WordPress atak DDoS – jak chronić swoją stronę internetową

Rozpowszechnienie ataków WordPress DDoS spowodowało znaczną utratę dochodów wielu małych firm, których generowanie przychodów zależy od ruchu internetowego.

Ataki DDoS stanowią poważne zagrożenie dla stron internetowych niezależnie od ich wielkości. Dlatego konieczne jest wdrożenie wszystkich odpowiednich środków bezpieczeństwa w celu ochrony Twojej witryny.

W tym poście przyjrzymy się, w jaki sposób ataki DDoS WordPress mogą zaszkodzić Twojej witrynie . Następnie podamy praktyczne wskazówki, jak im zapobiegać.

Zawartość:

• Co to jest atak DDoS?
• Jak ataki DDoS mogą wpłynąć na strony internetowe WordPress
• Wskazówki dotyczące ochrony witryny WordPress przed atakami DDoS
  • 1. Włącz uwierzytelnianie dwuskładnikowe (2FA)
  • 2. Użyj zapory sieciowej aplikacji (WAF)
  • 3. Użyj CDN Cloudflare
  • 4. Wyłącz API REST w WordPressie
  • 5. Dbaj o aktualność oprogramowania i wtyczek WordPress
  • 6. Monitoruj ruch w witrynie
• Często Zadawane Pytania
• Wniosek

Co to jest atak DDoS?

Atak typu Distributed Denial of Service (DDoS) to rodzaj cyberataku, który ma na celu przepełnienie witryny lub serwera złośliwym ruchem w celu zakłócenia jego normalnego działania. Ataki te mogą wystąpić na dowolnej stronie internetowej, w tym na stronach opartych na WordPressie.

Jak ataki DDoS mogą wpłynąć na strony internetowe WordPress

Konsekwencje ataku DDoS na witryny WordPress są znaczące, szczególnie w przypadku witryn małych firm. Wynika to z faktu, że może im brakować infrastruktury do odpierania takich ataków. Jeśli atak DDoS pomyślnie wyceluje w witrynę internetową, może ona stać się niedostępna dla użytkowników, co spowoduje przestoje w witrynie.

W 2016 roku Internet został dotknięty jednym z najbardziej znaczących ataków typu „odmowa usługi”. Celem ataku był DYN, dostawca usług DNS. Wpłynęło to na wiele popularnych witryn, takich jak Netflix, Reddit, PayPal, Visa i inne. W rezultacie dotknęło to wielu użytkowników Internetu w Europie i Ameryce Północnej.

Ataki DDoS mają wiele skutków dla właścicieli witryn i użytkowników Internetu. Niektóre ze szkód, jakie ataki DDoS mogą spowodować w Twojej witrynie, są następujące.

Przestój witryny

Jedną z najbardziej znaczących konsekwencji ataku DDoS jest to, że witryna internetowa, na którą atakuje, może stać się niedostępna dla użytkowników. Może to być frustrujące dla użytkowników, którzy mogą potrzebować pomocy w dostępie do witryny lub korzystaniu z jej usług.

Utracony ruch i przychody

Jeśli witryna WordPress jest niedostępna z powodu ataku DDoS, może to spowodować utratę ruchu i przychodów. Na przykład podczas ataku DYN w październiku 2016 r. firma Sony zgłosiła łączną stratę w wysokości 2,7 mln USD. To dużo, biorąc pod uwagę, że atak trwał zaledwie dwie godziny.

Uszczerbek na reputacji

Dodatkowo użytkownicy mogą stracić zaufanie do Twojej marki, jeśli Twoja witryna padnie ofiarą ataku DDoS. Może to wpłynąć na reputację Twojej witryny, ponieważ wyszukiwarki mogą również umieszczać ją na czarnej liście.

Koszt łagodzenia

Obrona przed atakiem DDoS może być kosztowna, ponieważ wymaga specjalistycznych zasobów i wiedzy technicznej.

Utrata danych

Badanie przeprowadzone przez firmę Kaspersky w 2015 roku wykazało, że 26% witryn internetowych, które padły ofiarą ataków DDoS, również utraciło dane. Ataki DDoS często służą jako przykrywka dla innych cyberataków, takich jak ataki brute force.

