WordPress DDoS Attack – วิธีปกป้องเว็บไซต์ของคุณ

ความแพร่หลายของการโจมตี DDoS ของ WordPress ทำให้ธุรกิจขนาดเล็กจำนวนมากต้องสูญเสียรายได้ซึ่งต้องอาศัยการเข้าชมออนไลน์เพื่อสร้างรายได้

การโจมตี DDoS เป็นภัยคุกคามที่รุนแรงต่อเว็บไซต์ไม่ว่าจะมีขนาดเท่าใดก็ตาม ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องใช้มาตรการรักษาความปลอดภัยที่เหมาะสมทั้งหมดเพื่อปกป้องเว็บไซต์ของคุณ

ในโพสต์นี้ เราจะมาดูกัน ว่าการโจมตี WordPress DDoS สามารถทำร้ายไซต์ของคุณได้อย่างไร จากนั้นเราจะให้คำแนะนำที่เป็นประโยชน์เกี่ยวกับวิธีป้องกันไม่ให้เกิดขึ้น

เนื้อหา:

• การโจมตี DDoS คืออะไร?
• การโจมตี DDoS สามารถส่งผลกระทบต่อเว็บไซต์ WordPress ได้อย่างไร
• เคล็ดลับในการปกป้องเว็บไซต์ WordPress ของคุณจากการโจมตี DDoS
  • 1. เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA)
  • 2. ใช้ไฟร์วอลล์สำหรับเว็บแอปพลิเคชัน (WAF)
  • 3. ใช้ CDN ของ Cloudflare
  • 4. ปิดใช้งาน REST API ใน WordPress
  • 5. ปรับปรุงซอฟต์แวร์และปลั๊กอิน WordPress ของคุณให้ทันสมัยอยู่เสมอ
  • 6. ตรวจสอบการเข้าชมเว็บไซต์ของคุณ
• คำถามที่พบบ่อย
• บทสรุป

การโจมตี DDoS คืออะไร?

การโจมตีแบบ Distributed Denial of Service (DDoS) คือการโจมตีทางไซเบอร์ประเภทหนึ่งที่พยายามครอบงำเว็บไซต์หรือเซิร์ฟเวอร์ด้วยทราฟฟิกที่เป็นอันตรายเพื่อขัดขวางการทำงานตามปกติ การโจมตีเหล่านี้สามารถเกิดขึ้นได้กับทุกเว็บไซต์ รวมถึงเว็บไซต์ที่ใช้ WordPress

การโจมตี DDoS สามารถส่งผลกระทบต่อเว็บไซต์ WordPress ได้อย่างไร

ผลที่ตามมาของการโจมตี DDoS บนเว็บไซต์ WordPress มีความสำคัญ โดยเฉพาะอย่างยิ่งสำหรับเว็บไซต์ธุรกิจขนาดเล็ก เนื่องจากอาจขาดโครงสร้างพื้นฐานในการต่อสู้กับการโจมตีดังกล่าว หากการโจมตี DDoS กำหนดเป้าหมายเว็บไซต์สำเร็จ ผู้ใช้อาจใช้งานเว็บไซต์ไม่ได้ ซึ่งนำไปสู่การหยุดทำงานของเว็บไซต์

ในปี 2559 อินเทอร์เน็ตถูกโจมตีด้วยการโจมตีแบบปฏิเสธการให้บริการที่สำคัญที่สุดรายการหนึ่ง DYN ซึ่งเป็นผู้ให้บริการ DNS ตกเป็นเป้าหมายในการโจมตี ส่งผลกระทบต่อเว็บไซต์ยอดนิยมมากมาย เช่น Netflix, Reddit, PayPal, Visa และอื่นๆ ส่งผลให้ผู้ใช้อินเทอร์เน็ตจำนวนมากในยุโรปและอเมริกาเหนือได้รับผลกระทบ

การโจมตี DDoS ส่งผลกระทบมากมายต่อเจ้าของเว็บไซต์และผู้ใช้อินเทอร์เน็ต ความเสียหายบางประการที่การโจมตี DDoS อาจทำให้เว็บไซต์ของคุณมีดังต่อไปนี้

การหยุดทำงานของเว็บไซต์

ผลที่ตามมาที่สำคัญที่สุดประการหนึ่งของการโจมตี DDoS คือเว็บไซต์เป้าหมายอาจใช้งานไม่ได้สำหรับผู้ใช้ สิ่งนี้อาจทำให้ผู้ใช้หงุดหงิด ซึ่งอาจต้องการความช่วยเหลือในการเข้าถึงเว็บไซต์หรือใช้บริการของเว็บไซต์

