Как предотвратить DDoS-атаки в WordPress

Опубликовано: 2020-08-18

В условиях полного разгара пандемии во многих странах и стремительного развития онлайн-бизнеса цифровые атаки становятся все более частыми и опасными. Одними из самых распространенных и опасных являются DDoS-атаки . В этом руководстве мы покажем вам, как предотвратить DDoS-атаки на ваш сайт WordPress .

Что такое DDoS-атаки?

Прежде чем перейти к тому, как предотвратить DDoS-атаки (распределенный отказ в обслуживании), давайте сначала разберемся, что они из себя представляют. Проще говоря, DDoS-атака — это тип атаки типа «отказ в обслуживании» (DoS) , в которой задействовано множество подключенных онлайн-устройств, которые хакеры используют для перегрузки серверов веб-сайта фальшивым трафиком .

В DDoS-атаках эти подключенные машины и серверы запускают атаки по отдельности, но в то же время, что позволяет им оставаться незамеченными в течение некоторого времени, прежде чем они будут заблокированы. С помощью этой тактики они могут легко усилить воздействие этих атак, замедлить и, наконец, вывести из строя сервер, на который они нацелены.

Одна интересная особенность DDoS-атак заключается в том, что они не пытаются взломать ваш сервер и получить доступ к нему напрямую . Вместо этого они нацелены на то, чтобы веб-сайт и серверы вышли из строя на определенное время, чтобы пользователи не могли получить к ним доступ. Однако DDoS-атаки могут использоваться как прикрытие для нарушения безопасности сервера.

Так что же делать, если вы стали жертвой DDoS-атаки? Если хакеры успешно взломали ваш сервер, у вас могут быть проблемы. Восстановление вашей системы может стоить вам тысячи долларов, не говоря уже о других расходах, таких как пропускная способность. Что еще более важно, атака скажется на вашем трафике, репутации и результатах продаж.

Распространены ли DDoS-атаки?

Да, они. На самом деле, DDoS-атаки становятся все более распространенными. Согласно последним исследованиям, в настоящее время каждые 60 секунд происходит 16 DDoS-атак ! А только в 2019 году по всему миру было совершено более 8,4 млн DDoS-атак.

Чтобы избежать всех этих проблем, крайне важно предотвратить DDoS-атаки на ваш сайт WordPress . В этом руководстве мы покажем вам, что делать, чтобы избежать их и обеспечить безопасность вашего сайта.

Как предотвратить DDoS-атаки в WordPress

Вот несколько идей по предотвращению DDoS-атак в WordPress и предотвращению хакерских атак на ваш сайт.

  1. Заблокировать доступ к wp-login.php
  2. Активировать WAF
  3. Контролировать посещаемость сайта
  4. Ограничить доступ к области wp-admin
  5. Активировать блокировку страны
  6. Отключить API DDoS-атаки
    1. XML RPC-API
    2. ОТДЫХА API
  7. Регулярно обновляйте WordPress

1. Заблокировать доступ к wp-login.php

Файл wp-login.php является одним из наиболее распространенных путей, которые хакеры используют для DDoS-атак в WordPress. Например, в QuadLayers мы блокируем доступ к файлам wp-login.php более 250 раз в день!

Если вы используете такой сервис, как Cloudflare, вы можете проверить, сколько раз кто-то пытался получить доступ к вашим файлам wp-login.php . И вы будете удивлены, насколько высока эта цифра. Блокировка доступа к этим файлам — один из лучших способов предотвратить DDoS-атаки в WordPress.

Большинство служб безопасности предлагают различные варианты блокировки доступа к wp-login.php . Мы используем Cloudflare, поэтому покажем вам, как блокировать атаки на файлы wp-login.php с помощью этого сервиса. Бесплатный план Cloudflare позволяет вам установить до 5 правил, поэтому вы можете сделать это, не тратя денег.

На панели управления выберите « Брандмауэр» > «Правила брандмауэра» > «Создать правило брандмауэра» . Дайте правилу имя и заполните пробелы следующей информацией:

Как предотвратить DDoS-атаки в WordPress - Wp-admin.php

  • Поле : Путь URI
  • Оператор : содержит
  • Значение : /wp-login.php

Кроме того, вы можете скопировать и вставить следующий код в раздел Expression Preview:

 (http.request.uri.path содержит «/wp-login.php»)

Нажмите кнопку Сохранить , и все готово.

2. Активируйте WAF

WAF — это сокращение от брандмауэра веб-приложений, которое служит еще одним уровнем защиты вашего веб-сайта. Он защищает ваш сайт от опасного трафика, используя интеллектуальный алгоритм для выявления и блокировки кажущихся вредоносными запросов. Таким образом, это позволяет получать только хороший трафик.