Wskazówki dotyczące ochrony witryny WordPress przed atakami DDoS

Ataki DDoS stały się poważnym zagrożeniem dla właścicieli witryn. Nawet najlepiej finansowane strony internetowe nie są odporne na takie ataki. Z technicznego punktu widzenia żadna strona internetowa nie jest odporna na ataki DDoS. Możesz jednak wdrożyć środki zapobiegające atakom DDoS.

Oto kilka wskazówek dotyczących ochrony WordPress przed atakami DDoS, które możesz wdrożyć, aby zabezpieczyć swoją witrynę.

1. Włącz uwierzytelnianie dwuskładnikowe (2FA)

Uwierzytelnianie dwuskładnikowe (2FA) to środek bezpieczeństwa, który wymaga od użytkowników zapewnienia dodatkowej warstwy uwierzytelnienia przed uzyskaniem dostępu do wrażliwych stron, takich jak strona administracyjna WP.

Może to pomóc w ochronie przed nieautoryzowanym dostępem do witryny, atakami siłowymi i atakami DDoS.

Na przykład możesz wymagać od użytkowników podania jednorazowego kodu wysłanego na ich telefon lub e-mail przed zalogowaniem się do Twojej witryny.

Możesz skonfigurować uwierzytelnianie dwuskładnikowe (2FA) w WordPress za pomocą wtyczki MiniOrange Google Authenticator.

Aby zainstalować MiniOrange Authenticator, zaloguj się do pulpitu nawigacyjnego WordPress i przejdź doWtyczki >> Dodaj nowy .W polu wyszukiwania wpisz „MiniOrange Google Authenticator”. Wtyczka powinna pojawić się w wynikach wyszukiwania, jak pokazano poniżej.

Następnie kliknij przyciskZainstaluj teraz obok nazwy wtyczki, aby zainstalować wtyczkę na swojej stronie internetowej.Po zainstalowaniu wtyczki przycisk zmieni się na „Aktywuj”. Kliknij go, aby aktywować wtyczkę.

Konfigurowanie MiniOrange Google Authenticator

Po aktywacji wtyczki musisz połączyć ją z aplikacją Google Authenticator na urządzeniu mobilnym. Jest to wymagane do ukończenia aktywacji 2FA w Twojej witrynie.

Aby rozpocząć, kliknijZaczynamy .

Następnie wybierz opcjęUżytkownicy, którzy powinni skonfigurować 2FA jako pierwsi po zalogowaniu .W ten sposób wszyscy użytkownicy będą zmuszeni skonfigurować 2FA przed zalogowaniem. KliknijKontynuuj konfigurację , aby kontynuować.

Możesz aktywować 2FA dla wszystkich użytkowników lub tylko niektórych określonych ról (np. admin i redaktorzy). Jest to przydatne, jeśli chcesz wykluczyć użytkowników, takich jak autorzy. W tym samouczku aktywujemy 2FA tylko dla administratorów.

Wybierz opcjęTylko dla określonych ról , a następnie zaznacz pole wyboru Administrator. Następnie kliknijKontynuuj konfigurację , aby kontynuować.

Następnie wybierz, czy wdrożyć 2FA od razu, czy dać użytkownikom okres karencji. KliknijWszystko gotowe, aby kontynuować.

Teraz musisz wybrać metodę uwierzytelniania, którą chcesz skonfigurować. Wybierz opcjęGoogle / Microsoft / Authy Authenticator i kliknij przycisk Zapisz i kontynuuj.

Następnie wybierzKonfiguruj 2FA dla siebie , aby przejść do kolejnego kroku procesu konfiguracji.

Łączenie MiniOrnage z Google Mobile Authenticator

Google Authenticator jest preferowaną aplikacją uwierzytelniającą dla tego procesu. Dzieje się tak dlatego, że jest najpopularniejszy i dostępny na urządzeniach z Androidem i iOS.

Pierwszym krokiem będzie pobranie aplikacji Google Authentication ze Sklepu Play lub sklepu Apple.

Po zainstalowaniu aplikacji powinieneś zobaczyć stronę menu z dwiema opcjami:Zeskanuj kod QR i Wprowadź klucz konfiguracji.