การสูญเสียการเข้าชมและรายได้

หากเว็บไซต์ WordPress ไม่สามารถใช้งานได้เนื่องจากการโจมตี DDoS อาจส่งผลให้สูญเสียการรับส่งข้อมูลและรายได้ ตัวอย่างเช่น ระหว่างการโจมตี DYN ในเดือนตุลาคม 2559 Sony รายงานการสูญเสียทั้งหมด 2.7 ล้านเหรียญ นี่เป็นเรื่องใหญ่เมื่อพิจารณาจากการโจมตีเพียงสองชั่วโมง

เสียชื่อเสียง

นอกจากนี้ ผู้ใช้อาจสูญเสียความไว้วางใจในแบรนด์ของคุณหากเว็บไซต์ของคุณตกเป็นเหยื่อของการโจมตี DDoS สิ่งนี้อาจส่งผลต่อชื่อเสียงของเว็บไซต์ของคุณ เนื่องจากเครื่องมือค้นหาอาจขึ้นบัญชีดำเว็บไซต์ของคุณด้วย

ค่าใช้จ่ายในการบรรเทาผลกระทบ

การป้องกันการโจมตี DDoS อาจมีราคาแพงเนื่องจากต้องใช้ทรัพยากรเฉพาะและความเชี่ยวชาญด้านเทคนิค

ข้อมูลสูญหาย

การศึกษาโดย Kaspersky ในปี 2558 พบว่า 26% ของเว็บไซต์ที่ประสบปัญหาจากการโจมตี DDoS ประสบปัญหาข้อมูลสูญหายเช่นกัน การโจมตี DDoS มักจะทำหน้าที่เป็นเกราะป้องกันการโจมตีทางไซเบอร์อื่นๆ เช่น การโจมตีด้วยกำลังดุร้าย

เคล็ดลับในการปกป้องเว็บไซต์ WordPress ของคุณจากการโจมตี DDoS

การโจมตี DDoS กลายเป็นภัยคุกคามร้ายแรงต่อเจ้าของเว็บไซต์ และแม้แต่เว็บไซต์ที่ได้รับทุนสนับสนุนมากที่สุดก็ไม่รอดพ้นจากการโจมตีดังกล่าว ในทางเทคนิคแล้ว ไม่มีเว็บไซต์ใดรอดพ้นจากการโจมตี DDoS อย่างไรก็ตาม คุณสามารถใช้มาตรการเพื่อหยุดและป้องกันการโจมตี DDoS ได้

ต่อไปนี้เป็น เคล็ดลับการป้องกัน DDoS ของ WordPress ที่คุณสามารถนำไปใช้เพื่อปกป้องเว็บไซต์ของคุณได้

1. เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA)

การรับรองความถูกต้องด้วยสองปัจจัย (2FA) เป็นมาตรการรักษาความปลอดภัยที่กำหนดให้ผู้ใช้ตรวจสอบความถูกต้องเพิ่มเติมอีกชั้นหนึ่งก่อนที่จะเข้าถึงเพจที่ละเอียดอ่อน เช่น หน้าผู้ดูแลระบบ WP

สิ่งนี้สามารถช่วยป้องกันการเข้าถึงเว็บไซต์โดยไม่ได้รับอนุญาต การโจมตีด้วยกำลังดุร้าย และการโจมตี DDoS

ตัวอย่างเช่น คุณอาจกำหนดให้ผู้ใช้ระบุรหัสแบบใช้ครั้งเดียวที่ส่งไปยังโทรศัพท์หรืออีเมลก่อนเข้าสู่ระบบเว็บไซต์ของคุณ

คุณสามารถตั้งค่าการรับรองความถูกต้องด้วยสองปัจจัย (2FA) บน WordPress โดยใช้ปลั๊กอิน MiniOrange Google Authenticator

หากต้องการติดตั้ง MiniOrange Authenticator ให้ลงชื่อเข้าใช้แดชบอร์ด WordPress และไปที่Plugins >> Add Newในช่องค้นหา พิมพ์ "MiniOrange Google Authenticator" ปลั๊กอินควรปรากฏในผลการค้นหาดังที่แสดงด้านล่าง

จากนั้นคลิกปุ่มติดตั้งทันที ถัดจากชื่อปลั๊กอินเพื่อติดตั้งปลั๊กอินบนเว็บไซต์ของคุณเมื่อคุณติดตั้งปลั๊กอิน ปุ่มจะเปลี่ยนเป็น 'เปิดใช้งาน' คลิกที่มันเพื่อเปิดใช้งานปลั๊กอิน