Существует множество решений WAF на выбор. Прежде чем решить, какой из них вы будете использовать, проверьте, подходит ли защита для вашего сайта, а также цена и простота использования. Использовав пару из них за эти годы, мы настоятельно рекомендуем Sucuri. У него есть бесплатный плагин и несколько профессиональных планов, стоимость которых начинается от 199 долларов США в год для одного сайта. Cloudflare также является отличным выбором. Он предлагает бесплатный плагин и профессиональные планы с защитой от DDoS-атак за 20 долларов США в месяц.

Кроме того, мы рекомендуем вам следовать некоторым советам по безопасности, чтобы улучшить общую защиту вашего сайта от всех типов вредоносных программ.

3. Контролируйте трафик веб-сайта

Большой всплеск трафика не обязательно означает хорошие новости. Хотя и не всегда, DDoS-атаки обычно имеют форму огромного количества трафика. Эти объемные атаки основаны на сети и иногда ошибочно принимаются за новых посетителей. Если вы видите, что на ваш сайт приходит множество новых посетителей, проверьте, новые ли это пользователи или кто-то пытается отключить ваш сайт.

Лучшее решение для этого — установить инструменты мониторинга, чтобы они проверяли ваши журналы и предупреждали вас, если количество запросов/посетителей внезапно увеличивается. Таким образом, вы предотвратите DDoS-атаки на свой сайт WordPress.

Чтобы отличить новых посетителей от DDoS-атак, обратите внимание на:

  • Источник трафика. Ваш трафик поступает из целевого региона? Если вы ориентируетесь, например, на местных клиентов, но получаете огромный трафик из-за рубежа, то происходит что-то странное.
  • Время трафика: если вы наблюдаете всплеск посещений в 3:00 по местному времени, то это могут быть и атаки.
  • Характеристики вашего бизнеса. Учитывайте также тип вашего бизнеса. Например, если вы продаете купальники и пляжную одежду, всплеск посетителей летом — это нормально.

Обратите внимание, что роботы Google и другие сканеры поисковых систем иногда делают подозрительные запросы на ваш сайт. Помните о разнице между ними, чтобы убедиться, что вы блокируете DDoS-атаки, а не боты.

4. Ограничить доступ к области wp-admin

Вы должны быть единственным, кто может получить доступ к области wp-admin , так как именно здесь вы контролируете все наиболее важные действия в WordPress. Однако при ограничении доступа к области wp-admin убедитесь, что не включены определенные файлы, такие как /wp-admin/admin-ajax.php и /wp-admin/theme-editor.php , которые используются плагинами и темами, которые необходимо получить доступ к области wp-admin извне. Кроме того, вы можете исключить свой IP-адрес и случаи, когда реферер приходит с вашего сайта.

Если вы используете службу безопасности, это не должно быть сложно настроить. В нашем случае мы сделали это с помощью Cloudflare следующим образом:

На панели управления выберите « Брандмауэр» > «Правила брандмауэра» > «Создать правило брандмауэра» . Назвав правило, заполните пропуски следующей информацией:

Как предотвратить DDoS-атаки в WordPress - WP-админка

  • Поле: Путь URI
  • Оператор: содержит
  • Значение: /wp-admin/

[И]

  • Поле: Путь URI
  • Оператор: не содержит
  • Значение: /wp-admin/admin-ajax.php

[И]

  • Поле: Путь URI
  • Оператор: не содержит
  • Значение: /wp-admin/theme-editor.php

[И]

  • Поле: Реферер
  • Оператор: не содержит
  • Значение: quadlayers.com

[И]

  • Поле: IP-адрес
  • Оператор: не содержит
  • Значение: 182.189.59.210

В противном случае вы можете просто нажать « Изменить выражение » и вставить следующий код:

 (http.request.uri.path содержит «/wp-admin/», а не http.request.uri.path содержит «/wp-admin/admin-ajax.php», а не http.request.uri.path содержит «/ wp-admin/theme-editor.php", а не http.referer содержит "quadlayers.com" и ip.src ne 182.189.59.210)

5. Активируйте блокировку страны

Подобно брандмауэру веб-сайта, блокировка страны — это тип географической блокировки, который служит для минимизации риска атаки на ваш веб-сайт. Хотя владельцы сайтов не могут исключить возможность DDoS-атак только за счет блокировки страны, обычной практикой является повышение уровня защиты от атак при соблюдении политик организации. Поскольку в последнее время из нескольких стран было совершено большое количество кибератак, вы можете заблокировать их взаимодействие с вашим веб-сайтом.

Как один из плагинов безопасности, который позволяет легко блокировать страну, Sucuri — отличный выбор для этого.

6. Отключить API-интерфейсы DDoS-атак

Принцип этого метода заключается в отключении нескольких API, чтобы хакеры не могли использовать их для запуска атак на ваш сайт WordPress. Обычно эти API-интерфейсы являются шлюзами для сторонних плагинов и сервисов для интеграции в веб-сайт. Однако хакеры часто используют их для запуска DDoS-атак или атак методом перебора.