Wybierz opcję kodu QR i zeskanuj kod kreskowy QR wyświetlany na Twojej stronie internetowej, jak ten poniżej.

Po zakończeniu skanowania wpisz w wyznaczonym polu sześciocyfrowy kod wygenerowany z aplikacji uwierzytelniającej.

Potwierdź wprowadzone dane, wybierając opcjęZapisz i kontynuuj .

Otóż ​​to! Pomyślnie włączyłeś 2FA w swojej witrynie za pomocą MiniOrange Google 2FA.

Nie możesz zeskanować kodu QR w MiniOrange?

Jeśli nie możesz zeskanować dostarczonego kodu QR , wykonaj następujące czynności:

Najpierw kliknij Nie możesz zeskanować kodu kreskowego?Spowoduje to wygenerowanie klucza do skonfigurowania 2FA w aplikacji uwierzytelniającej Google.

Otwórz aplikację Google Authenticator na swoim telefonie i wybierz opcjęWprowadź klucz konfiguracji .Następnie wklej 16-znakowy klucz wygenerowany przez MiniOrange 2FA.

Wprowadź nazwę aplikacji i typ konta, a następnie kliknij dodaj. Następnie wygeneruje 6-cyfrowy kod, którego możesz użyć do zakończenia procesu w WordPress. Po zakończeniu kliknijZapisz i kontynuuj, aby kontynuować.

Następnie zobaczysz komunikat pokazujący stan konfiguracji.

Aby to przetestować, wyloguj się ze swojej witryny WordPress i spróbuj się zalogować. Na stronie logowania musisz wprowadzić 6-cyfrowe hasło jednorazowe wygenerowane z aplikacji Uwierzytelnianie na telefonie za każdym razem, gdy próbujesz się zalogować .

2. Użyj zapory sieciowej aplikacji (WAF)

Zapora aplikacji sieci Web (WAF) to środek bezpieczeństwa, który może chronić witrynę internetową przed różnymi zagrożeniami, w tym atakami DDoS.

WAF analizują ruch przychodzący i blokują złośliwe żądania, zanim dotrą one do serwerów witryny. Może to pomóc w zapobieganiu atakom WordPress DDoS przed przeciążeniem infrastruktury witryny i spowodowaniem jej awarii.

Najłatwiejszym sposobem dodania WAF do swojej witryny jest użycie wtyczki zapory sieciowej. Na szczęście niektóre wtyczki zabezpieczające WordPress i anty-DDoS, takie jak Wordfence Security, są wyposażone w zaporę ogniową.

Poniżej zainstalujemy i aktywujemy Wordfence na stronie WordPress.

Instalacja i aktywacja Wordfence

Aby zainstalować Wordfence, zaloguj się do pulpitu administratora WordPress, a następnie przejdź do Wtyczki >> Dodaj nowy. Znajdź pasek wyszukiwania w prawym górnym rogu i wpisz „Wordfence”, aby wyszukać wtyczkę.

Kliknij przyciskZainstaluj teraz obok wtyczki Wordfence Security, aby zainstalować ją na swojej stronie.Aktywuj wtyczkę po zakończeniu instalacji.

Po aktywacji WordFence będziesz musiał zdobyć klucz licencyjny, aby działał. Kliknij przyciskUzyskaj licencję WordFence na następnej stronie, aby rozpocząć kontynuację.

Następnie wybierz bezpłatny plan, aby przetestować funkcje i kliknij„Mogę czekać 30 dni ”, aby kontynuować.

Możesz przejść na płatny plan później, jeśli masz budżet. Jednak bezpłatny plan zapewnia wszystkie niezbędne funkcje potrzebne do ochrony witryny.

Następnie wprowadź swój adres e-mail, zaakceptuj regulamin i kliknij Zarejestruj się .

Powinieneś otrzymać e-mail aktywacyjny od Wordfence. Otwórz wiadomość e-mail i kliknij link aktywacyjny.

Następnie przekieruje Cię do pulpitu nawigacyjnego WordPress. Tutaj musisz kliknąć przyciskZainstaluj licencję , aby aktywować swoją witrynę.Dzięki temu Wordfence aktywnie działa w Twojej witrynie.