การกำหนดค่า MiniOrange Google Authenticator

หลังจากเปิดใช้งานปลั๊กอิน คุณจะต้องเชื่อมต่อกับแอป Google Authenticator บนอุปกรณ์มือถือ สิ่งนี้จำเป็นสำหรับการเปิดใช้งาน 2FA บนไซต์ของคุณให้เสร็จสมบูรณ์

ในการเริ่มต้น ให้คลิกที่ เริ่มกันเลย

จากนั้น เลือกผู้ใช้ที่ควรตั้งค่า 2FA ก่อนหลังจากเข้าสู่ ระบบด้วยวิธีนี้ ผู้ใช้ทั้งหมดจะถูกบังคับให้ตั้งค่า 2FA ก่อนเข้าสู่ระบบ คลิกดำเนินการติดตั้งต่อ เพื่อดำเนินการต่อ

คุณสามารถเปิดใช้งาน 2FA สำหรับผู้ใช้ทั้งหมดหรือเฉพาะบางบทบาทเท่านั้น (เช่น ผู้ดูแลระบบและผู้แก้ไข) สิ่งนี้มีประโยชน์หากคุณต้องการแยกผู้ใช้เช่นผู้เขียน สำหรับบทช่วยสอนนี้ เราจะเปิดใช้งาน 2FA สำหรับผู้ดูแลระบบเท่านั้น

เลือกตัวเลือกเฉพาะสำหรับบทบาทเฉพาะ จากนั้นทำ เครื่องหมายในช่องผู้ดูแลระบบหลังจากนั้น คลิกที่Continue Setup เพื่อดำเนินการต่อ

จากนั้น เลือกว่าจะใช้ 2FA ทันทีหรือให้ระยะเวลาผ่อนผันแก่ผู้ใช้ คลิกเสร็จสิ้นทั้งหมด เพื่อดำเนินการต่อ

ตอนนี้ คุณจะต้องเลือกวิธีการรับรองความถูกต้องที่คุณต้องการกำหนดค่า เลือกตัวเลือกGoogle / Microsoft / Authy Authenticator และคลิกที่ปุ่ม บันทึกและดำเนินการต่อ

จากนั้น เลือกกำหนดค่า 2FA ด้วยตัวคุณเอง เพื่อดำเนินการขั้นตอนต่อไปของกระบวนการกำหนดค่า

เชื่อมต่อ MiniOrnage กับ Google Mobile Authenticator

Google Authenticator เป็นแอปตรวจสอบสิทธิ์ที่แนะนำสำหรับกระบวนการนี้ เนื่องจากเป็นที่นิยมมากที่สุดและพร้อมใช้งานบนอุปกรณ์ Android และ iOS

ขั้นตอนแรกจะดาวน์โหลดแอป Google Authentication จาก Play Store หรือ Apple store

หลังจากติดตั้งแอปแล้ว คุณควรเห็นหน้าเมนูที่มีสองตัวเลือก:สแกนรหัส QR และ ป้อนรหัสการตั้งค่า

เลือกตัวเลือกรหัส QR และสแกนบาร์โค้ด QR ที่แสดงบนเว็บไซต์ของคุณเช่นเดียวกับด้านล่าง

เมื่อเสร็จสิ้นการสแกน ให้ป้อนรหัสหกหลักที่สร้างจากแอปพลิเคชันการตรวจสอบสิทธิ์ลงในฟิลด์ที่กำหนด

ยืนยันการป้อนข้อมูลโดยเลือกตัวเลือกบันทึกและดำเนินการต่อ

แค่นั้นแหละ! คุณเปิดใช้งาน 2FA บนเว็บไซต์ของคุณด้วย MiniOrange Google 2FA สำเร็จแล้ว

ไม่สามารถสแกนรหัส QR ใน MiniOrange?

