6 ขั้นตอนแผนป้องกัน DDoS ของ WordPress เพื่อป้องกันการโจมตี

เผยแพร่แล้ว: 2020-02-20

มุสตาฟิซ / stock.adobe.com

โดยปกติแล้ว การเข้าชมเว็บที่เพิ่มขึ้นเป็นผลที่น่าพอใจสำหรับแบรนด์ของคุณ อย่างไรก็ตาม คุณอาจไม่คาดคิดว่าเว็บไซต์ของคุณจะถูก คำขอจำนวนมากหลั่งไหลเข้ามาพร้อมกันอย่าง กะทันหัน ส่งผลให้ไซต์ขัดข้อง น่าเสียดายที่นี่คือสิ่งที่เกิดขึ้นระหว่าง การโจมตีแบบ Distributed Denial of Service หรือ 'DDoS' บนไซต์ WordPress

ป้องกันการโจมตี DDoS บนเว็บไซต์ WordPress

โชคดีที่ เช่นเดียวกับภัยคุกคามความปลอดภัยทางไซเบอร์ส่วนใหญ่ มีขั้นตอนที่คุณสามารถทำได้เพื่อลดโอกาสของการโจมตี DDoS บนไซต์ WordPress ของคุณ การใช้แผนการป้องกันสามารถช่วยหยุดและป้องกันอาชญากรทางอินเทอร์เน็ตไม่ให้ทำลายธุรกิจออนไลน์ของคุณได้

ในโพสต์นี้ เราจะอธิบายว่าการโจมตี DDoS คืออะไรและทำงานอย่างไร จากนั้น เราจะจัดเตรียม แผนป้องกัน WordPress DDoS หกขั้นตอน ให้คุณ ซึ่งคุณสามารถใช้เพื่อช่วยป้องกันการโจมตีไซต์ของคุณได้ มาเริ่มกันเลย!

ในบทความนี้

การโจมตี DDoS คืออะไร?
ความสำคัญของการสร้างแผนป้องกัน WordPress DDoS
วิธีป้องกันการโจมตี DDoS บนเว็บไซต์ WordPress ของคุณ (เคล็ดลับสำคัญ 6 ประการ)
ห่อ

ทีมงานของเราที่ WP Buffs ร่วมมือกับเจ้าของไซต์ เอเจนซี่ และฟรีแลนซ์เพื่อตรวจสอบและล็อคไซต์ WordPress ตลอด 24 ชั่วโมงทุกวัน ไม่ว่าคุณจะต้องการรักษาความปลอดภัยเว็บไซต์เดียวหรือเว็บไซต์ลูกค้า 1,000 แห่ง เราพร้อมให้ความช่วยเหลือ

การโจมตี DDoS คืออะไร?

การโจมตี DDoS หมายถึงปัญหาด้านความปลอดภัยที่ไซต์ เต็มไปด้วยคำขอปลอม ในช่วงเวลาสั้นๆ ซึ่งโดยปกติจะเกิดจากการใช้บอท การเข้าชมดังกล่าวมาจากหลายแหล่ง และมีจุดประสงค์เพื่อให้เว็บไซต์เป้าหมายล้นหลามและ ทำให้เว็บไซต์ล่ม

คำขอหลายพันรายการสามารถเกิดขึ้นได้ภายในพริบตา พิจารณาการโจมตี DDoS บน Imperva ในปี 2019 ซึ่งในระหว่างนั้นเครือข่ายถูกโจมตีด้วย แพ็กเก็ต 580 ล้านต่อวินาที (PPS)

การจราจรปลอมที่พุ่งสูงขึ้นอย่างกะทันหันโดยไม่คาดคิด และทำให้ไซต์เป็นอัมพาต ทำให้ ใช้งานไม่ได้และมีช่องโหว่ การโจมตีเหล่านี้สามารถกำหนดเป้าหมายไปที่เว็บไซต์แต่ละแห่งหรือทั้งเครือข่ายได้

ประเภทของการโจมตี DDoS ที่พบบ่อยที่สุดแบ่งออกเป็นสามประเภท:

