攻撃を防ぐための 6 ステップの WordPress DDoS 保護計画
公開: 2020-02-20ムスタフィズ / Stock.adobe.com
通常、Web トラフィックの増加はブランドにとって望ましい結果です。 ただし、サイトが突然何千もの同時リクエストによって殺到し、サイトがクラッシュすることは予想できないかもしれません。 残念ながら、これはまさにWordPress サイトに対する分散型サービス拒否攻撃 (「DDoS」) 攻撃中に発生することです。
幸いなことに、ほとんどのサイバーセキュリティの脅威と同様、WordPress サイトに対する DDoS 攻撃の可能性を最小限に抑えるために実行できる手順があります。 保護計画を導入すると、インターネット犯罪者がオンライン ビジネスに損害を与えることを阻止し、防ぐことができます。
この記事では、DDoS 攻撃とは何か、そしてその仕組みについて説明します。 次に、サイトへの攻撃を防ぐために使用できる6 段階の WordPress DDoS 保護計画を提供します。 始めましょう!
記事上で
- DDoS 攻撃とは何ですか?
- WordPress DDoS 保護計画を作成することの重要性
- WordPress サイトへの DDoS 攻撃を防ぐ方法 (6 つの重要なヒント)
- まとめ
DDoS 攻撃とは何ですか?
DDoS 攻撃とは、通常はボットの使用を通じて、短期間にサイトに偽のリクエストが殺到するセキュリティ問題を指します。 ヒットは複数のソースから発生しており、その目的は、ターゲット Web サイトを圧倒してクラッシュさせることです。
何千ものリクエストが瞬時に実行される可能性があります。 Imperva に対する 2019 年の DDoS 攻撃を考えてみましょう。この攻撃により、Imperva のネットワークは5 億 8,000 万パケット/秒 (PPS)の被害を受けました。
この予期せぬ突然の偽のトラフィック渋滞によりサイトが麻痺し、サイトが利用できなくなり脆弱になります。 これらの攻撃は、個々の Web サイトまたはネットワーク全体を標的とする可能性があります。
最も一般的な種類の DDoS 攻撃は、次の 3 つのカテゴリに分類されます。
- ボリュームベース:大規模なトラフィックスパイクの複製に依存します。
- プロトコル:サーバー リソースを悪用して、ターゲット サイトまたはネットワークをクラッシュさせます。
- アプリケーション: Web アプリケーションをターゲットとする、より高度な攻撃。
この種の攻撃を実行するにはさまざまな方法と動機があります。 ハッカーは DDoS 攻撃を実行して、WordPress Web サイトの脆弱性を高める可能性があります。 これは、気づかれずにサイトに侵入することを容易にする効果的な気晴らしとなる可能性があります。
ただし、ほとんどの場合、主な目的はターゲット サイトを破壊することです。 たとえば、誰かが競合他社に対して DDoS 攻撃を実行する可能性があります。 これは悪意のある極端な措置ですが、特にダウンタイムがビジネスに与える悪影響を考慮すると、前例のないことではありません。
WordPress DDoS 保護計画を作成することの重要性
DDoS 攻撃の影響は、ビジネスに壊滅的な影響を及ぼす可能性があります。 その後に起こる損害の多くは、長期にわたる予期せぬダウンタイムの結果です。
サイトが長期間利用できなくなると、ある程度のビジネスが失われる可能性が非常に高くなります。 顧客はサイトにアクセスできなくなり、 502 不正なゲートウェイ エラーが表示される場合があります。 これは、e コマースでの販売やその他の見込み客のコンバージョンを逃していることを意味します。
長期にわたる利用不能は、検索エンジン最適化 (SEO) ランキングに悪影響を与える可能性もあります。 可視性が低下すると、サイトの信頼性を再構築しながらリードを獲得するためにさらに努力する必要があります。
さらに、DDoS 攻撃はホスティングの問題を引き起こす可能性があります。 この種のセキュリティ侵害は自分のサイトだけでなく、サーバー上の他のサイトにも影響を与える可能性があるため、これは特に共有プランを使用している場合に当てはまります。
また、前に述べたように、DDoS インシデントにより、他の種類の攻撃に対するサイトの脆弱性が高まる可能性があります。 サイトをオンラインに戻すことに気を取られていると、セキュリティ システムから注意が逸れてしまいます。 これにより、ハッカーが気付かないうちに侵入しやすくなる可能性があります。
攻撃から回復するには、多大な費用と時間が必要になる場合があります。 WordPress サイトに対する誰かによる DDoS 攻撃を必ずしも防ぐことはできませんが、被害に遭った場合に発生する被害を最小限に抑えるための措置を講じることはできます。
[bctt tweet=” 強力な WordPress DDoS 保護計画を確立すると、重要なビジネス資産を保護できます。 #WordPress” ユーザー名=”thewpbuffs”]WordPress サイトへの DDoS 攻撃を防ぐ方法 (6 つの重要なヒント)