หากคุณ ไม่สามารถสแกนคิวอาร์โค้ด ที่ให้ไว้ได้ สิ่งที่คุณต้องทำมีดังนี้

ขั้นแรกให้คลิกที่ Can't scan the barcode?การดำเนินการนี้จะสร้างคีย์เพื่อตั้งค่า 2FA ในแอปตรวจสอบสิทธิ์ของ Google

เปิดแอป Google Authenticator บนโทรศัพท์ของคุณแล้วเลือกตัวเลือกEnter a setup keyถัดไป วางคีย์อักขระ 16 ตัวที่สร้างโดย MiniOrange 2FA

ป้อนชื่อแอปและประเภทบัญชี จากนั้นคลิกเพิ่ม จากนั้นจะสร้างรหัส 6 หลักซึ่งคุณสามารถใช้เพื่อทำกระบวนการบน WordPress ให้เสร็จสมบูรณ์ เมื่อเสร็จแล้วให้คลิกที่บันทึกและดำเนินการ ต่อ เพื่อดำเนินการต่อ

ถัดไป คุณจะเห็นข้อความแสดงสถานะการกำหนดค่าของคุณ

ในการทดสอบนี้ ให้ออกจากระบบเว็บไซต์ WordPress ของคุณและลองเข้าสู่ระบบ ในหน้าเข้าสู่ระบบ คุณจะต้องป้อนรหัสผ่านแบบใช้ครั้งเดียว 6 หลักที่สร้างจากแอปการรับรองความถูกต้องบนโทรศัพท์ของคุณทุกครั้งที่คุณพยายามเข้าสู่ระบบ .

2. ใช้ไฟร์วอลล์สำหรับเว็บแอปพลิเคชัน (WAF)

ไฟร์วอลล์สำหรับเว็บแอปพลิเคชัน (WAF) เป็นมาตรการรักษาความปลอดภัยที่สามารถปกป้องเว็บไซต์จากภัยคุกคามต่างๆ รวมถึงการโจมตี DDoS

WAF วิเคราะห์ทราฟฟิกที่เข้ามาและบล็อกคำขอที่เป็นอันตรายก่อนที่จะไปถึงเซิร์ฟเวอร์ของเว็บไซต์ สิ่งนี้สามารถช่วยป้องกันการโจมตี WordPress DDoS จากการครอบงำโครงสร้างพื้นฐานของเว็บไซต์และทำให้ล่มได้

วิธีที่ง่ายที่สุดในการเพิ่ม WAF ในเว็บไซต์ของคุณคือการใช้ปลั๊กอินไฟร์วอลล์ โชคดีที่การรักษาความปลอดภัย WordPress และปลั๊กอินป้องกัน DDoS บางตัว เช่น Wordfence Security มาพร้อมกับการป้องกันไฟร์วอลล์

ด้านล่าง เราจะติดตั้งและเปิดใช้งาน Wordfence บนไซต์ WordPress

การติดตั้งและเปิดใช้งาน Wordfence

หากต้องการติดตั้ง Wordfence ให้ลงชื่อเข้าใช้แดชบอร์ดผู้ดูแลระบบ WordPress จากนั้นไปที่ Plugins >> Add Newค้นหาแถบค้นหาที่มุมขวาบนแล้วพิมพ์ 'Wordfence' เพื่อค้นหาปลั๊กอิน

คลิกปุ่มติดตั้งทันที ถัดจากปลั๊กอิน Wordfence Security เพื่อติดตั้งบนไซต์ของคุณเปิดใช้งานปลั๊กอินเมื่อการติดตั้งเสร็จสิ้น

หลังจากเปิดใช้งาน WordFence คุณจะต้องได้รับรหัสลิขสิทธิ์จึงจะใช้งานได้ คลิกปุ่มรับใบอนุญาต WordFence ของคุณ ในหน้าถัดไปเพื่อเริ่มดำเนินการต่อ

จากนั้น เลือกแผนบริการฟรีเพื่อทดสอบคุณสมบัติ และคลิก'ฉันโอเค รอ 30 วัน ' เพื่อดำเนินการต่อ

คุณสามารถอัปเกรดเป็นแผนชำระเงินได้ในภายหลังหากคุณมีงบประมาณเพียงพอ อย่างไรก็ตาม แผนบริการฟรีมีฟีเจอร์ที่จำเป็นทั้งหมดที่จำเป็นสำหรับการปกป้องเว็บไซต์ของคุณ

จากนั้น ป้อนที่อยู่อีเมลของคุณ ยอมรับข้อกำหนดและเงื่อนไข แล้วคลิก ลงทะเบียน

คุณควรได้รับอีเมลเปิดใช้งานจาก Wordfence เปิดอีเมลของคุณและคลิกที่ลิงค์เปิดใช้งาน

หลังจากนั้น ระบบจะนำคุณไปยังแดชบอร์ด WordPress ของคุณ ที่นี่ คุณจะต้องคลิกปุ่มติดตั้งใบอนุญาต เพื่อเปิดใช้งานไซต์ของคุณด้วยเหตุนี้ คุณจึงมี Wordfence ที่ทำงานอย่างแข็งขันบนเว็บไซต์ของคุณ

