Piano di protezione DDoS WordPress in 6 passaggi per prevenire un attacco

Pubblicato: 2020-02-20

Mustafiz/stock.adobe.com

Di solito, un aumento del traffico web è un risultato auspicabile per il tuo marchio. Tuttavia, potresti non prevedere che il tuo sito verrà improvvisamente inondato da migliaia di richieste simultanee , causandone l'arresto anomalo. Sfortunatamente, questo è esattamente ciò che accade durante un attacco Distributed Denial of Service o "DDoS" su un sito WordPress .

Previeni un attacco DDoS sul sito WordPress

Fortunatamente, come la maggior parte delle minacce alla sicurezza informatica, esistono delle misure che puoi adottare per ridurre al minimo le possibilità di un attacco DDoS al tuo sito WordPress. L'implementazione di un piano di protezione può aiutare a fermare e impedire ai criminali di Internet di paralizzare il tuo business online.

In questo post spiegheremo cosa sono gli attacchi DDoS e come funzionano. Quindi ti forniremo un piano di protezione DDoS WordPress in sei passaggi che puoi utilizzare per prevenire un attacco al tuo sito. Iniziamo!

In questo articolo

  • Cos'è un attacco DDoS?
  • L'importanza di creare un piano di protezione DDoS per WordPress
  • Come prevenire un attacco DDoS sul tuo sito WordPress (6 suggerimenti chiave)
  • Avvolgendo
Il nostro team di WP Buffs collabora con proprietari di siti, agenzie e liberi professionisti per monitorare e bloccare i siti WordPress 24 ore su 24, 7 giorni su 7. Se hai bisogno di proteggere un sito web o 1.000 siti cliente, siamo qui per aiutarti.

Cos'è un attacco DDoS?

Un attacco DDoS si riferisce a un problema di sicurezza in cui un sito viene inondato di richieste false in un breve periodo di tempo, solitamente attraverso l'uso di bot. Gli hit provengono da più fonti e l'intento è quello di sopraffare il sito Web di destinazione e provocarne il crash .

Migliaia di richieste possono avvenire in un istante. Consideriamo l’attacco DDoS del 2019 contro Imperva, durante il quale la sua rete è stata colpita con 580 milioni di pacchetti al secondo (PPS) .

Questo picco improvviso e imprevisto di ingorghi di traffico fasulli paralizza il sito, rendendolo non disponibile e vulnerabile . Questi attacchi possono essere mirati a un singolo sito Web o a un'intera rete.

I tipi più comuni di attacchi DDoS rientrano in tre categorie:

  • Basato sul volume: si basa sulla replica di un massiccio picco di traffico.
  • Protocollo: sfrutta le risorse del server per mandare in crash il sito o la rete di destinazione.
  • Applicazione: un attacco più sofisticato che prende di mira un'applicazione web.

Esistono diversi metodi e motivazioni per effettuare questo tipo di aggressione. Gli hacker possono eseguire un attacco DDoS per aumentare la vulnerabilità del tuo sito Web WordPress. Può essere una distrazione efficace che rende più facile infiltrarsi nel tuo sito senza essere rilevato.

Nella maggior parte dei casi, tuttavia, lo scopo è principalmente quello di danneggiare il sito preso di mira . Ad esempio, qualcuno potrebbe condurre un attacco DDoS contro un concorrente . Sebbene si tratti di una misura dannosa ed estrema, non è inaudita, soprattutto se si considera l'impatto negativo che i tempi di inattività possono avere su un'azienda.

L'importanza di creare un piano di protezione DDoS per WordPress

Gli effetti di un attacco DDoS possono essere devastanti per la tua azienda. Molti dei danni che ne conseguono sono il risultato di tempi di inattività prolungati e imprevisti .

Se il tuo sito non è disponibile per un lungo periodo di tempo, è molto probabile che perderai parte del tuo business. I clienti non saranno in grado di raggiungere il tuo sito e potrebbero visualizzare l' errore 502 bad gateway . Ciò significa che stai perdendo vendite e-commerce o altre conversioni di lead.

