DDoS-атака на WordPress — как защитить свой сайт

Распространенность DDoS-атак на WordPress привела к значительным потерям доходов многих малых предприятий, доходы которых зависят от онлайн-трафика.

DDoS-атаки представляют серьезную угрозу для веб-сайтов независимо от их размера. Поэтому очень важно принять все соответствующие меры безопасности для защиты вашего веб-сайта.

В этом посте мы рассмотрим , как DDoS-атаки WordPress могут нанести вред вашему сайту . Затем мы дадим вам практические советы, как их предотвратить.

Содержание:

• Что такое DDoS-атака?
• Как DDoS-атаки могут повлиять на сайты WordPress
• Советы по защите вашего сайта WordPress от DDoS-атак
  • 1. Включите двухфакторную аутентификацию (2FA)
  • 2. Используйте брандмауэр веб-приложений (WAF)
  • 3. Используйте CDN Cloudflare
  • 4. Отключить REST API в WordPress
  • 5. Поддерживайте программное обеспечение и плагины WordPress в актуальном состоянии
  • 6. Отслеживайте трафик вашего сайта
• Часто задаваемые вопросы
• Заключение

Что такое DDoS-атака?

Атака распределенного отказа в обслуживании (DDoS) — это тип кибератаки, которая пытается перегрузить веб-сайт или сервер вредоносным трафиком, чтобы нарушить его нормальную работу. Эти атаки могут происходить на любом веб-сайте, включая сайты на базе WordPress.

Как DDoS-атаки могут повлиять на сайты WordPress

Последствия DDoS-атаки на сайты WordPress значительны, особенно для сайтов малого бизнеса. Это связано с тем, что им может не хватать инфраструктуры для отражения таких атак. Если DDoS-атака успешно нацелена на веб-сайт, он может стать недоступным для пользователей, что приведет к простою веб-сайта.

В 2016 году Интернет подвергся одной из самых серьезных атак типа «отказ в обслуживании». Целью атаки стал поставщик услуг DNS DYN. Это затронуло многие популярные сайты, такие как Netflix, Reddit, PayPal, Visa и другие. В результате пострадали многие интернет-пользователи в Европе и Северной Америке.

DDoS-атаки оказывают большое влияние на владельцев веб-сайтов и пользователей Интернета. Некоторые из повреждений, которые DDoS-атаки могут нанести вашему веб-сайту, включают следующее.

Время простоя веб-сайта

Одним из наиболее серьезных последствий DDoS-атаки является то, что целевой веб-сайт может стать недоступным для пользователей. Это может разочаровать пользователей, которым может понадобиться помощь при доступе к веб-сайту или использовании его услуг.

Потерянный трафик и доход

Если веб-сайт WordPress недоступен из-за DDoS-атаки, это может привести к потере трафика и доходов. Например, во время атаки DYN в октябре 2016 года Sony сообщила об общих потерях в размере 2,7 млн ​​долларов. Это очень много, учитывая, что атака длилась всего два часа.

Ущерб репутации

Кроме того, пользователи могут потерять доверие к вашему бренду, если ваш сайт станет жертвой DDoS-атаки. Это может повлиять на репутацию вашего веб-сайта, поскольку поисковые системы также могут внести его в черный список.

Стоимость смягчения последствий

Защита от DDoS-атак может быть дорогостоящей, поскольку требует специальных ресурсов и технических знаний.

Потери данных

Исследование, проведенное «Лабораторией Касперского» в 2015 году, показало, что 26% веб-сайтов, пострадавших от DDoS-атак, также теряют данные. DDoS-атаки часто служат прикрытием для других кибератак, таких как атаки методом грубой силы.

Советы по защите вашего сайта WordPress от DDoS-атак

DDoS-атаки стали серьезной угрозой для владельцев веб-сайтов. И даже самые хорошо финансируемые сайты не застрахованы от таких атак. Технически ни один сайт не застрахован от DDoS-атак. Однако вы можете реализовать меры по остановке и предотвращению DDoS-атак.

Вот несколько советов по защите WordPress от DDoS-атак, которые вы можете применить для защиты своего сайта.

1. Включите двухфакторную аутентификацию (2FA)

Двухфакторная аутентификация (2FA) — это мера безопасности, которая требует от пользователей предоставления дополнительного уровня аутентификации перед доступом к конфиденциальным страницам, таким как страница администрирования WP.