หากต้องการตรวจสอบว่า WAF เปิดใช้งานและใช้งานได้หรือไม่ ให้ค้นหาWordfence จากแดชบอร์ด WordPress ของคุณและคลิกที่ลิงก์ Manage Firewall

คุณควรเห็นส่วนในหน้าจอถัดไปที่แสดงสถานะของ WAF หากสถานะ WAF ทำงานอยู่และตัวเลขเปอร์เซ็นต์แสดงขึ้น แสดงว่า WAF เปิดใช้งานและใช้งานได้

การติดตั้งปลั๊กอิน Wordfence บนเว็บไซต์ของคุณจะให้ประโยชน์ดังต่อไปนี้:

• การป้องกันการฉีด SQL
• จำกัด การโจมตีเดรัจฉาน
• การป้องกันการเขียนสคริปต์ข้ามไซต์

3. ใช้ CDN ของ Cloudflare

Cloudflare เป็นผู้ให้บริการ CDN ยอดนิยมที่ปรับปรุงประสิทธิภาพเว็บไซต์ของคุณและปกป้องคุณจากการโจมตีทางไซเบอร์ เช่น การโจมตี DDoS

Cloudflare สามารถระงับการโจมตี DDoS ขนาดใหญ่และกรองแหล่งที่มาของการรับส่งข้อมูลเพื่อตรวจสอบว่าคำขอเฉพาะนั้นมาจากผู้โจมตีหรือไม่

ด้านล่างนี้ เราจะแนะนำคุณผ่านขั้นตอนที่จำเป็นในการเปิดใช้งานบริการของ Cloudfare บนเว็บไซต์ของคุณ

รับบัญชี Cloudflare

ตามข้อกำหนดเบื้องต้น ตรวจสอบให้แน่ใจว่าคุณมีสิทธิ์เข้าถึงแดชบอร์ดผู้ดูแลระบบของผู้รับจดทะเบียนโดเมนของคุณ คุณจะต้องอนุญาตให้ Cloudflare เข้าถึงการตั้งค่า DNS ของคุณ

ขั้นตอนแรกคือการสร้างบัญชี Cloudflare โดยไปที่หน้าลงทะเบียน Cloudflare จากนั้น ป้อนอีเมลของคุณ เลือกรหัสผ่าน แล้วคลิกสร้างบัญชี

การเพิ่มเว็บไซต์ของคุณไปยัง Cloudflare

บัญชี Cloudflare ของคุณพร้อมแล้ว อย่างไรก็ตาม คุณต้องดำเนินการตั้งค่าให้เสร็จสิ้นโดยการเพิ่มไซต์ของคุณ หลังจากลงชื่อเข้าใช้บัญชีของคุณแล้ว ให้คลิกปุ่มเพิ่มไซต์ เพื่อเพิ่มเว็บไซต์ของคุณ

ป้อนชื่อโดเมนของคุณ (เช่น example.com) แล้วคลิกเพิ่มไซต์ เพื่อดำเนินการต่อ

จากนั้น เลือกแผน Cloudflare ที่เหมาะสม ขึ้นอยู่กับคุณสมบัติที่คุณต้องการ อย่างไรก็ตาม แผนบริการฟรีก็เพียงพอแล้วที่จะให้ความคุ้มครองขั้นพื้นฐานที่คุณต้องการ เลือกแผนบริการฟรีและคลิกดำเนินการต่อ เพื่อดำเนินการต่อ

ในหน้าถัดไป คุณจะเห็นรายการบันทึกที่มีอยู่ คุณสามารถตรวจสอบเพื่อให้แน่ใจว่าถูกต้อง

หมายเหตุ : ไม่แนะนำให้ทำการเปลี่ยนแปลงระเบียน DNS ของคุณในขั้นตอนนี้

หากคุณได้ตรวจสอบบันทึกและพอใจแล้ว ให้คลิก ดำเนินการต่อ เพื่อดำเนินการต่อ

ขั้นตอนต่อไปคือการชี้เซิร์ฟเวอร์ชื่อโดเมนของคุณไปที่ Cloudflare นี่เป็นสิ่งสำคัญในการทำให้กระบวนการเปิดใช้งานเสร็จสมบูรณ์ และเพื่อให้ Cloudflare ปกป้องไซต์ของคุณ

คุณจะต้องแทนที่เนมเซิร์ฟเวอร์ที่มีอยู่ในผู้รับจดทะเบียนโดเมนของคุณ

จากนั้น ให้คัดลอกเนมเซิร์ฟเวอร์ใหม่ที่ Cloudflare จัดหาให้เพื่อแทนที่เนมเซิร์ฟเวอร์ที่คุณลบออกจากโฮสต์ของโดเมน