Aby sprawdzić, czy WAF jest włączony i działa, zlokalizujWordfence na pulpicie nawigacyjnym WordPress i kliknij łącze Zarządzaj zaporą ogniową.

Na następnym ekranie powinieneś zobaczyć sekcję wyświetlającą status WAF. Jeśli status WAF jest aktywny i wyświetlane są wartości procentowe, potwierdza to, że WAF jest włączony i działa.

Zainstalowanie wtyczki Wordfence na Twojej stronie internetowej przyniesie Ci następujące korzyści:

• Zapobieganie iniekcji SQL
• Ograniczenie brutalnego ataku
• Ochrona przed skryptami między witrynami

3. Użyj CDN Cloudflare

Cloudflare to popularny dostawca CDN, który poprawia wydajność Twojej witryny i chroni Cię przed cyberatakami, takimi jak ataki DDoS.

Cloudflare może rozgrzeszać ataki DDoS na dużą skalę i filtrować źródła ruchu w celu wykrycia, czy określone żądania pochodzą od atakującego.

Poniżej przeprowadzimy Cię przez kroki niezbędne do aktywacji usług Cloudfare w Twojej witrynie.

Uzyskanie konta Cloudflare

Jako warunek wstępny upewnij się, że masz dostęp do pulpitu administracyjnego rejestratora domen. Będziesz tego potrzebować, aby umożliwić Cloudflare dostęp do ustawień DNS.

Pierwszym krokiem jest utworzenie konta Cloudflare. Aby to zrobić, odwiedź stronę rejestracji Cloudflare. Następnie wprowadź swój adres e-mail, wybierz hasło i kliknijUtwórz konto .

Dodanie Twojej witryny do Cloudflare

Twoje konto Cloudflare jest gotowe. Musisz jednak dokończyć konfigurację, dodając swoją witrynę. Po zalogowaniu się na swoje konto kliknij przyciskDodaj witrynę , aby dodać swoją witrynę.

Wprowadź nazwę swojej domeny (np. example.com) i kliknijDodaj witrynę , aby kontynuować.

Następnie wybierz odpowiedni plan Cloudflare. To zależy od funkcji, które chcesz. Jednak darmowy plan wystarczy, aby zapewnić Ci podstawową ochronę, której potrzebujesz. Wybierz bezpłatny plan i kliknijKontynuuj , aby kontynuować.

Na następnej stronie zobaczysz listę istniejących rekordów. Możesz je przejrzeć, aby upewnić się, że są poprawne.

Uwaga : na tym etapie nie zaleca się wprowadzania zmian w rekordach DNS.

Jeśli przejrzałeś rekordy i jesteś zadowolony, kliknij Kontynuuj , aby kontynuować.

Kolejnym etapem jest skierowanie serwerów nazw domen na Cloudflare. Jest to ważne, aby zakończyć proces aktywacji i umożliwić Cloudflare ochronę Twojej witryny.

Będziesz musiał wymienić istniejące serwery nazw w swoim rejestratorze domen.

Następnie skopiuj nowe serwery nazw dostarczone przez Cloudflare, aby zastąpić te, które usunąłeś na swoim hoście domeny.

Kroki zmiany serwerów nazw różnią się w zależności od firmy hostingowej. Jeśli nie masz pewności, jak zlokalizować ustawienia serwerów nazw, skontaktuj się ze swoim dostawcą usług hostingowych. Jednak pokażemy Ci, jak to zrobić w Namecheap.

Aktualizowanie serwerów nazw Namecheap

Najpierw zaloguj się na swoje konto i kliknijLista domen .

Na stronie domeny znajdź domenę, którą chcesz edytować, i kliknijZarządzaj .

Następnie kliknij listę rozwijanąSerwery nazw i wybierz Niestandardowy DNS.

W polach wejściowych wprowadź dwa serwery nazw dostarczone przez Cloudflare i kliknij znacznik wyboru, aby zapisać zmiany.

Możesz teraz wrócić do Cloudflare, aby zweryfikować zmiany serwera nazw, klikającGotowe, sprawdź serwery nazw .