セキュリティ プラグインの使用や特定の機能の無効化など、 WordPress サイトを保護するために使用できるさまざまな方法があります。 適切な保護計画を使用すると、DDoS 攻撃から跳ね返す能力を向上させることができます。 このセクションでは、それを防ぐための6 つのヒントを見ていきます。
- WordPress で XMLR RPC と REST API を無効にする
- サイトに Web アプリケーション ファイアウォール (WAF) をインストールする
- 安全なホスティングプロバイダーを選択する
- コンテンツ配信ネットワーク (CDN) を使用する
- WordPress DDoS 保護プラグインをダウンロードする
- WordPress のメンテナンスと監視を優先する
1. WordPress で XML RPC と REST API を無効にする
WordPress バージョン 3.5 のリリース以来、 XML-RPC をデフォルトで有効にするオプションがありました。 この機能はピンバックやトラックバックに役立ちます。
ただし、ほとんどのサイトでは必須ではありません。 実際に必要になるのは、WordPress サイトの管理にモバイル アプリを使用している場合のみです。
XML-RPC は侵害されやすいため、ハッカーが DDoS 攻撃中に悪用できる脆弱性が露出します。 したがって、無効にすることをお勧めします。
これを行うには、 .htaccessファイルを編集します。 ホスティング アカウントのファイル マネージャーを使用するか、ファイル転送プロトコル (FTP) と FileZilla などの FTP クライアントを使用して開きます。 次に、次のコード スニペットを貼り付けます。
# WordPress xmlrpc.php リクエストをブロックする 注文を拒否、許可する 全員から否定する
同様に、WordPress でREST API を無効にすることも賢明です。 これは、サードパーティのアプリ (ひいてはサイバー犯罪者) に WordPress サイトへのアクセスを与えるもう 1 つのチャネルです。
サイトで WordPress API を無効にする最も簡単な方法は、WP Hide & Security Enhancer を使用することです。
このプラグインは無料で使用でき、設定は必要ありません。 インストールしてアクティブ化した後、 [WP Hide] > [JSON API]に移動して REST API を無効にできます。
このプラグインを使用してXML-RPC 機能を無効にすることもできます。 このオプションは[XML-RPC]タブにあります。
2. サイトに WAF をインストールする
WordPress をしばらく使用している場合は、おそらく WAF が何であるかをご存知でしょう。 簡単に言うと、サイトと悪意のあるトラフィックの間に保護層を追加するセキュリティ ソフトウェアの一種です。 ユーザーのアクセスを制限し、ボットをフィルターで除外することにより、DDoS 攻撃を防止できます。
WordPress サイトを保護するために選択できる WAF は数多くありますが、Sucuri を使用することをお勧めします。
Sucuri の WAF および侵入防止システム (IPS) は、ブルート フォース攻撃やマルウェアなどからサイトを保護するのに役立ちます。 また、悪意のあるトラフィックを検出し、複数の種類の DDoS 攻撃をブロックすることもできます。
Suruciではさまざまなプランをご用意しております。 また、現在攻撃を受けているサイトに対する「即時ヘルプ」も備えている。
3. 安全なホスティングプロバイダーを選択する
WordPress サイトの高品質ホスティングの重要性は、どれだけ強調してもしすぎることはありません。 サーバーはサイトの速度とパフォーマンスに影響を与えます。 ただし、これはセキュリティにおいて重要な役割も果たしており、DDoS 攻撃を防止し、そこから回復する能力に影響を与えます。
[bctt tweet=” ホスティングプロバイダーの選択によっては、DDoS 攻撃に対して脆弱になる可能性があります。 #WordPress” ユーザー名=”thewpbuffs”]
Web ホストを選択するときに人々がよく抱く大きな懸念の 1 つはコストです。 ただし、サイトを保護することになると、高品質のホスティングへの投資は非常に貴重です。 安価なプランを選択すると、重要なビジネス資産が犠牲になる可能性があることを考慮すると、これは特に当てはまります。
DDoS 攻撃がサイトのパフォーマンスと稼働時間に及ぼす悪影響を考慮すると、ホスティング プロバイダーを選択し、圧倒的なトラフィックの洪水を検出して処理するための設備を備えた計画を立てることが不可欠です。 Kinsta* や WP Engine* などの一部のプロバイダーには、ハードウェア ファイアウォールや CDN 統合などの機能が組み込まれています。
うまくいけば、あなたはすでにプレミアムで信頼できるホスティングプロバイダーを使用していることでしょう。 そうでない場合は、セキュリティを優先するフルマネージドの WordPress ホスティングプロバイダーに切り替えることをお勧めします。 これには、無料の CDN サービス、年中無休の監視とサポート、マルウェア スキャンなどの機能が含まれるプランを探すことが含まれます。