ขั้นตอนในการเปลี่ยนเนมเซิร์ฟเวอร์นั้นแตกต่างกันไปในแต่ละบริษัทโฮสติ้ง โปรดติดต่อผู้ให้บริการเว็บโฮสติ้งของคุณ หากคุณไม่แน่ใจว่าจะค้นหาการตั้งค่าเนมเซิร์ฟเวอร์ได้อย่างไร อย่างไรก็ตาม เราจะแสดงวิธีทำใน Namecheap

การอัปเดตเนมเซิร์ฟเวอร์ Namecheap

ขั้นแรก เข้าสู่ระบบบัญชีของคุณและคลิกที่รายการโดเมน

ในหน้าโดเมน ให้ค้นหาโดเมนที่คุณต้องการแก้ไขแล้วคลิกจัดการ

ถัดไป คลิกที่ดร็อปดาวน์Nameservers และเลือก Custom DNS

ในช่องป้อนข้อมูล ให้ป้อนเนมเซิร์ฟเวอร์สองตัวที่ Cloudflare จัดเตรียมไว้ให้ แล้วคลิกเครื่องหมายถูกเพื่อบันทึกการเปลี่ยนแปลงของคุณ

ตอนนี้คุณสามารถกลับไปที่ Cloudflare เพื่อยืนยันการเปลี่ยนแปลงเนมเซิร์ฟเวอร์ได้โดยคลิกเสร็จสิ้น ตรวจสอบเนมเซิร์ฟเวอร์

หมายเหตุด้านข้าง: การเปลี่ยนเนมเซิร์ฟเวอร์ของคุณอาจใช้เวลาถึง 48 ชั่วโมงในการเผยแพร่

การป้องกัน DDoS ของ Cloudflare

Cloudflare จะเปิดใช้งานการป้องกัน DDoS บนไซต์ของคุณโดยอัตโนมัติหลังจากเพิ่มเว็บไซต์ของคุณใน Cloudflare

อย่างไรก็ตาม ขอแนะนำให้ดำเนินมาตรการเพิ่มเติมเพื่อปกป้องไซต์ของคุณ ขึ้นอยู่กับความเสี่ยงที่เว็บไซต์ของคุณเผชิญ มีการตั้งค่าเพิ่มเติมบางอย่างที่คุณสามารถนำไปใช้เพื่อปกป้องไซต์ของคุณเพิ่มเติมได้

ให้เราแสดงการตั้งค่าที่จำเป็น 2 อย่างให้คุณนำไปใช้เพื่อปกป้องเว็บไซต์ของคุณจาก DDoS

สร้างการแทนที่ DDos แบบกำหนดเอง

คุณสามารถปรับแต่งลักษณะการทำงานของการป้องกัน DDoS เริ่มต้นของ Cloudflare ได้โดยการปรับใช้การแทนที่ DDoS แบบกำหนดเอง

หากต้องการใช้ตัวเลือกนี้ ให้เข้าสู่ระบบบัญชี Cloudflare ของคุณ จากนั้นเลือกเว็บไซต์ของคุณเพื่อย้ายไปยังโซน

จากนั้นไปที่Security >> DDoS ที่เมนูด้านซ้ายคลิกที่Deploy a DDoS overrideเพื่อดำเนินการต่อ

ในหน้าถัดไป ให้เพิ่มชื่อสำหรับการแทนที่ของคุณ หลังจากนั้น เปลี่ยนการดำเนินการชุดกฎเป็นManaged Challenge และตั้งค่าความไวเป็น ต่ำหรือปานกลางขึ้นอยู่กับความเสี่ยงที่คุณเผชิญ หลังจากนั้น เลื่อนลงมาและคลิกที่บันทึก

การใช้กลยุทธ์นี้จะช่วยกรองการรับส่งข้อมูลที่เป็นอันตรายออกจากแหล่งที่มาของ DDoS มันใช้ชุดของความท้าทายที่ได้รับการจัดการซึ่งนำเสนอต่อผู้ใช้โดย Cloudflare

เปิดใช้งานโหมดต่อสู้บอท

อีกวิธีหนึ่งที่คุณสามารถทำได้เพื่อป้องกันไซต์ของคุณจาก DDoS คือการเปิดใช้งานโหมดการต่อสู้ของบอท โหมดต่อสู้กับบอทช่วยตรวจจับและบล็อกการรับส่งข้อมูลของบอทที่รู้จักไม่ให้เข้าถึงไซต์ของคุณ