ตามปริมาณ: ขึ้นอยู่กับการจำลองปริมาณการรับส่งข้อมูลขนาดใหญ่
โปรโตคอล: ใช้ประโยชน์จากทรัพยากรเซิร์ฟเวอร์เพื่อทำให้ไซต์หรือเครือข่ายเป้าหมายเสียหาย
แอปพลิเคชัน: การโจมตีที่ซับซ้อนยิ่งขึ้นซึ่งกำหนดเป้าหมายไปที่แอปพลิเคชันเว็บ

มีวิธีการและแรงจูงใจที่แตกต่างกันในการดำเนินการโจมตีประเภทนี้ แฮกเกอร์สามารถโจมตี DDoS เพื่อเพิ่มช่องโหว่ให้กับเว็บไซต์ WordPress ของคุณได้ อาจเป็นสิ่งรบกวนสมาธิที่มีประสิทธิภาพซึ่งทำให้ ง่ายต่อการแทรกซึมเข้าไปในเว็บไซต์ของคุณ โดยไม่ถูกตรวจพบ

อย่างไรก็ตาม ส่วนใหญ่แล้ว จุดประสงค์หลักคือเพื่อ ทำลายไซต์เป้าหมาย เป็นหลัก ตัวอย่างเช่น บางคนอาจทำการโจมตี DDoS กับ คู่แข่ง แม้ว่านี่จะเป็นมาตรการที่เป็นอันตรายและรุนแรง แต่ก็ไม่เคยเกิดขึ้นมาก่อน โดยเฉพาะอย่างยิ่งเมื่อคุณพิจารณาถึงผลกระทบด้านลบที่การหยุดทำงานอาจมีต่อธุรกิจ

ความสำคัญของการสร้างแผนป้องกัน WordPress DDoS

ผลกระทบของการโจมตี DDoS สามารถทำลายล้างธุรกิจของคุณได้ ความเสียหายจำนวนมากที่ตามมาเป็นผลมาจาก การหยุดทำงานเป็นเวลานานและไม่คาดคิด

หากไซต์ของคุณไม่สามารถใช้งานได้เป็นระยะเวลานาน คุณอาจสูญเสียธุรกิจไปบางส่วน ลูกค้าจะไม่สามารถเข้าถึงไซต์ของคุณได้ และอาจเห็น ข้อผิดพลาดเกตเวย์ที่ไม่ถูกต้อง 502 ซึ่งหมายความว่าคุณกำลังพลาดการขายอีคอมเมิร์ซหรือ Conversion โอกาสในการขายอื่นๆ

การไม่พร้อมใช้งานที่ขยายออกไปอาจส่ง ผลต่อการจัดอันดับ Search Engine Optimization (SEO) ของคุณ ด้วยการมองเห็นที่ลดลง คุณจะต้องทำงานมากขึ้นเพื่อดึงดูดลูกค้าเป้าหมายในขณะที่คุณสร้างความน่าเชื่อถือของเว็บไซต์ของคุณใหม่

นอกจากนี้ การโจมตี DDoS ยังอาจทำให้เกิด ปัญหาเกี่ยวกับโฮสติ้ง อีกด้วย โดยเฉพาะอย่างยิ่งหากคุณใช้แผนที่ใช้ร่วมกัน เนื่องจากการละเมิดความปลอดภัยประเภทนี้อาจส่งผลกระทบไม่เพียงแต่เว็บไซต์ของคุณเท่านั้น แต่ยังส่งผลกระทบอื่นๆ บนเซิร์ฟเวอร์ของคุณด้วย

นอกจากนี้ ดังที่เราได้กล่าวไว้ก่อนหน้านี้ เหตุการณ์ DDoS สามารถ เพิ่มช่องโหว่ของไซต์ของคุณต่อการโจมตีประเภทอื่น ๆ ได้ ในขณะที่คุณเสียสมาธิในการพยายามทำให้ไซต์ของคุณกลับมาออนไลน์ ความสนใจของคุณจะถูกเบี่ยงเบนไปจาก ระบบรักษาความปลอดภัย ของคุณ นี่อาจทำให้แฮกเกอร์แทรกซึมได้ง่ายขึ้นโดยที่คุณไม่สังเกตเห็น