Это может помочь защитить от несанкционированного доступа к веб-сайтам, атаки методом перебора и DDoS-атаки.

Например, вы можете потребовать от пользователей предоставить одноразовый код, отправленный на их телефон или адрес электронной почты, перед входом на ваш веб-сайт.

Вы можете настроить двухфакторную аутентификацию (2FA) на WordPress с помощью плагина MiniOrange Google Authenticator.

Чтобы установить MiniOrange Authenticator, войдите в свою панель управления WordPress и перейдите в«Плагины» >> «Добавить новый» .В поле поиска введите «MiniOrange Google Authenticator». Плагин должен появиться в результатах поиска, как показано ниже.

Затем нажмите кнопку«Установить сейчас» рядом с названием плагина, чтобы установить его на свой веб-сайт.После установки плагина кнопка изменится на «Активировать». Нажмите на нее, чтобы активировать плагин.

Настройка MiniOrange Google Authenticator

После активации плагина вам необходимо подключить его к приложению Google Authenticator на мобильном устройстве. Это необходимо для завершения активации 2FA на вашем сайте.

Чтобы начать,нажмите Начать .

Затем выберитепользователей, которые должны сначала настроить 2FA после входа в систему .Таким образом, все пользователи будут вынуждены настроить 2FA перед входом в систему. Нажмите«Продолжить настройку» , чтобы продолжить.

Вы можете активировать 2FA для всех пользователей или только для определенных ролей (например, администратора и редакторов). Это полезно, если вы хотите исключить таких пользователей, как авторы. В этом руководстве мы будем активировать 2FA только для администраторов.

Выберите параметр«Только для определенных ролей» и установите флажок «Администратор». После этого нажмите«Продолжить настройку» , чтобы продолжить.

Затем выберите, следует ли внедрить 2FA немедленно или предоставить пользователям льготный период. НажмитеВсе готово , чтобы продолжить.

Теперь вам нужно выбрать метод аутентификации, который вы хотите настроить. Выберите вариантGoogle / Microsoft / Authy Authenticator и нажмите кнопку «Сохранить и продолжить».

Затем выберитеНастроить 2FA для себя , чтобы перейти к следующему шагу процесса настройки.

Подключение MiniOrnage к Google Mobile Authenticator

Google Authenticator является предпочтительным приложением для аутентификации для этого процесса. Это потому, что он самый популярный и доступен на устройствах Android и iOS.

Первым шагом будет загрузка приложения Google Authentication из Play Store или Apple Store.

После установки приложения вы должны увидеть страницу меню с двумя вариантами:«Сканировать QR-код» и «Ввести ключ настройки».

Выберите опцию QR-кода и отсканируйте штрих-код QR, отображаемый на вашем веб-сайте, как показано ниже.

После завершения сканирования введите шестизначный код, сгенерированный приложением аутентификации, в соответствующее поле.

Подтвердите ввод, выбрав опцию«Сохранить и продолжить» .

Вот и все! Вы успешно включили двухфакторную аутентификацию на своем веб-сайте с помощью MiniOrange Google 2FA.

Не можете отсканировать QR-код в MiniOrange?

Если вы не можете отсканировать предоставленный QR-код , вот что вам нужно сделать:

Сначала нажмите Не удается отсканировать штрих-код?Это сгенерирует ключ для настройки 2FA в приложении аутентификации Google.

Откройте приложение Google Authenticator на своем телефоне и выберите параметр«Ввести ключ настройки» .Затем вставьте 16-значный ключ, сгенерированный MiniOrange 2FA.

Введите имя приложения и тип учетной записи, а затем нажмите «Добавить». Затем он сгенерирует 6-значный код, который вы можете использовать для завершения процесса на WordPress. После этого нажмите«Сохранить и продолжить» , чтобы продолжить.

Далее вы увидите сообщение, показывающее статус вашей конфигурации.

Чтобы проверить это, выйдите со своего сайта WordPress и попытайтесь войти в систему. На странице входа вам нужно будет вводить 6-значный одноразовый пароль, сгенерированный приложением аутентификации на вашем телефоне, каждый раз, когда вы пытаетесь войти в систему. .