หากต้องการเปิดใช้งานโหมดต่อสู้บอท ให้ไปที่ความปลอดภัย >> บอท และสลับตัวเลือกโหมดต่อสู้บอทไปที่ตำแหน่ง เปิด

Cloudflare มอบเครื่องมือทั้งหมดที่คุณต้องการเพื่อปกป้องเว็บไซต์ของคุณจาก DDoS เคล็ดลับข้างต้นควรปกป้องไซต์ของคุณจากการโจมตี DDoS ส่วนใหญ่หากคุณปฏิบัติตามอย่างถูกต้อง

4. ปิดใช้งาน REST API ใน WordPress

WordPress REST API เป็นคุณสมบัติของ WordPress ที่ช่วยให้นักพัฒนาสามารถเข้าถึงและจัดการข้อมูล WordPress โดยใช้คำขอ HTTP บางครั้ง REST API สามารถใช้เป็นเวกเตอร์สำหรับการโจมตี DDoS

คุณสามารถปิดใช้งาน WP REST API ได้หลายวิธีใน WordPress อย่างไรก็ตาม วิธีที่ง่ายที่สุดคือการใช้ข้อมูลโค้ดจากปลั๊กอิน WPCode

คุณจะต้องติดตั้งและเปิดใช้งานปลั๊กอินบนเว็บไซต์ WordPress ของคุณ

หลังจากเปิดใช้งานปลั๊กอินแล้ว ให้ไปที่Code Snippets >> + Add Snippet

ในหน้าถัดไป พิมพ์ 'rest api' ในช่องค้นหา ปิดใช้งาน Rest API ควรปรากฏในผลการค้นหา

จากนั้นคลิกที่Use Snippet เพื่อดำเนินการขั้นตอนต่อไป

สุดท้าย สลับปุ่ม 'ไม่ใช้งาน' เป็น 'ใช้งาน' เพื่อเปิดใช้งานรหัส เมื่อเสร็จแล้ว ให้คลิกอัปเดต เพื่อบันทึกการเปลี่ยนแปลงของคุณ

ขณะนี้ REST API ถูกปิดใช้งานบนเว็บไซต์ของคุณ เนื่องจาก API เป็นจุดอ่อนบนไซต์ WordPress ของคุณที่ผู้โจมตีสามารถใช้ประโยชน์ได้ การปิดใช้งาน REST API ช่วยปกป้องคุณจากการโจมตี DDoS ที่ใช้ประโยชน์จากจุดอ่อนของ API เหล่านี้

5. อัปเดตซอฟต์แวร์และปลั๊กอิน WordPress ของคุณให้ทันสมัยอยู่เสมอ

การอัปเดตธีมและปลั๊กอิน WordPress เป็นอีกวิธีหนึ่งในการปกป้องเว็บไซต์ของคุณจากการโจมตี DDoS และปรับปรุงความปลอดภัยของเว็บไซต์ การอัปเดตซอฟต์แวร์และปลั๊กอินช่วยให้มั่นใจว่าเว็บไซต์ใช้ซอฟต์แวร์เวอร์ชันที่ปลอดภัยที่สุด

ใน WordPress การอัปเดตส่วนใหญ่จะมีการแก้ไขช่องโหว่ที่ผู้โจมตี DDoS สามารถใช้ประโยชน์ได้

หากต้องการอัปเดตปลั๊กอิน WordPress ให้เข้าสู่ระบบ WordPress และไปที่Dashboard >> Updates

ในหน้าอัปเดต คุณจะเห็นปลั๊กอินทั้งหมดที่ต้องอัปเดตบนไซต์ของคุณ ทำเครื่องหมายใน ช่องเลือกทั้งหมด เพื่อทำเครื่องหมายปลั๊กอินทั้งหมดจากนั้นเลื่อนลงมาและคลิกที่Update Plugins

ตรวจสอบและอัปเดตธีม WordPress ของคุณด้วย

ในขณะนั้น ตรวจสอบให้แน่ใจว่าคุณใช้ WordPress เวอร์ชันล่าสุด

6. ตรวจสอบปริมาณการเข้าชมเว็บไซต์ของคุณและเฝ้าดูการเพิ่มขึ้นอย่างผิดปกติ

ในฐานะเจ้าของเว็บไซต์ คุณควรดำเนินการทันทีเพื่อป้องกันการโจมตีและกู้คืนการทำงานตามปกติ หากคุณสงสัยว่ามีการโจมตี