Uwaga dodatkowa: propagacja zmiany serwerów nazw może potrwać do 48 godzin.

Ochrona DDoS Cloudflare

Cloudflare automatycznie włączy ochronę przed atakami DDoS w Twojej witrynie po dodaniu Twojej witryny do Cloudflare.

Mimo to wskazane jest wdrożenie dodatkowych środków w celu ochrony witryny. W zależności od ryzyka, na jakie narażona jest Twoja witryna, możesz wprowadzić dodatkowe ustawienia, aby jeszcze bardziej chronić swoją witrynę.

Pokażemy Ci dwa podstawowe ustawienia, które należy wdrożyć, aby chronić swoją witrynę przed atakami DDoS.

Utwórz niestandardowe zastąpienie DDos

Możesz dostosować zachowanie domyślnej ochrony DDoS Cloudflare, wdrażając niestandardowe zastąpienie DDoS.

Aby skorzystać z tej opcji, zaloguj się do swojego konta Cloudflare. Następnie wybierz swoją witrynę, aby przenieść się do jej strefy.

Następnie przejdź doZabezpieczenia >> DDoS w menu po lewej stronie.Kliknij opcję Wdróżzastąpienie DDoS, aby kontynuować.

Na następnej stronie dodaj nazwę zastąpienia. Następnie zmień akcję zestawu reguł naZarządzane wyzwanie i ustaw czułość na NiskąlubŚredniąw zależności od ryzyka, na jakie napotykasz. Następnie przewiń w dół i kliknijZapisz .

Wdrożenie tej strategii pomoże odfiltrować szkodliwy ruch ze źródła DDoS. Wykorzystuje zestawy zarządzanych wyzwań prezentowanych użytkownikom przez Cloudflare.

Aktywuj tryb walki botów

Innym podejściem, które możesz zastosować, aby chronić swoją witrynę przed atakami DDoS, jest aktywacja trybu walki z botami. Tryb walki z botami pomaga wykrywać i blokować znany ruch botów przed dostępem do Twojej witryny.

Aby aktywować tryb walki botów, przejdź doZabezpieczenia >> Boty i przełącz opcję trybu walki botów na pozycję włączoną.

Cloudflare zapewnia wszystkie narzędzia potrzebne do ochrony witryny przed atakami DDoS. Powyższe wskazówki powinny ochronić Twoją witrynę przed większością ataków DDoS, jeśli zastosujesz się do nich poprawnie.

4. Wyłącz API REST w WordPressie

WordPress REST API to funkcja WordPress, która umożliwia programistom dostęp do danych WordPress i manipulowanie nimi za pomocą żądań HTTP. Czasami REST API może służyć jako wektor ataków DDoS.

Możesz wyłączyć WP REST API przy użyciu kilku metod w WordPress. Jednak najłatwiejszą metodą jest użycie fragmentów kodu z wtyczki WPCode.

Musisz zainstalować i aktywować wtyczkę na swojej stronie WordPress.

Po aktywacji wtyczki przejdź doCode Snippets >> + Add Snippet.

Na następnej stronie wpisz „rest api” w polu wyszukiwania. Disable Rest API powinno teraz pojawiać się w wynikach wyszukiwania.

Następnie kliknijUżyj fragmentu, aby przejść do następnego kroku.

Na koniec przełącz przycisk „nieaktywny” na „aktywny”, aby aktywować kod. Po zakończeniu kliknijAktualizuj , aby zapisać zmiany.

REST API jest teraz wyłączony w Twojej witrynie. Ponieważ interfejsy API są wrażliwymi punktami w witrynie WordPress, które atakujący mogą wykorzystać, wyłączenie interfejsu API REST chroni przed atakami DDoS wykorzystującymi te słabe punkty interfejsu API.

5. Dbaj o aktualność oprogramowania i wtyczek WordPress

Aktualizacja motywów i wtyczek WordPress to kolejny sposób na ochronę witryny przed atakami DDoS i zwiększenie bezpieczeństwa witryny. Aktualizacje oprogramowania i wtyczek pomagają zapewnić, że witryna korzysta z najbezpieczniejszej wersji oprogramowania.