L'indisponibilità prolungata può anche incidere negativamente sul posizionamento nei motori di ricerca (SEO) . Con una visibilità ridotta, dovrai lavorare di più per attirare contatti mentre ricostruisci la credibilità del tuo sito.

Inoltre, un attacco DDoS può causare problemi di hosting . Ciò è particolarmente vero se hai un piano condiviso, poiché questo tipo di violazione della sicurezza può influenzare non solo il tuo sito, ma anche gli altri sul tuo server.

Inoltre, come accennato in precedenza, un incidente DDoS può aumentare la vulnerabilità del tuo sito ad altri tipi di attacchi . Mentre sei distratto dal tentativo di riportare online il tuo sito, la tua attenzione viene distolta dai sistemi di sicurezza . Ciò potrebbe rendere più semplice l'infiltrazione degli hacker senza che tu te ne accorga.

Il recupero da un attacco può richiedere molto tempo e denaro . Anche se non puoi necessariamente impedire a qualcuno di eseguire un attacco DDoS sul tuo sito WordPress, puoi adottare misure per ridurre al minimo il danno che si verifica se ne rimani vittima.

[bctt tweet=" Stabilire un solido piano di protezione DDoS per WordPress aiuta a salvaguardare le risorse aziendali critiche. #WordPress” nomeutente="thewpbuffs"]

Come prevenire un attacco DDoS sul tuo sito WordPress (6 suggerimenti chiave)

Esistono diversi metodi che puoi utilizzare per salvaguardare il tuo sito WordPress , come l'utilizzo di plug-in di sicurezza e la disattivazione di determinate funzionalità. Con il giusto piano di protezione, puoi migliorare la tua capacità di riprenderti da un attacco DDoS. In questa sezione, daremo un'occhiata a sei suggerimenti per prevenirne uno.

  1. Disabilita XMLR RPC e API REST in WordPress
  2. Installa un Web Application Firewall (WAF) sul tuo sito
  3. Scegli un provider di hosting sicuro
  4. Utilizzare una rete per la distribuzione di contenuti (CDN)
  5. Scarica un plug-in di protezione DDoS per WordPress
  6. Rendi la manutenzione e il monitoraggio di WordPress una priorità

1. Disabilita XML RPC e API REST in WordPress

Dal rilascio della versione 3.5 di WordPress, hai avuto la possibilità di abilitare XML-RPC per impostazione predefinita. Questa funzione è utile per pingback e trackback.

Tuttavia, non è una necessità per la maggior parte dei siti. È davvero necessario solo se ti affidi ad app mobili per la gestione del tuo sito WordPress.

XML-RPC è facile da compromettere, il che significa che espone vulnerabilità che gli hacker possono sfruttare durante gli attacchi DDoS. Pertanto, consigliamo di disabilitarlo.

Puoi farlo modificando il tuo file .htaccess . Aprilo tramite il file manager del tuo account di hosting o utilizzando File Transfer Protocol (FTP) e un client FTP come FileZilla. Quindi incolla il seguente frammento di codice:

 # Blocca le richieste xmlrpc.php di WordPress

ordine nega, consenti
negato da tutti

Allo stesso modo, è anche intelligente disabilitare l'API REST in WordPress. Questo è un altro canale che consente alle app di terze parti (e, a loro volta, ai criminali informatici) di accedere al tuo sito WordPress.

Il modo più semplice per disabilitare l'API WordPress sul tuo sito è utilizzare WP Hide & Security Enhancer.

WP Nascondi e potenzia la sicurezza

Questo plugin è gratuito e non è richiesta alcuna configurazione . Dopo averlo installato e attivato, puoi disabilitare l'API REST andando su WP Hide > API JSON :

Disabilitare l'API REST in WP Hide

Puoi anche utilizzare questo plugin per disabilitare la funzionalità XML-RPC . Questa opzione si trova nella scheda XML-RPC .