การฟื้นตัวจากการโจมตีอาจต้องใช้ เงินและเวลา เป็นจำนวนมาก แม้ว่าคุณจะไม่สามารถป้องกันไม่ให้ใครก็ตามทำการโจมตี DDoS บนไซต์ WordPress ของคุณได้ แต่คุณสามารถดำเนินการเพื่อ ลดความเสียหาย ที่จะเกิดขึ้นหากคุณตกเป็นเหยื่อของการโจมตีดังกล่าว

[bctt tweet=” การสร้างแผนการป้องกัน WordPress DDoS ที่แข็งแกร่งจะช่วยปกป้องทรัพย์สินทางธุรกิจที่สำคัญของคุณ #WordPress” ชื่อผู้ใช้=”thewpbuffs”]

วิธีป้องกันการโจมตี DDoS บนเว็บไซต์ WordPress ของคุณ (เคล็ดลับสำคัญ 6 ประการ)

มีหลายวิธีที่คุณสามารถใช้เพื่อ ปกป้องไซต์ WordPress ของคุณ เช่น การใช้ปลั๊กอินความปลอดภัยและการปิดใช้งานคุณลักษณะบางอย่าง ด้วยแผนการป้องกันที่เหมาะสม คุณสามารถปรับปรุง ความสามารถในการฟื้นตัว จากการโจมตี DDoS ได้ ในส่วนนี้ เราจะดู เคล็ดลับหกประการ ในการป้องกัน

ปิดการใช้งาน XMLR RPC และ REST API ใน WordPress
ติดตั้งไฟร์วอลล์แอปพลิเคชันเว็บ (WAF) บนไซต์ของคุณ
เลือกผู้ให้บริการโฮสติ้งที่ปลอดภัย
ใช้เครือข่ายการจัดส่งเนื้อหา (CDN)
ดาวน์โหลดปลั๊กอินป้องกัน DDoS ของ WordPress
ทำให้การบำรุงรักษาและการตรวจสอบ WordPress เป็นเรื่องสำคัญ

1. ปิดการใช้งาน XML RPC และ REST API ใน WordPress

นับตั้งแต่เปิดตัว WordPress เวอร์ชัน 3.5 คุณมีตัวเลือกในการ เปิดใช้งาน XML-RPC ตามค่าเริ่มต้น คุณสมบัตินี้มีประโยชน์สำหรับ Pingback และ Trackback

อย่างไรก็ตาม ไม่จำเป็นสำหรับไซต์ส่วนใหญ่ จำเป็นจริงๆ เฉพาะในกรณีที่คุณ ใช้แอปบนอุปกรณ์เคลื่อนที่ ในการจัดการไซต์ WordPress ของคุณ

XML-RPC นั้นง่ายต่อการประนีประนอม ซึ่งหมายความว่าจะเปิดเผยช่องโหว่ที่ แฮกเกอร์สามารถหาประโยชน์ได้ ระหว่างการโจมตี DDoS ดังนั้นเราจึงแนะนำให้ปิดการใช้งาน

คุณสามารถทำได้โดยแก้ไขไฟล์ .htaccess ของคุณ เปิดผ่าน ตัวจัดการไฟล์บัญชีโฮสติ้ง ของคุณ หรือใช้ File Transfer Protocol (FTP) และไคลเอนต์ FTP เช่น FileZilla จากนั้นวางข้อมูลโค้ดต่อไปนี้:

 # บล็อกคำขอ WordPress xmlrpc.php

คำสั่งปฏิเสธอนุญาต
ปฏิเสธจากทั้งหมด

ในทำนองเดียวกัน การปิดการใช้งาน REST API ใน WordPress ก็ฉลาดเช่นกัน นี่เป็นอีกช่องทางหนึ่งที่ให้แอปของบุคคลที่สาม (และอาชญากรไซเบอร์) เข้าถึงไซต์ WordPress ของคุณ

วิธีที่ง่ายที่สุดในการปิดการใช้งาน WordPress API บนไซต์ของคุณคือการใช้ WP Hide & Security Enhancer

ปลั๊กอินนี้ใช้งานได้ฟรีและ ไม่จำเป็นต้องกำหนดค่า ใด ๆ หลังจากที่คุณติดตั้งและเปิดใช้งานแล้ว คุณสามารถปิดการใช้งาน REST API ได้โดยไปที่ WP Hide > JSON API :