Есть два API, которые следует отключить:

6.1) XML RPC API

Этот API помогает сторонним приложениям взаимодействовать с вашим сайтом, особенно при использовании приложения WordPress на вашем мобильном телефоне. Плохая новость заключается в том, что это одна из самых распространенных целей DDoS-атак . Поэтому, если большинство ваших пользователей не используют мобильную версию WordPress, вы можете отключить этот API для предотвращения DDoS-атак.

Чтобы деактивировать XML RPC API и заблокировать все его запросы, просто добавьте следующий код в файл .htaccess вашего веб-сайта.

 # Блокируем все запросы WordPress xmlrpc.php
<Файлы xmlrpc.php>
приказ запретить, разрешить
отрицать от всех
</файлы>

6.2) REST API

Еще один API, который можно отключить для предотвращения DDoS-атак в WordPress, — это REST API. Этот API позволяет сторонним плагинам и инструментам получать доступ к данным WordPress, а также изменять и удалять контент. Самый простой способ отключить этот API — загрузить бесплатный плагин Disable WP Rest API.

После загрузки активируйте его, и все готово. Инструмент заработает немедленно и отключит REST API для всех незарегистрированных пользователей без дополнительной настройки.

7. Регулярно обновляйте WordPress

Регулярное обновление WordPress не только предотвращает DDoS-атаки, но и защищает ваш сайт от многих других видов атак и взломов. Вот почему вы должны регулярно обновлять:

  1. Установка WordPress, темы и плагины
  2. Версия PHP на сервере
  3. Apache, MySQL и ОС
  4. Любые другие скрипты и программы

Что делать, если вы подверглись DDoS-атаке в WordPress?

Несмотря на то, что вы можете заранее подготовиться и попытаться предотвратить DDoS-атаки в WordPress, что делать, если вы подверглись атаке? Вот немедленные действия, которые вы должны предпринять во время DDoS-атаки:

1. Сообщите своей команде

Совместная работа, когда разразится кризис, даст вам максимальную силу. Когда вы подвергаетесь DDoS-атаке, обязательно предупредите членов вашей команды, чтобы они знали о том, что происходит, и могли помочь вам с контрмерами.

2. Сообщите своим клиентам

Это особенно важно, если атакуемый веб-сайт является магазином WooCommerce, поскольку в это время клиенты не смогут войти в свою учетную запись или приобрести товары. Отсутствие объявления и объяснений в такой критический момент может повредить вашей репутации. Поэтому мы рекомендуем вам сообщить им по электронной почте или в социальных сетях, что на вашем сайте происходят технические ошибки, и он скоро снова будет доступен.

3. Свяжитесь с вашим хостинг-провайдером и поставщиком услуг безопасности.

Предупредив коллег и клиентов, свяжитесь с вашим хостинг-провайдером WordPress. Поскольку злоумышленники могут атаковать их системы, лучше, чтобы они знали об этом и даже могли помочь вам в этой ситуации. Кроме того, на этом этапе крайне важно связаться с вашим поставщиком услуг безопасности. Поскольку борьба с атаками входит в их профессию, они могут помочь вам сформулировать более эффективные и быстрые контрмеры.

4. Реализуйте ответы

Если у вас есть какие-либо средства противодействия, готовые к развертыванию, именно тогда они придут на помощь. Обычно контрмеры срабатывают сразу же, как только происходят атаки. Лучше, если вы приготовите это заранее. Однако, если вы не подготовили какое-либо специализированное решение для обеспечения безопасности, обратитесь к своему поставщику услуг безопасности, поскольку большинство из них предлагают экстренные меры.

5. Оцените эффективность контрмер

Не забывайте оценивать эффективность контрмер, так как они тоже имеют место! Эффективны ли они? Или атакующие побеждают? Таким образом, вы можете скорректировать свои ответы, если на вас обрушится какая-либо другая атака. Будем надеяться, что этого не произойдет, но профилактика лучше, чем лечение.

Вывод

В целом, DDoS-атаки в настоящее время очень часты. Чем больше растет ваш сайт WordPress, тем более привлекательным он становится для хакеров. Однако вы можете предотвратить эти атаки и подготовиться к ним, приняв упреждающие меры. Упомянутые выше шаги не только помогут вам предотвратить DDoS-атаки в WordPress, но и помогут защитить ваш сайт от атак в целом.

Но что, если вы уже подверглись нападению? Не паникуйте. Следуйте приведенным выше рекомендациям, чтобы попытаться уменьшить количество проблем и запустить свой сайт как можно скорее. Хотите еще больше повысить безопасность своего сайта? Ознакомьтесь с нашими советами по безопасности!

Есть ли у вас какие-либо другие полезные тактики для предотвращения DDoS-атак? Пожалуйста, поделитесь им с нами в разделе комментариев ниже!