6-etapowy plan ochrony WordPress przed atakami DDoS, aby zapobiec atakowi
Opublikowany: 2020-02-20Mustafiz / stock.adobe.com
Zwykle wzrost ruchu w sieci jest pożądanym rezultatem dla Twojej marki. Jednak możesz nie przewidzieć, że Twoja witryna zostanie nagle zalana tysiącami jednoczesnych żądań , co spowoduje jej awarię. Niestety właśnie tak się dzieje podczas rozproszonej odmowy usługi lub ataku „DDoS” na witrynę WordPress .
Na szczęście, podobnie jak w przypadku większości zagrożeń cyberbezpieczeństwa, istnieją kroki, które można podjąć, aby zminimalizować ryzyko ataku DDoS na Twoją witrynę WordPress. Wdrożenie planu ochrony może pomóc w powstrzymaniu i uniemożliwieniu przestępcom internetowym paraliżowania Twojego biznesu internetowego.
W tym poście wyjaśnimy, czym są ataki DDoS i jak działają. Następnie przedstawimy Ci sześcioetapowy plan ochrony WordPress przed atakami DDoS, którego możesz użyć, aby zapobiec atakowi na Twoją witrynę. Zacznijmy!
W tym artykule
- Co to jest atak DDoS?
- Znaczenie utworzenia planu ochrony przed atakami DDoS WordPress
- Jak zapobiec atakowi DDoS na witrynę WordPress (6 kluczowych wskazówek)
- Podsumowanie
Co to jest atak DDoS?
Atak DDoS odnosi się do problemu bezpieczeństwa, w wyniku którego witryna jest zalewana fałszywymi żądaniami w krótkim czasie, zwykle za pośrednictwem botów. Trafienia pochodzą z wielu źródeł, a ich celem jest przytłoczenie docelowej witryny i spowodowanie jej awarii .
Tysiące żądań może nastąpić w ciągu jednej chwili. Weźmy pod uwagę atak DDoS na firmę Imperva w 2019 r., podczas którego w jej sieć uderzyło 580 milionów pakietów na sekundę (PPS) .
Ten nieoczekiwany, nagły wzrost fałszywych korków i paraliżuje witrynę, czyniąc ją niedostępną i podatną na zagrożenia . Ataki te mogą być ukierunkowane na pojedynczą witrynę internetową lub całą sieć.
Najpopularniejsze typy ataków DDoS można podzielić na trzy kategorie:
- Oparte na wolumenie: opiera się na replikowaniu ogromnego wzrostu ruchu.
- Protokół: wykorzystuje zasoby serwera, aby spowodować awarię docelowej witryny lub sieci.
- Aplikacja: bardziej wyrafinowany atak, którego celem jest aplikacja internetowa.
Istnieją różne metody i motywacje przeprowadzania tego rodzaju ataku. Hakerzy mogą przeprowadzić atak DDoS, aby zwiększyć podatność Twojej witryny WordPress. Może to być skuteczna metoda odwrócenia uwagi, która ułatwi niezauważoną infiltrację Twojej witryny .
Najczęściej jednak celem jest głównie włamanie się na docelową witrynę . Na przykład ktoś może przeprowadzić atak DDoS na konkurenta . Chociaż jest to złośliwe i ekstremalne rozwiązanie, nie jest niczym niezwykłym, zwłaszcza jeśli weźmie się pod uwagę negatywny wpływ, jaki przestój może mieć na firmę.
Znaczenie utworzenia planu ochrony przed atakami DDoS WordPress
Skutki ataku DDoS mogą być katastrofalne dla Twojej firmy. Wiele następujących po sobie szkód wynika z przedłużających się i nieoczekiwanych przestojów .
Jeśli Twoja witryna będzie niedostępna przez dłuższy czas, istnieje duże prawdopodobieństwo, że stracisz część przychodów. Klienci nie będą mogli uzyskać dostępu do Twojej witryny i mogą zobaczyć błąd 502 nieprawidłowej bramy . Oznacza to, że tracisz sprzedaż e-commerce lub inne konwersje potencjalnych klientów.