4. CDN を使用する
CDN は、大量のサーバー負荷を処理することで WordPress サイトのサポートに役立つ追加のネットワーク サーバーを提供します。 このツールはパフォーマンスの最適化に関連してよく参照されますが、セキュリティにも役立ちます。
基本的に、 CDN はサーバーに負荷をかけるのをより困難にすることで、DDoS 攻撃を防ぐのに役立ちます。 また、異常なトラフィック パターンの検出にも役立ち、場合によってはリバース プロキシとして機能します。
世の中にはさまざまな CDN サービス プロバイダーが存在します。 ただし、Cloudfare などの市場大手のいずれかを使用することをお勧めします。
Cloudfare は、 DDoS の保護と緩和に役立つ多層セキュリティ アプローチを採用しています。 さまざまなプレミアム プランから選択できますが、Global CDN は無料で使用できます。 もう 1 つの利点は、対応する WordPress プラグインを介してWeb サイトに簡単に統合できることです。
5.WordPress DDoS保護プラグインをダウンロードする
セキュリティ プラグインを使用すると、面倒な多くのタスクが合理化され、時間とエネルギーを大幅に節約できます。 WordPress サイトへのDDoS 攻撃を防ぐために不可欠な機能を備えたものもあります。
上で述べたように、WAF はサイトを保護するのに非常に役立ちます。 セキュリティ プラグインが組み込まれているものをインストールすると、WordPress インストールに保護を追加する簡単な方法です。
さらに、ログイン試行の制限、不正な URL と悪意のある IP アドレスの検出、ボットのブロックなどの機能はすべて、攻撃の軽減に役立ちます。 したがって、Wordfence などの WordPress DDoS 保護プラグインをダウンロードすることをお勧めします。
Wordfence は、上記のすべての機能とそれ以外の機能を実行できます。 この WordPress セキュリティ プラグインには、ライブ トラフィックや訪問数、アクティビティの急増を監視するツールも含まれています。
プラグイン機能の多くは無料でダウンロードして使用できます。 ただし、リアルタイムの脅威防御フィードを含むセキュリティ機能の完全なスイートへのアクセスをロック解除するプレミアム バージョンも提供しています。
6. WordPress のメンテナンスと監視を優先する
Web サイトの管理に関しては、場合によっては予防が最善の保護方法となります。 WordPress サイトに対する DDoS 攻撃の可能性を最小限に抑えるためには、定期的なメンテナンスと監視を優先することが重要です。
サイトを定期的にメンテナンスすると、サイトを最高の状態に保つことができ、最終的には侵入者が悪用できる脆弱性の数を減らすことができます。 定期的に監視すると、重大な損害が発生する前に疑わしいアクティビティを発見できます。
適切なメンテナンスと監視には、次のような多くのタスクが関係します。
- WordPress、プラグイン、テーマの更新
- 稼働時間の監視
- 自動バックアップ
- 速度の最適化
- マルウェアのスキャンと削除
これらのタスクを常に把握し続けるのは時間のかかるプロセスですが、必要なプロセスです。 WP Buffs で提供しているような WordPress Care Plan にサインアップすることで、作業が大幅に簡単になることをお勧めします。
専門的なメンテナンスにより、サイトが適切に管理されていることを確認して安心できます。 さらに、自分のスケジュールの時間を確保して、他の差し迫ったビジネス問題に集中することができます。
まとめ
現在、さまざまなセキュリティ脅威が存在していることを考えると、それらすべてを常に把握しておくのは困難に感じるかもしれません。 ただし、DDoS 攻撃の頻度と重大度の両方が増加しているため、 WordPress サイトが適切に保護されていることを確認することがこれまで以上に重要になっています。
この投稿では、WordPress サイトに対するDDoS 攻撃を阻止および防止するために使用できる 6 つのヒントについて説明しました。
- WordPress で XMLR RPC と REST API を無効にします。
- サイトに WAF をインストールします。
- 安全なホスティングプロバイダーを選択してください。
- CDN を使用します。
- WordPress DDoS 保護プラグインをダウンロードします。
- WordPress のメンテナンスと監視を優先します。
WordPress サイトのケアとメンテナンスを最優先にしたいが、時間があるかどうかわからない場合は、 WP Buffs に作業をアウトソーシングすることを検討してください。 当社の包括的なサイト ケア プランは、適切なプラグインのインストールから徹底的なサイト セキュリティ チェックの実施まで、あらゆる作業に役立ちます。
フィードバックを送信したり、会話に参加したりしませんか? Twitter にコメントを追加してください。
画像クレジット: スコット・ウェーバー。