2. Installa un WAF sul tuo sito

Se usi WordPress da un po', è probabile che tu sappia cos'è un WAF. In parole povere, è un tipo di software di sicurezza che aggiunge un livello di protezione tra il tuo sito e il traffico dannoso. Può aiutare a prevenire gli attacchi DDoS limitando l'accesso degli utenti e filtrando i bot .

Sebbene esistano molti WAF diversi tra cui scegliere per proteggere il tuo sito WordPress , ti consigliamo di utilizzare Sucuri.

Sucuri, un plugin per la protezione DDoS di WordPress.

Il WAF e l'Intrusion Prevent System (IPS) di Sucuri aiutano a proteggere i siti da attacchi di forza bruta, malware e altro ancora. Può anche rilevare traffico dannoso e bloccare diversi tipi di attacchi DDoS .

Suruci offre una varietà di piani tra cui scegliere. Dispone inoltre di "Aiuto immediato" per i siti attualmente sotto attacco.

3. Scegli un provider di hosting sicuro

L’importanza di un hosting di qualità per il tuo sito WordPress non può essere sopravvalutata. Il tuo server influenza la velocità e le prestazioni del tuo sito. Tuttavia, svolge anche un ruolo fondamentale nella sicurezza e influisce sulla capacità di prevenire e recuperare da un attacco DDoS.

[bctt tweet=" La scelta del provider di hosting potrebbe renderti vulnerabile agli attacchi DDoS. #WordPress” nomeutente="thewpbuffs"]

Una delle maggiori preoccupazioni che spesso le persone hanno quando scelgono un host web è il costo. Tuttavia, quando si tratta di proteggere il tuo sito, investire in hosting di qualità ha un valore inestimabile. Ciò è particolarmente vero se si considera che la scelta di un piano economico può andare a scapito delle risorse aziendali critiche.

Considerando gli effetti dannosi che un attacco DDoS può avere sulle prestazioni e sul tempo di attività del tuo sito, è essenziale scegliere un provider di hosting e un piano attrezzato per rilevare e gestire un'ondata di traffico travolgente . Alcuni provider come Kinsta* e WP Engine* sono dotati di funzionalità integrate come firewall hardware e integrazione CDN.

Piani hosting di WP Engine

Si spera che tu stia già utilizzando un provider di hosting premium e affidabile . In caso contrario, ti consigliamo di passare a un provider di hosting WordPress completamente gestito che faccia della sicurezza una priorità. Ciò include la ricerca di piani che includano funzionalità come il servizio CDN gratuito, monitoraggio e supporto 24 ore su 24, 7 giorni su 7 e scansione di malware.

4. Utilizza una CDN

Una CDN fornisce server di rete aggiuntivi che aiutano a supportare il tuo sito WordPress gestendo la maggior parte del carico del server . Sebbene comunemente indicato in relazione all'ottimizzazione delle prestazioni, questo strumento può essere utile anche per la sicurezza.

Fondamentalmente, i CDN possono aiutare a prevenire gli attacchi DDoS rendendo molto più difficile sopraffare il tuo server. Possono anche aiutare a rilevare modelli di traffico insoliti e, in alcuni casi, agire come proxy inverso.

Esistono molti fornitori di servizi CDN diversi. Tuttavia, ti consigliamo di scegliere uno dei titani del mercato, come Cloudfare.

La home page del sito Web di Cloudfare.

Cloudfare adotta un approccio alla sicurezza a più livelli che può aiutare con la protezione e la mitigazione degli attacchi DDoS . Sebbene abbia una varietà di piani premium tra cui scegliere, puoi utilizzare il CDN globale gratuitamente. Un altro vantaggio è che puoi integrarlo facilmente con il tuo sito web tramite il plugin WordPress corrispondente.

5. Scarica un plug-in di protezione DDoS per WordPress

I plugin di sicurezza possono farti risparmiare molto tempo ed energia semplificando molte attività altrimenti ingombranti. Alcuni hanno anche funzionalità che possono essere essenziali per prevenire attacchi DDoS sul tuo sito WordPress.