2. Используйте брандмауэр веб-приложений (WAF)

Брандмауэр веб-приложений (WAF) — это мера безопасности, которая может защитить веб-сайт от различных угроз, включая DDoS-атаки.

WAF анализируют входящий трафик и блокируют вредоносные запросы до того, как они достигнут серверов сайта. Это может помочь предотвратить DDoS-атаки WordPress, которые перегрузят инфраструктуру веб-сайта и вызовут его сбой.

Самый простой способ добавить WAF на ваш сайт — использовать плагин брандмауэра. К счастью, некоторые плагины безопасности WordPress и плагины против DDoS, такие как Wordfence Security, поставляются с защитой брандмауэра.

Ниже мы установим и активируем Wordfence на сайте WordPress.

Установка и активация Wordfence

Чтобы установить Wordfence, войдите в панель администратора WordPress и перейдите в «Плагины» >> «Добавить новый». Найдите строку поиска в правом верхнем углу и введите «Wordfence», чтобы найти плагин.

Нажмите кнопку«Установить сейчас» рядом с подключаемым модулем Wordfence Security, чтобы установить его на свой сайт.Активируйте плагин после завершения установки.

После активации WordFence вам нужно будет получить лицензионный ключ, чтобы он работал. Нажмите кнопку«Получить лицензию WordFence» на следующей странице, чтобы начать продолжение.

Затем выберите бесплатный план для тестирования функций и нажмите«Я в порядке, жду 30 дней », чтобы продолжить.

Вы можете перейти на платный план позже, если у вас есть бюджет. Тем не менее, бесплатный план предоставляет вам все основные функции, необходимые для защиты вашего сайта.

Затем введите свой адрес электронной почты, примите условия и положения и нажмите «Зарегистрироваться» .

Вы должны получить электронное письмо с активацией от Wordfence. Откройте свою электронную почту и нажмите на ссылку активации.

После этого он перенаправит вас на панель инструментов WordPress. Здесь вам нужно будет нажать кнопку«Установить лицензию» , чтобы активировать ваш сайт.Теперь у вас есть Wordfence, активно работающий над вашим сайтом.

Чтобы убедиться, что WAF включен и работает, найдитеWordfence на панели инструментов WordPress и нажмите ссылку «Управление брандмауэром».

Вы должны увидеть раздел на следующем экране, отображающий статус WAF. Если статус WAF активен и отображаются процентные значения, это подтверждает, что WAF включен и работает.

Установка плагина Wordfence на ваш сайт даст вам следующие преимущества:

• Предотвращение SQL-инъекций
• Ограничение грубой атаки
• Защита от межсайтового скриптинга

3. Используйте CDN Cloudflare

Cloudflare — популярный провайдер CDN, который повышает производительность вашего веб-сайта и защищает вас от кибератак, таких как DDoS-атаки.

Cloudflare может предотвращать крупномасштабные DDoS-атаки и фильтровать источники трафика, чтобы определить, исходят ли определенные запросы от злоумышленника.

Ниже мы рассмотрим шаги, необходимые для активации услуг Cloudfare на вашем веб-сайте.

Получение учетной записи Cloudflare

В качестве предварительного условия убедитесь, что у вас есть доступ к панели администратора регистратора домена. Это понадобится вам, чтобы разрешить Cloudflare доступ к вашим настройкам DNS.

Первый шаг — создать учетную запись Cloudflare. Для этого посетите страницу регистрации Cloudflare. Затем введите адрес электронной почты, выберите пароль и нажмите«Создать учетную запись» .

Добавление вашего сайта в Cloudflare

Ваша учетная запись Cloudflare готова. Однако вам необходимо завершить настройку, добавив свой сайт. После входа в свою учетную запись нажмите кнопку«Добавить сайт» , чтобы добавить свой веб-сайт.

Введите имя своего домена (например, example.com) и нажмитеДобавить сайт , чтобы продолжить.

Далее выберите подходящий план Cloudflare. Это зависит от функций, которые вы хотите. Тем не менее, бесплатного плана достаточно, чтобы предоставить вам необходимую базовую защиту. Выберите бесплатный план и нажмите«Продолжить» , чтобы продолжить.

На следующей странице вы увидите список существующих записей. Вы можете просмотреть их, чтобы убедиться, что они верны.