คุณยังสามารถใช้ปลั๊กอินนี้เพื่อ ปิดการใช้งานฟังก์ชัน XML-RPC ตัวเลือกนั้นจะอยู่ในแท็บ XML-RPC

2. ติดตั้ง WAF บนเว็บไซต์ของคุณ

มีโอกาสเกิดขึ้นหากคุณใช้ WordPress มาระยะหนึ่งแล้ว คุณคงรู้ว่า WAF คืออะไร พูดง่ายๆ ก็คือเป็นซอฟต์แวร์รักษาความปลอดภัยประเภทหนึ่งที่ เพิ่มชั้นการป้องกัน ระหว่างไซต์ของคุณกับการรับส่งข้อมูลที่เป็นอันตราย สามารถช่วยป้องกันการโจมตี DDoS โดยการจำกัดการเข้าถึงของผู้ใช้และ กรองบอทออก

แม้ว่าจะมี WAF ต่างๆ มากมายให้เลือกเพื่อช่วย ปกป้องไซต์ WordPress ของคุณ แต่เราขอแนะนำให้ใช้ Sucuri

WAF และระบบป้องกันการบุกรุก (IPS) ของ Sucuri ช่วยปกป้องไซต์จากการโจมตีแบบดุร้าย มัลแวร์ และอื่นๆ นอกจากนี้ยังสามารถ ตรวจจับการรับส่งข้อมูลที่เป็นอันตราย และ บล็อกการโจมตี DDoS ได้หลายประเภท

Suruci เสนอแผนหลากหลายให้เลือก นอกจากนี้ยังมี 'ความช่วยเหลือทันที' สำหรับไซต์ที่กำลังถูกโจมตี

3. เลือกผู้ให้บริการโฮสติ้งที่ปลอดภัย

ความสำคัญของโฮสติ้งคุณภาพสำหรับไซต์ WordPress ของคุณไม่สามารถกล่าวเกินจริงได้ เซิร์ฟเวอร์ของคุณมีอิทธิพลต่อความเร็ว และประสิทธิภาพของไซต์ของคุณ อย่างไรก็ตาม มันยังมีบทบาทสำคัญในการรักษาความปลอดภัยและส่งผลต่อความสามารถของคุณในการป้องกันและกู้คืนจากการโจมตี DDoS

[bctt tweet=” ผู้ให้บริการโฮสติ้งที่คุณเลือกอาจทำให้คุณเสี่ยงต่อการโจมตี DDoS #WordPress” ชื่อผู้ใช้=”thewpbuffs”]

ข้อกังวลใหญ่ประการหนึ่งที่ผู้คนมักมีเมื่อเลือกโฮสต์เว็บคือค่าใช้จ่าย อย่างไรก็ตาม เมื่อพูดถึงการปกป้องไซต์ของคุณ การลงทุนในโฮสติ้งที่มีคุณภาพนั้นเป็นสิ่งที่ประเมินค่าไม่ได้ นี่เป็นเรื่องจริงโดยเฉพาะอย่างยิ่งเมื่อคุณพิจารณาว่า การเลือกแผนราคาถูก อาจทำให้ทรัพย์สินทางธุรกิจที่สำคัญของคุณต้องเสียค่าใช้จ่าย

เมื่อพิจารณาถึงผลกระทบที่เป็นอันตรายจากการโจมตี DDoS ที่มีต่อประสิทธิภาพและเวลาทำงานของไซต์ของคุณ การเลือกผู้ให้บริการโฮสติ้งและวางแผนที่จะตรวจจับและจัดการกับ ปริมาณการรับส่งข้อมูลที่ท่วมท้น จึงเป็นสิ่งสำคัญ ผู้ให้บริการบางราย เช่น Kinsta* และ WP Engine* มาพร้อมกับคุณสมบัติในตัว เช่น ไฟร์วอลล์ฮาร์ดแวร์และการรวม CDN

หวังว่าคุณจะใช้งาน ผู้ให้บริการโฮสติ้งระดับพรีเมียมและเชื่อถือได้ อยู่แล้ว หากไม่เป็นเช่นนั้น เราขอแนะนำให้เปลี่ยนไปใช้ผู้ให้บริการโฮสติ้ง WordPress ที่มีการจัดการเต็มรูปแบบซึ่งให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก นี่รวมถึงการมองหาแผนที่มีฟีเจอร์ต่างๆ เช่น บริการ CDN ฟรี การตรวจสอบและการสนับสนุนตลอด 24 ชั่วโมงทุกวัน และการสแกนมัลแวร์