Dłuższa niedostępność może również mieć wpływ na Twoje rankingi optymalizacji pod kątem wyszukiwarek (SEO) . Przy zmniejszonej widoczności będziesz musiał ciężej pracować, aby przyciągnąć potencjalnych klientów, jednocześnie odbudowując wiarygodność swojej witryny.
Ponadto atak DDoS może spowodować problemy z hostingiem . Jest to szczególnie prawdziwe, jeśli korzystasz z planu współdzielonego, ponieważ tego typu naruszenie bezpieczeństwa może mieć wpływ nie tylko na Twoją witrynę, ale także na inne strony na Twoim serwerze.
Ponadto, jak wspomnieliśmy wcześniej, incydent DDoS może zwiększyć podatność Twojej witryny na inne rodzaje ataków . Kiedy jesteś rozproszony, próbując przywrócić witrynę do trybu online, Twoja uwaga jest odwracana od systemów bezpieczeństwa . Może to ułatwić hakerom infiltrację bez Twojej wiedzy.
Odzyskiwanie sił po ataku może wymagać dużo pieniędzy i czasu . Chociaż niekoniecznie możesz uniemożliwić komuś przeprowadzenie ataku DDoS na Twoją witrynę WordPress, możesz podjąć kroki, aby zminimalizować szkody , które wystąpią, jeśli padniesz jego ofiarą.
[bctt tweet=” Ustanowienie silnego planu ochrony WordPress przed atakami DDoS pomaga chronić krytyczne zasoby biznesowe. #WordPress” nazwa użytkownika = „thewpbuffs”]Jak zapobiec atakowi DDoS na witrynę WordPress (6 kluczowych wskazówek)
Istnieje wiele metod zabezpieczenia witryny WordPress , takich jak używanie wtyczek zabezpieczających i wyłączanie niektórych funkcji. Dzięki odpowiedniemu planowi ochrony możesz poprawić swoją zdolność do odbicia się od ataku DDoS. W tej sekcji przyjrzymy się sześciu wskazówkom , jak temu zapobiec.
- Wyłącz XMLR RPC i REST API w WordPress
- Zainstaluj zaporę aplikacji sieci Web (WAF) w swojej witrynie
- Wybierz bezpiecznego dostawcę hostingu
- Użyj sieci dostarczania treści (CDN)
- Pobierz wtyczkę ochrony DDoS WordPress
- Spraw, aby konserwacja i monitorowanie WordPressa były priorytetem
1. Wyłącz XML RPC i REST API w WordPress
Od wydania wersji 3.5 WordPressa dostępna jest opcja domyślnego włączenia XML-RPC . Ta funkcja jest przydatna w przypadku pingbacków i trackbacków.
Jednak w przypadku większości witryn nie jest to konieczne. Jest to naprawdę potrzebne tylko wtedy, gdy do zarządzania witryną WordPress korzystasz z aplikacji mobilnych .
XML-RPC jest łatwy do złamania, co oznacza, że ujawnia luki, które hakerzy mogą wykorzystać podczas ataków DDoS. Dlatego zalecamy jego wyłączenie.
Możesz to osiągnąć, edytując plik .htaccess . Otwórz go albo za pomocą menedżera plików konta hostingowego , albo za pomocą protokołu FTP (File Transfer Protocol) i klienta FTP, takiego jak FileZilla. Następnie wklej następujący fragment kodu:
# Blokuj żądania WordPress xmlrpc.php zamów odmowę, zezwól Odmowa od wszystkich
W tym samym duchu mądrze jest wyłączyć interfejs API REST w WordPress. To kolejny kanał, który umożliwia aplikacjom innych firm (i cyberprzestępcom) dostęp do Twojej witryny WordPress.
Najłatwiejszym sposobem wyłączenia interfejsu API WordPress w Twojej witrynie jest użycie WP Hide & Security Enhancer.
Ta wtyczka jest bezpłatna i nie wymaga konfiguracji . Po zainstalowaniu i aktywowaniu możesz wyłączyć interfejs API REST, przechodząc do WP Hide > JSON API :
Możesz także użyć tej wtyczki, aby wyłączyć funkcjonalność XML-RPC . Opcja ta znajduje się w zakładce XML-RPC .