ซึ่งอาจรวมถึงการขอความช่วยเหลือจากผู้เชี่ยวชาญด้านความปลอดภัยหรือการใช้มาตรการรักษาความปลอดภัยเพิ่มเติม ตัวอย่างเช่น คุณสามารถใช้ปลั๊กอินความปลอดภัย เช่น Wordfence เพื่อตรวจสอบการรับส่งข้อมูลของคุณสำหรับกิจกรรมที่ผิดปกติ

หากคุณใช้เคล็ดลับที่สองในบทช่วยสอนนี้ คุณควรติดตั้งปลั๊กอิน Wordfence Security บนเว็บไซต์ของคุณ

หากต้องการเข้าถึงคุณลักษณะการจัดการจราจร ให้คลิกที่เมนูด้านข้างของ Wordfenceจากนั้นคลิกที่Manage Firewall เพื่อดำเนินการต่อ

หลังจากนั้น ให้เลื่อนลงไปที่ปุ่มเพื่อค้นหาส่วน 'การจำกัดอัตรา'

ถัดไป เปิดใช้ฟีเจอร์การบล็อกขั้นสูงที่จำกัดอัตราเพื่อเปิดใช้งาน

ในหน้าการกำหนดค่าการจำกัดอัตรา คุณสามารถเปิดใช้งานวิธีการควบคุมการรับส่งข้อมูลต่างๆ เพื่อช่วยรักษาความปลอดภัยไซต์ WordPress ของคุณจากการรับส่งข้อมูลที่ไม่ต้องการ และลดภาระทรัพยากรของเซิร์ฟเวอร์

ตัวอย่างเช่น คุณสามารถกำหนดขีดจำกัดคำขอ โดยกำหนดจำนวนคำขอที่ผู้ใช้แต่ละคนสามารถทำได้

คุณลักษณะการจำกัดอัตราของ Wordfence ช่วยให้คุณควบคุมโปรแกรมรวบรวมข้อมูลและการดูหน้าเว็บของมนุษย์ คุณยังสามารถใช้มันเพื่อจำกัดปริมาณการเข้าชมที่ผิดปกติบนไซต์ WordPress แม้ว่า Wordfence สามารถปรับแต่งเพิ่มเติมเพื่อเพิ่มความปลอดภัยของ WordPress คุณควรหลีกเลี่ยงการบล็อกทราฟฟิกที่ถูกกฎหมาย

WordPress DDoS Attack (คำถามที่พบบ่อย)

ด้านล่างนี้ เราได้ตอบคำถามยอดนิยมที่ผู้ใช้ถามเกี่ยวกับการปกป้องไซต์ WordPress จากการโจมตี DDoS

WordPress มีการป้องกัน DDoS หรือไม่

WordPress ไม่มีการป้องกัน DDoS เป็นค่าเริ่มต้น อย่างไรก็ตาม คุณสามารถใช้มาตรการบางอย่างเพื่อปกป้องไซต์ WordPress ของคุณจากการโจมตี DDoS ซึ่งอาจรวมถึง: การใช้บริการของบุคคลที่สาม เช่น Cloudflare หรือการติดตั้งปลั๊กอินความปลอดภัย เช่น Wordfence

ผู้โจมตี DDoS โจมตีเว็บไซต์ได้อย่างไร

ผู้โจมตีใช้การโจมตี DDoS บน WordPress โดยส่ง คำขอหลายรายการไปยังไซต์ เป้าหมาย เป้าหมายเหล่านี้เพื่อทำให้ผู้ใช้ที่ถูกต้องตามกฎหมายเข้าถึงไซต์ได้ยากขึ้น

สรุป – WordPress DDoS

โดยสรุป การปกป้องเว็บไซต์ WordPress ของคุณจากผู้โจมตี DDoS เป็นสิ่งสำคัญ เนื่องจากการโจมตีเว็บไซต์ของคุณอาจส่งผลเสียต่อธุรกิจของคุณ

โชคดีที่เราได้ให้ขั้นตอนบางอย่างในโพสต์นี้ซึ่งคุณสามารถปฏิบัติตามได้เพื่อรักษาความปลอดภัยให้ไซต์ WordPress ของคุณจากการโจมตี DDoS

หากคุณสับสนเกี่ยวกับขั้นตอนใดๆ โปรดแจ้งให้เราทราบในส่วนความคิดเห็นด้านล่าง หรือติดต่อผู้เชี่ยวชาญของเราเพื่อขอคำแนะนำเพิ่มเติม