4. ใช้ CDN

CDN มีเซิร์ฟเวอร์เครือข่ายเพิ่มเติมที่ช่วยสนับสนุนไซต์ WordPress ของคุณโดย การจัดการภาระงานเซิร์ฟเวอร์จำนวนมาก แม้ว่าโดยทั่วไปจะมีการอ้างอิงเกี่ยวกับการเพิ่มประสิทธิภาพการทำงาน แต่เครื่องมือนี้ยังมีประโยชน์ด้านความปลอดภัยอีกด้วย

โดยพื้นฐานแล้ว CDN สามารถช่วยป้องกันการโจมตี DDoS ได้ โดยทำให้การครอบงำเซิร์ฟเวอร์ของคุณยากขึ้นมาก นอกจากนี้ยังสามารถช่วยตรวจจับรูปแบบการรับส่งข้อมูลที่ผิดปกติ และในบางกรณี ยังทำหน้าที่เป็นพร็อกซีย้อนกลับได้

มีผู้ให้บริการ CDN มากมาย อย่างไรก็ตาม เราแนะนำให้ไปกับหนึ่งในบริษัทยักษ์ใหญ่ในตลาด เช่น Cloudfare

Cloudfare ใช้วิธีการรักษาความปลอดภัยแบบหลายชั้นที่สามารถช่วยในเรื่อง การป้องกันและการบรรเทาผลกระทบจาก DDoS แม้ว่าจะมีแผนพรีเมียมให้เลือกมากมาย แต่คุณสามารถใช้ Global CDN ได้ฟรี ข้อดีอีกประการหนึ่งคือคุณสามารถ รวมเข้ากับเว็บไซต์ของคุณได้อย่างง่ายดาย ผ่านปลั๊กอิน WordPress ที่เกี่ยวข้อง

5. ดาวน์โหลดปลั๊กอินป้องกัน DDoS ของ WordPress

ปลั๊กอินความปลอดภัยช่วยให้คุณประหยัดเวลาและพลังงานได้มากโดยปรับปรุงงานที่ยุ่งยากหลายอย่าง บางส่วนยังมีคุณสมบัติที่จำเป็นใน การป้องกันการโจมตี DDoS บนไซต์ WordPress ของคุณ

ดังที่เราได้กล่าวไปแล้ว WAF มีประโยชน์อย่างเหลือเชื่อในการปกป้องไซต์ของคุณ การติดตั้งปลั๊กอินความปลอดภัยที่มาพร้อมกับปลั๊กอินในตัวเป็น วิธีที่รวดเร็วในการเพิ่มการป้องกัน ให้กับการติดตั้ง WordPress ของคุณ

นอกจากนี้ ฟังก์ชันการทำงาน เช่น การจำกัดความพยายามในการเข้าสู่ระบบ การตรวจจับ URL ที่ไม่ถูกต้องและที่อยู่ IP ที่เป็นอันตราย และการบล็อกบอท ทั้งหมดนี้ช่วยลดการโจมตีได้ ดังนั้นเราขอแนะนำให้ดาวน์โหลดปลั๊กอินป้องกัน WordPress DDoS เช่น Wordfence

Wordfence สามารถทำหน้าที่ทั้งหมดที่กล่าวมาข้างต้นและอื่นๆ อีกมากมาย ปลั๊กอินรักษาความปลอดภัย WordPress นี้ยังมีเครื่องมือสำหรับตรวจสอบการเข้าชมและการเข้าชมแบบสด รวมถึง กิจกรรมที่เพิ่มสูงขึ้น

คุณสามารถดาวน์โหลดและใช้คุณสมบัติปลั๊กอินมากมายได้ฟรี อย่างไรก็ตาม ยังมีเวอร์ชันพรีเมียมที่ปลดล็อกการเข้าถึงฟีเจอร์ความปลอดภัยเต็มรูปแบบ รวมถึงฟีดการป้องกันภัยคุกคามแบบเรียลไทม์