Примечание . На данном этапе не рекомендуется вносить изменения в записи DNS.

Если вы просмотрели записи и удовлетворены, нажмите «Продолжить» , чтобы продолжить.

Следующим этапом будет указание ваших серверов доменных имен на Cloudflare. Это важно, чтобы завершить процесс активации и позволить Cloudflare защитить ваш сайт.

Вам нужно будет заменить существующие серверы имен у вашего регистратора доменов.

Затем скопируйте новые серверы имен, предоставленные Cloudflare, чтобы заменить те, которые вы удалили на своем хосте домена.

Действия по смене серверов имен отличаются в разных хостинговых компаниях. Пожалуйста, свяжитесь с вашим провайдером веб-хостинга, если вы не знаете, как найти настройки серверов имен. Однако мы покажем вам, как это сделать в Namecheap.

Обновление серверов имен Namecheap

Сначала войдите в свою учетную запись и нажмите«Список доменов» .

На странице домена найдите домен, который хотите изменить, и нажмите«Управление» .

Затем щелкните раскрывающийся список«Серверы имен» и выберите «Пользовательский DNS».

В поля ввода введите два сервера имен, предоставленные Cloudflare, и нажмите на галочку, чтобы сохранить изменения.

Теперь вы можете вернуться в Cloudflare, чтобы проверить изменения сервера имен, нажав«Готово, проверить серверы имен» .

Примечание: изменение серверов имен может занять до 48 часов.

Защита от DDoS от Cloudflare

Cloudflare автоматически включит защиту от DDoS на вашем сайте после добавления вашего сайта в Cloudflare.

Несмотря на это, рекомендуется принять дополнительные меры для защиты вашего сайта. В зависимости от риска, с которым сталкивается ваш веб-сайт, есть некоторые дополнительные настройки, которые вы можете применить для дополнительной защиты своего сайта.

Позвольте нам показать вам две основные настройки, которые необходимо реализовать для защиты вашего сайта от DDoS.

Создайте пользовательское переопределение DDos

Вы можете настроить поведение защиты Cloudflare от DDoS по умолчанию, развернув собственное переопределение DDoS.

Чтобы использовать эту опцию, войдите в свою учетную запись Cloudflare. Затем выберите свой веб-сайт, чтобы переместиться в его зону.

Затем перейдите в«Безопасность» >> «DDoS» в меню слева.Нажмите «Развернутьпереопределение DDoS», чтобы продолжить.

На следующей странице добавьте имя для переопределения. После этого измените действие набора правил наУправляемый вызов и установите чувствительность на НизкийилиСреднийв зависимости от рисков, с которыми вы сталкиваетесь. После этого прокрутите вниз и нажмитеСохранить .

Реализация этой стратегии поможет отфильтровать вредоносный трафик из источника DDoS. Он использует наборы управляемых задач, предлагаемых пользователям Cloudflare.

Активировать режим боя с ботом

Еще один подход, который вы можете использовать для защиты своего сайта от DDoS, — это активация режима Bot Fight. Режим борьбы с ботами помогает обнаруживать и блокировать доступ известного бот-трафика к вашему сайту.

Чтобы активировать режим боя с ботом, перейдите в«Безопасность» >> «Боты» и переключите параметр режима боя с ботом в положение «включено».

Cloudflare предоставляет вам все инструменты, необходимые для защиты вашего сайта от DDoS. Приведенные выше советы должны защитить ваш сайт от большинства DDoS-атак, если вы будете следовать им правильно.

4. Отключить REST API в WordPress

WordPress REST API — это функция WordPress, которая позволяет разработчикам получать доступ к данным WordPress и управлять ими с помощью HTTP-запросов. Иногда REST API может использоваться как вектор для DDoS-атак.

Вы можете отключить WP REST API несколькими способами в WordPress. Однако самый простой способ — использовать фрагменты кода из плагина WPCode.

Вам нужно будет установить и активировать плагин на вашем сайте WordPress.

После активации плагина перейдите враздел Фрагменты кода >> + Добавить фрагмент.

На следующей странице введите «rest api» в поле поиска. Отключить Rest API теперь должно отображаться в результатах поиска.

Затем нажмите«Использовать фрагмент» , чтобы перейти к следующему шагу.