Come accennato in precedenza, i WAF possono essere incredibilmente utili per salvaguardare il tuo sito. Installare un plugin di sicurezza fornito con uno integrato è un modo rapido per aggiungere protezione alla tua installazione di WordPress.

Inoltre, funzionalità come i limiti dei tentativi di accesso, il rilevamento di URL errati e indirizzi IP dannosi e il blocco dei bot aiutano a mitigare gli attacchi. Pertanto, ti consigliamo di scaricare un plug-in di protezione DDoS per WordPress come Wordfence.

Il plugin WordPress di Wordfence.

Wordfence può eseguire tutte le funzioni sopra menzionate e altro ancora. Questo plugin di sicurezza per WordPress include anche strumenti per monitorare il traffico e le visite in tempo reale, nonché i picchi di attività .

Puoi scaricare e utilizzare molte delle funzionalità del plugin gratuitamente. Tuttavia, offre anche una versione premium che sblocca l'accesso alla suite completa di funzionalità di sicurezza, incluso un feed di difesa dalle minacce in tempo reale.

6. Rendi la manutenzione e il monitoraggio di WordPress una priorità

Quando si tratta di gestire il proprio sito web, a volte la migliore forma di protezione è la prevenzione . Nei tuoi sforzi per ridurre al minimo le possibilità di un attacco DDoS sul tuo sito WordPress, è fondamentale dare priorità alla manutenzione e al monitoraggio regolari .

Effettuare una manutenzione regolare del tuo sito ti aiuterà a mantenerlo in ottime condizioni e, in definitiva, a ridurre il numero di vulnerabilità disponibili che gli intrusi possono sfruttare. Il monitoraggio di routine può aiutarti a individuare attività sospette prima che provochino danni significativi.

Sono molti i compiti coinvolti in una corretta manutenzione e monitoraggio, tra cui:

  • Aggiornamenti a WordPress, plugin e temi
  • Monitoraggio del tempo di attività
  • Backup automatizzati
  • Ottimizzazione della velocità
  • Scansione e rimozione malware

Mantenere il controllo di queste attività può essere un processo che richiede tempo, ma è necessario. Ti suggeriamo di renderlo molto più semplice iscrivendoti a un piano di assistenza WordPress, come quelli che offriamo su WP Buffs.

WP potenzia i piani di assistenza WordPress

La manutenzione professionale ti dà la tranquillità di sapere che il tuo sito è adeguatamente curato. Inoltre, liberi tempo nella tua agenda per concentrarti su altre questioni aziendali urgenti.

Avvolgendo

Considerando l’ampia gamma di minacce alla sicurezza oggi disponibili, mantenersi al passo con tutte può sembrare difficile. Tuttavia, con gli attacchi DDoS in aumento sia in frequenza che in gravità, è più importante che mai assicurarsi che il tuo sito WordPress sia adeguatamente protetto .

In questo post, abbiamo discusso sei suggerimenti che puoi utilizzare per fermare e prevenire un attacco DDoS sul tuo sito WordPress:

  1. Disabilita XMLR RPC e API REST in WordPress.
  2. Installa un WAF sul tuo sito.
  3. Scegli un provider di hosting sicuro.
  4. Utilizza una rete CDN.
  5. Scarica un plug-in di protezione DDoS per WordPress.
  6. Rendi la manutenzione e il monitoraggio di WordPress una priorità.

Se vuoi rendere la cura e la manutenzione del sito WordPress una priorità ma non sei sicuro di avere tempo per farlo, considera di esternalizzare il lavoro a noi di WP Buffs . I nostri piani completi di assistenza del sito possono aiutarti in qualsiasi cosa, dall'installazione dei plugin appropriati all'esecuzione di controlli approfonditi sulla sicurezza del sito .

Vuoi dare il tuo feedback o partecipare alla conversazione? Aggiungi i tuoi commenti su Twitter.

Credito immagine: Scott Weber.