6. ทำให้การบำรุงรักษา WordPress และการตรวจสอบมีความสำคัญ

เมื่อพูดถึงการจัดการเว็บไซต์ของคุณ บางครั้งรูปแบบ การป้องกันที่ดีที่สุดก็คือ การป้องกัน ในความพยายามของคุณที่จะลดโอกาสในการโจมตี DDoS บนไซต์ WordPress ของคุณ การบำรุงรักษาและการตรวจสอบเป็นประจำ เป็นสิ่งสำคัญ

การบำรุงรักษาไซต์ของคุณเป็นประจำจะช่วยให้ไซต์อยู่ในสภาพดีเยี่ยมและลดจำนวนช่องโหว่ที่ผู้บุกรุกสามารถโจมตีได้ในที่สุด การตรวจสอบตามปกติสามารถช่วยให้คุณมองเห็นกิจกรรมที่น่าสงสัยก่อนที่จะสร้างความเสียหายร้ายแรง

มีงานหลายอย่างที่เกี่ยวข้องกับการบำรุงรักษาและการตรวจสอบอย่างเหมาะสม ได้แก่:

อัปเดต WordPress ปลั๊กอิน และธีม
การตรวจสอบสถานะการออนไลน์
การสำรองข้อมูลอัตโนมัติ
การเพิ่มประสิทธิภาพความเร็ว
การสแกนและกำจัดมัลแวร์

การควบคุมงานเหล่านี้อาจเป็นกระบวนการที่ใช้เวลานาน แต่ก็เป็นกระบวนการที่จำเป็น เราขอแนะนำให้ทำให้ง่ายขึ้นอย่างมากโดยสมัครใช้งาน WordPress Care Plan เช่นเดียวกับที่เรานำเสนอที่ WP Buffs

การบำรุงรักษาอย่างมืออาชีพช่วยให้คุณอุ่นใจได้ว่าเว็บไซต์ของคุณได้รับการดูแลอย่างเหมาะสม นอกจากนี้คุณ ยังมีเวลาว่างในกำหนดการของคุณเอง เพื่อมุ่งเน้นไปที่เรื่องธุรกิจเร่งด่วนอื่น ๆ

ห่อ

เมื่อพิจารณาถึง ภัยคุกคามด้านความปลอดภัย ที่มีอยู่มากมายในปัจจุบัน การอยู่เหนือภัยคุกคามเหล่านี้ทั้งหมดอาจทำให้รู้สึกล้นหลาม อย่างไรก็ตาม ด้วยการโจมตี DDoS ที่เพิ่มขึ้นทั้งในด้านความถี่และความรุนแรง การตรวจสอบให้แน่ใจว่า ไซต์ WordPress ของคุณได้รับการปกป้องอย่างเหมาะสม จึงมีความสำคัญมากกว่าที่เคย

ในโพสต์นี้ เราได้พูดถึงเคล็ดลับหกประการที่คุณสามารถใช้เพื่อช่วยหยุดและ ป้องกันการโจมตี DDoS บนไซต์ WordPress ของคุณ:

ปิดการใช้งาน XMLR RPC และ REST API ใน WordPress
ติดตั้ง WAF บนไซต์ของคุณ
เลือกผู้ให้บริการโฮสติ้งที่ปลอดภัย
ใช้ CDN
ดาวน์โหลดปลั๊กอินป้องกัน WordPress DDoS
ทำให้การบำรุงรักษา WordPress และการตรวจสอบมีความสำคัญ

หากคุณต้องการให้ความสำคัญกับการดูแลและบำรุงรักษาไซต์ WordPress แต่ไม่แน่ใจว่าคุณมีเวลาหรือ ไม่ ลองพิจารณาจ้างงานให้กับเราที่ WP Buffs แผนการดูแลไซต์ที่ครอบคลุม ของเราสามารถช่วยคุณได้ทุกอย่างตั้งแต่การติดตั้งปลั๊กอินที่เหมาะสมไปจนถึง การดำเนินการตรวจสอบความปลอดภัยของไซต์อย่างละเอียด

ต้องการแสดงความคิดเห็นหรือเข้าร่วมการสนทนาหรือไม่? เพิ่มความคิดเห็นของคุณบน Twitter

เครดิตรูปภาพ: สกอตต์ เวเบอร์