W WordPressie większość aktualizacji zazwyczaj zawiera poprawki luk w zabezpieczeniach, które atakujący DDoS mogą wykorzystać.

Aby zaktualizować wtyczki WordPress, zaloguj się do swojego WordPressa i przejdź doPulpit nawigacyjny >> Aktualizacje.

Na stronie aktualizacji zobaczysz wszystkie wtyczki, które wymagają aktualizacji w Twojej witrynie. Zaznacz pole wyboru Zaznacz wszystko , aby zaznaczyć wszystkie wtyczki.Następnie przewiń w dół i kliknijAktualizuj wtyczki .

Sprawdź także i zaktualizuj swoje motywy WordPress.

Upewnij się, że korzystasz z najnowszej wersji WordPress.

6. Monitoruj ruch w witrynie i uważaj na nietypowe skoki

Jako właściciel witryny powinieneś natychmiast podjąć działania zapobiegające atakom i przywrócić normalne działanie, jeśli podejrzewasz atak.

Może to obejmować zwrócenie się o pomoc do eksperta ds. bezpieczeństwa lub wdrożenie dodatkowych środków bezpieczeństwa. Na przykład możesz użyć wtyczek zabezpieczających, takich jak Wordfence, aby monitorować ruch pod kątem nietypowej aktywności.

Jeśli zastosowałeś drugą wskazówkę w tym samouczku, powinieneś mieć zainstalowaną wtyczkę Wordfence Security na swojej stronie internetowej.

Aby uzyskać dostęp do funkcji zarządzania ruchem, kliknij menu boczneWordfence .Następnie kliknijZarządzaj zaporą ogniową , aby kontynuować.

Następnie przewiń w dół do przycisku, aby zlokalizować sekcję „Ograniczenie szybkości”.

Następnie włącz zaawansowaną funkcję blokowania Ograniczenie szybkości, aby ją aktywować.

Na stronie konfiguracji ograniczenia szybkości możesz włączyć różne metody kontroli ruchu, aby zabezpieczyć witrynę WordPress przed niepożądanym ruchem i zmniejszyć obciążenie zasobów serwera.

Na przykład możesz ustalić limit żądań, regulując liczbę żądań, które może wykonać dany użytkownik.

Funkcja ograniczania szybkości Wordfence pozwala kontrolować roboty indeksujące i odsłony stron ludzkich. Możesz go również użyć do ograniczenia nietypowych skoków ruchu w witrynach WordPress. Chociaż Wordfence można dodatkowo dostosować w celu zwiększenia bezpieczeństwa WordPress , należy unikać blokowania legalnego ruchu.

WordPress Atak DDoS (FAQ)

Poniżej odpowiedzieliśmy na niektóre z najczęściej zadawanych przez użytkowników pytań dotyczących ochrony ich witryny WordPress przed atakami DDoS.

Czy WordPress ma ochronę przed atakami DDoS?

WordPress nie ma domyślnie ochrony przed atakami DDoS. Możesz jednak wdrożyć pewne środki, aby chronić swoją witrynę WordPress przed atakami DDoS. Mogą to być: korzystanie z usług stron trzecich, takich jak Cloudflare, lub instalowanie wtyczek zabezpieczających, takich jak Wordfence.

W jaki sposób atakujący DDoS atakują stronę internetową?

Atakujący przeprowadzają ataki DDoS na WordPress, zalewając witrynę docelową kilkoma żądaniami. Mają one na celu utrudnienie legalnym użytkownikom dostępu do witryny.

Wniosek – WordPress DDoS

Podsumowując, ochrona witryny WordPress przed atakami DDoS jest niezbędna, ponieważ ataki na Twoją witrynę mogą negatywnie wpłynąć na Twój biznes.

Na szczęście w tym poście przedstawiliśmy kilka kroków, które możesz wykonać, aby zabezpieczyć swoją witrynę WordPress przed atakami DDoS.

Jeśli nie masz pewności co do jakiegokolwiek kroku, daj nam znać w sekcji komentarzy poniżej lub skontaktuj się z naszymi ekspertami w celu uzyskania dalszych wskazówek.