei plug-in aiutano a garantire che il sito Web utilizzi la versione più sicura del software.

In WordPress, la maggior parte degli aggiornamenti di solito include correzioni per le vulnerabilità che gli aggressori DDoS potrebbero sfruttare.

Per aggiornare i plugin di WordPress, accedi al tuo WordPress e vai suDashboard >> Aggiornamenti.

Nella pagina degli aggiornamenti, vedrai tutti i plug-in che devono essere aggiornati sul tuo sito. Seleziona la casella di controllo Seleziona tutto per contrassegnare tutti i plug-in.Quindi scorrere verso il basso e fare clic suAggiorna plug-in .

Inoltre, controlla e aggiorna i tuoi temi WordPress.

Mentre ci sei, assicurati di utilizzare l'ultima versione di WordPress.

6. Monitora il traffico del tuo sito Web e osserva i picchi insoliti

In qualità di proprietario di un sito Web, dovresti agire immediatamente per prevenire gli attacchi e ripristinare le normali operazioni se sospetti un attacco.

Ciò può includere la richiesta dell'assistenza di un esperto di sicurezza o l'implementazione di ulteriori misure di sicurezza. Ad esempio, puoi utilizzare plug-in di sicurezza come Wordfence per monitorare il tuo traffico per attività insolite.

Se hai implementato il secondo suggerimento in questo tutorial, dovresti avere il plug-in Wordfence Security installato sul tuo sito web.

Per accedere alla funzione di gestione del traffico, fai clic sul menu lateraledi Wordfence .Successivamente, fai clic suGestisci firewall per procedere.

Successivamente, scorri verso il basso fino al pulsante per individuare la sezione "Limitazione velocità".

Quindi, attiva la funzione di blocco avanzato di limitazione della velocità per attivarla.

Nella pagina di configurazione della limitazione della velocità, puoi abilitare vari metodi di controllo del traffico per proteggere il tuo sito WordPress dal traffico indesiderato e ridurre il carico sulle risorse del server.

Ad esempio, puoi stabilire un limite di richieste, regolando il numero di richieste che un determinato utente può effettuare.

La funzione di limitazione della velocità di Wordfence ti consente di controllare i crawler e le visualizzazioni di pagine umane. Puoi anche usarlo per limitare picchi di traffico insoliti sui siti WordPress. Mentre Wordfence può essere ulteriormente personalizzato per migliorare la sicurezza di WordPress , dovresti evitare di bloccare il traffico legittimo.

Attacco DDoS WordPress (FAQ)

Di seguito, abbiamo risposto ad alcune delle principali domande poste dagli utenti sulla protezione del proprio sito WordPress dagli attacchi DDoS.

WordPress ha una protezione DDoS?

WordPress non ha la protezione DDoS per impostazione predefinita. Tuttavia, puoi implementare alcune misure per proteggere il tuo sito WordPress dagli attacchi DDoS. Questi possono includere: l'utilizzo di servizi di terze parti come Cloudflare o l'installazione di plug-in di sicurezza come Wordfence.

In che modo gli aggressori DDoS attaccano un sito web?

Gli aggressori distribuiscono attacchi DDoS su WordPress inondando il sito di destinazione con diverse richieste. Questi mirano a rendere più difficile per gli utenti legittimi l'accesso al sito.

Conclusione – WordPress DDoS

In sintesi, proteggere il tuo sito Web WordPress dagli aggressori DDoS è essenziale, poiché gli attacchi al tuo sito Web possono influire negativamente sulla tua attività.

Per fortuna, in questo post abbiamo fornito alcuni passaggi che puoi seguire per proteggere il tuo sito WordPress dagli attacchi DDoS.

Se sei confuso su qualsiasi passaggio, faccelo sapere nella sezione commenti qui sotto o contatta i nostri esperti per ulteriori indicazioni.