2. Zainstaluj WAF w swojej witrynie
Jeśli używasz WordPressa od jakiegoś czasu, prawdopodobnie wiesz, czym jest WAF. Mówiąc prościej, jest to rodzaj oprogramowania zabezpieczającego, które dodaje warstwę ochrony między Twoją witryną a złośliwym ruchem. Może pomóc w zapobieganiu atakom DDoS, ograniczając dostęp użytkowników i odfiltrowując boty .
Chociaż istnieje wiele różnych WAF-ów do wyboru, które pomogą chronić Twoją witrynę WordPress , zalecamy użycie Sucuri.
System WAF i system zapobiegania włamaniom (IPS) firmy Sucuri pomaga chronić witryny przed atakami typu brute-force, złośliwym oprogramowaniem i nie tylko. Może także wykrywać złośliwy ruch i blokować wiele rodzajów ataków DDoS .
Suruci oferuje różnorodne plany do wyboru. Posiada również opcję „Natychmiastowej pomocy” dla witryn, które są obecnie atakowane.
3. Wybierz bezpiecznego dostawcę hostingu
Nie można przecenić znaczenia wysokiej jakości hostingu dla Twojej witryny WordPress. Twój serwer wpływa na szybkość i wydajność Twojej witryny. Odgrywa jednak również integralną rolę w bezpieczeństwie i wpływa na zdolność zapobiegania atakom DDoS i odzyskiwania po nich.
[bctt tweet=” Twój wybór dostawcy usług hostingowych może narazić Cię na ataki DDoS. #WordPress” nazwa użytkownika = „thewpbuffs”]
Jedną z głównych obaw, jakie ludzie często mają przy wyborze usługodawcy hostingowego, jest koszt. Jeśli jednak chodzi o ochronę Twojej witryny, inwestowanie w wysokiej jakości hosting jest nieocenione. Jest to szczególnie prawdziwe, jeśli weźmiesz pod uwagę, że wybór taniego planu może odbywać się kosztem kluczowych zasobów biznesowych.
Biorąc pod uwagę szkodliwy wpływ ataku DDoS na wydajność i czas działania Twojej witryny, niezwykle istotny jest wybór dostawcy usług hostingowych i zaplanowanie wyposażenia umożliwiającego wykrywanie i obsługę przytłaczającego ruchu . Niektórzy dostawcy, tacy jak Kinsta* i WP Engine*, mają wbudowane funkcje, takie jak zapory sprzętowe i integracja z CDN.
Mamy nadzieję, że korzystasz już z usług premium i niezawodnego dostawcy usług hostingowych . Jeśli nie, zalecamy przejście na w pełni zarządzanego dostawcę hostingu WordPress, dla którego bezpieczeństwo jest priorytetem. Obejmuje to szukanie planów obejmujących takie funkcje, jak bezpłatna usługa CDN, całodobowy monitoring i wsparcie oraz skanowanie w poszukiwaniu złośliwego oprogramowania.
4. Użyj CDN
CDN zapewnia dodatkowe serwery sieciowe, które pomagają obsługiwać witrynę WordPress, obsługując większość obciążenia serwera . Chociaż powszechnie wspomina się o optymalizacji wydajności, narzędzie to może być również pomocne ze względów bezpieczeństwa.
Zasadniczo sieci CDN mogą pomóc w zapobieganiu atakom DDoS, znacznie utrudniając przeciążenie serwera. Mogą także pomóc w wykryciu nietypowych wzorców ruchu, a w niektórych przypadkach działać jako odwrotne proxy.
Istnieje wielu różnych dostawców usług CDN. Zalecamy jednak skorzystanie z jednego z tytanów rynku, takiego jak Cloudfare.
Cloudfare stosuje warstwowe podejście do bezpieczeństwa, które może pomóc w ochronie i łagodzeniu skutków DDoS . Chociaż ma do wyboru różne plany premium, możesz korzystać z Global CDN za darmo. Kolejną korzyścią jest to, że możesz łatwo zintegrować go ze swoją witryną za pomocą odpowiedniej wtyczki WordPress.
5. Pobierz wtyczkę ochrony DDoS WordPress
Wtyczki zabezpieczające mogą zaoszczędzić dużo czasu i energii, usprawniając wiele uciążliwych zadań. Niektóre mają również funkcje, które mogą być niezbędne do zapobiegania atakom DDoS na Twoją witrynę WordPress.