Наконец, переключите «неактивную» кнопку на «активную», чтобы активировать код. После этого нажмите«Обновить» , чтобы сохранить изменения.

REST API теперь отключен на вашем сайте. Поскольку API-интерфейсы являются уязвимыми местами на вашем сайте WordPress, которыми могут воспользоваться злоумышленники, отключение REST API защитит вас от DDoS-атак, использующих эти слабые места API.

5. Поддерживайте программное обеспечение и плагины WordPress в актуальном состоянии

Обновление тем и плагинов WordPress — это еще один способ защитить ваш сайт от DDoS-атак и повысить безопасность сайта. Обновления программного обеспечения и подключаемых модулей помогают гарантировать, что веб-сайт использует наиболее безопасную версию программного обеспечения.

В WordPress большинство обновлений обычно включают исправления уязвимостей, которыми могут воспользоваться DDoS-атаки.

Чтобы обновить плагины WordPress, войдите в свою учетную запись WordPress и перейдите враздел «Панель инструментов» >> «Обновления».

На странице обновлений вы увидите все плагины, которые нуждаются в обновлении на вашем сайте. Установите флажок «Выбрать все» , чтобы отметить все плагины.Затем прокрутите вниз и нажмите«Обновить плагины» .

Кроме того, проверьте и обновите свои темы WordPress.

При этом убедитесь, что вы используете последнюю версию WordPress.

6. Следите за трафиком вашего сайта и следите за необычными всплесками

Как владелец веб-сайта, вы должны немедленно принять меры для предотвращения атак и восстановления нормальной работы, если вы подозреваете атаку.

Это может включать обращение за помощью к эксперту по безопасности или принятие дополнительных мер безопасности. Например, вы можете использовать плагины безопасности, такие как Wordfence, для отслеживания вашего трафика на предмет необычной активности.

Если вы воспользовались вторым советом в этом руководстве, на вашем веб-сайте должен быть установлен плагин Wordfence Security.

Чтобы получить доступ к функции управления трафиком, щелкните боковое менюWordfence .Затем нажмите«Управление брандмауэром» , чтобы продолжить.

После этого прокрутите вниз до кнопки, чтобы найти раздел «Ограничение скорости».

Затем включите расширенную функцию блокировки ограничения скорости, чтобы активировать ее.

На странице настройки ограничения скорости вы можете включить различные методы управления трафиком, чтобы помочь защитить ваш сайт WordPress от нежелательного трафика и снизить нагрузку на ресурсы сервера.

Например, вы можете установить лимит запросов, регулируя количество запросов, которые может сделать конкретный пользователь.

Функция ограничения скорости Wordfence позволяет вам контролировать сканеры и просмотры страниц людьми. Вы также можете использовать его для ограничения необычных всплесков трафика на сайтах WordPress. Хотя Wordfence можно дополнительно настроить для повышения безопасности WordPress , вам следует избегать блокировки законного трафика.

DDoS-атака на WordPress (часто задаваемые вопросы)

Ниже мы ответили на некоторые из самых популярных вопросов, которые пользователи задают о защите своего сайта WordPress от DDoS-атак.

Есть ли у WordPress защита от DDoS?

WordPress по умолчанию не имеет защиты от DDoS. Однако вы можете принять некоторые меры для защиты вашего сайта WordPress от DDoS-атак. Это может включать в себя: использование сторонних сервисов, таких как Cloudflare, или установку плагинов безопасности, таких как Wordfence.

Как злоумышленники DDoS атакуют сайт?

Злоумышленники развертывают DDoS-атаки на WordPress, заваливая целевой сайт несколькими запросами. Они направлены на то, чтобы затруднить доступ законных пользователей к сайту.

Заключение — WordPress DDoS

Таким образом, защита вашего веб-сайта WordPress от DDoS-атак имеет важное значение, поскольку атаки на ваш веб-сайт могут негативно повлиять на ваш бизнес.

К счастью, в этом посте мы предоставили несколько шагов, которые вы можете выполнить, чтобы защитить свой сайт WordPress от DDoS-атак.

Если вы не уверены в каком-либо шаге, сообщите нам об этом в разделе комментариев ниже или обратитесь к нашим экспертам за дальнейшими указаниями.