Jak wspomnieliśmy powyżej, pliki WAF mogą być niezwykle przydatne do ochrony Twojej witryny. Zainstalowanie wtyczki zabezpieczającej, która jest wbudowana, to szybki sposób na dodanie ochrony do instalacji WordPress.
Dodatkowo funkcje, takie jak limity prób logowania, wykrywanie złych adresów URL i złośliwych adresów IP oraz blokowanie botów, pomagają w łagodzeniu ataków. Dlatego zalecamy pobranie wtyczki zabezpieczającej WordPress przed DDoS, takiej jak Wordfence.
Wordfence może wykonywać wszystkie funkcje wymienione powyżej i więcej. Ta wtyczka bezpieczeństwa WordPress zawiera również narzędzia do monitorowania ruchu na żywo i odwiedzin, a także wzrostów aktywności .
Wiele funkcji wtyczki można pobrać i używać bezpłatnie. Jednak oferuje również wersję premium, która odblokowuje dostęp do pełnego pakietu funkcji bezpieczeństwa, w tym kanału Threat Defense Feed w czasie rzeczywistym.
6. Uczyń konserwację i monitorowanie WordPressa priorytetem
Jeśli chodzi o zarządzanie witryną, czasami najlepszą formą ochrony jest zapobieganie . Starając się zminimalizować ryzyko ataku DDoS na witrynę WordPress, niezwykle ważne jest, aby priorytetem była regularna konserwacja i monitorowanie .
Regularna konserwacja witryny pomoże utrzymać ją w doskonałej kondycji i ostatecznie zmniejszy liczbę luk w zabezpieczeniach, które intruzi mogą wykorzystać. Rutynowe monitorowanie może pomóc wykryć podejrzane działania, zanim wyrządzą one znaczne szkody.
Prawidłowa konserwacja i monitorowanie obejmuje wiele zadań, w tym:
- Aktualizacje WordPressa, wtyczek i motywów
- Monitorowanie czasu pracy
- Automatyczne kopie zapasowe
- Optymalizacja prędkości
- Skanowanie i usuwanie złośliwego oprogramowania
Nadążanie za tymi zadaniami może być procesem czasochłonnym, ale niezbędnym. Sugerujemy znaczne ułatwienie tego poprzez zapisanie się na Plan Opieki WordPress, taki jak te, które oferujemy w WP Buffs.
Profesjonalna konserwacja daje Ci spokój ducha, wiedząc, że Twoja witryna jest pod właściwą opieką. Ponadto zyskujesz czas w swoim harmonogramie, aby skupić się na innych pilnych sprawach biznesowych.
Podsumowanie
Biorąc pod uwagę szeroką gamę istniejących obecnie zagrożeń bezpieczeństwa , kontrolowanie ich wszystkich może wydawać się przytłaczające. Jednak w obliczu rosnącej częstotliwości i dotkliwości ataków DDoS coraz ważniejsze jest, aby upewnić się, że Twoja witryna WordPress jest odpowiednio chroniona .
W tym poście omówiliśmy sześć wskazówek, których możesz użyć, aby zatrzymać i zapobiec atakowi DDoS na Twoją witrynę WordPress:
- Wyłącz XMLR RPC i REST API w WordPress.
- Zainstaluj WAF w swojej witrynie.
- Wybierz bezpiecznego dostawcę usług hostingowych.
- Użyj CDN.
- Pobierz wtyczkę WordPress chroniącą przed DDoS.
- Spraw, aby konserwacja i monitorowanie WordPressa były priorytetem.
Jeśli chcesz, aby opieka i utrzymanie witryny WordPress było dla Ciebie priorytetem, ale nie jesteś pewien, czy masz na to czas, rozważ zlecenie pracy nam w WP Buffs . Nasze kompleksowe plany opieki nad witryną mogą pomóc we wszystkim, od zainstalowania odpowiednich wtyczek po przeprowadzenie dokładnych kontroli bezpieczeństwa witryny .
Chcesz podzielić się swoją opinią lub dołączyć do rozmowy? Dodaj swoje komentarze na Twitterze.
Źródło obrazu: Scott Weber.