WordPress DDoS 攻击——如何保护您的网站

WordPress DDoS 攻击的盛行给许多依赖在线流量创收的小型企业造成了巨大的收入损失。

DDoS 攻击对网站构成严重威胁，无论其规模大小。 因此，必须实施所有适当的安全措施来保护您的网站。

在本文中，我们将探讨WordPress DDoS 攻击如何损害您的网站。 然后，我们将为您提供有关如何防止它们发生的实用技巧。

内容：

• 什么是 DDoS 攻击？
• DDoS 攻击如何影响 WordPress 网站
• 保护您的 WordPress 网站免受 DDoS 攻击的提示
  • 1.启用双因素身份验证（2FA）
  • 2.使用网络应用防火墙（WAF）
  • 3.使用Cloudflare的CDN
  • 4. 在 WordPress 中禁用 REST API
  • 5. 保持你的 WordPress 软件和插件是最新的
  • 6.监控您的网站流量
• 经常问的问题
• 结论

什么是 DDoS 攻击？

分布式拒绝服务 (DDoS) 攻击是一种网络攻击，它试图用恶意流量淹没网站或服务器以破坏其正常运行。 这些攻击可能发生在任何网站上，包括 WordPress 支持的网站。

DDoS 攻击如何影响 WordPress 网站

对 WordPress 网站的 DDoS 攻击后果很严重，尤其是对于小型企业网站。 这是因为他们可能缺乏抵御此类攻击的基础设施。 如果 DDoS 攻击成功地针对某个网站，用户可能无法访问该网站，从而导致网站停机。

2016 年，互联网遭受了最严重的拒绝服务攻击之一。 DNS 服务提供商 DYN 成为此次攻击的目标。 它影响了许多流行的网站，例如 Netflix、Reddit、PayPal、Visa 等。 结果，欧洲和北美的许多互联网用户受到影响。

DDoS 攻击对网站所有者和互联网用户有很多影响。 DDoS 攻击可能对您的网站造成的一些损害包括以下内容。

网站停机

DDoS 攻击最严重的后果之一是用户可能无法访问目标网站。 这可能会让用户感到沮丧，他们可能需要帮助才能访问网站或使用其服务。

损失的流量和收入

如果 WordPress 网站因 DDoS 攻击而无法使用，可能会导致流量和收入损失。 例如，在 2016 年 10 月的 DYN 攻击期间，索尼报告总损失 270 万美元。 考虑到这次袭击只持续了两个小时，这是巨大的。

声誉受损

此外，如果您的网站成为 DDoS 攻击的受害者，用户可能会失去对您品牌的信任。 这会影响您网站的声誉，因为搜索引擎也可能将您的网站列入黑名单。

缓解成本

防御 DDoS 攻击的成本可能很高，因为它需要专门的资源和技术专长。

数据丢失

卡巴斯基在 2015 年的一项研究发现，26% 遭受 DDoS 攻击的网站也会遭受数据丢失。 DDoS 攻击通常作为其他网络攻击的掩护，例如暴力攻击。

保护您的 WordPress 网站免受 DDoS 攻击的提示

DDoS 攻击已成为对网站所有者的严重威胁。 即使是资金最雄厚的网站也不能幸免于此类攻击。 从技术上讲，没有网站可以免受 DDoS 攻击。 但是，您可以实施措施来阻止和防止 DDoS 攻击。

这里有一些 WordPress DDoS 保护技巧，您可以实施这些技巧来保护您的网站。

1.启用双因素身份验证（2FA）

双因素身份验证 (2FA) 是一种安全措施，要求用户在访问 WP 管理页面等敏感页面之前提供额外的身份验证层。

这有助于防止未经授权的网站访问、暴力攻击和 DDoS 攻击。

例如，您可能要求用户在登录您的网站之前提供发送到他们手机或电子邮件的一次性代码。

您可以使用 MiniOrange Google Authenticator 插件在 WordPress 上设置双因素身份验证 (2FA)。

要安装 MiniOrange Authenticator，请登录到您的 WordPress 仪表板并转到插件 >> 添加新插件。 在搜索框中，输入“MiniOrange Google Authenticator”。 该插件应该出现在搜索结果中，如下所示。

接下来，单击插件名称旁边的立即安装按钮以在您的网站上安装插件。 安装插件后，该按钮将变为“激活”。 单击它以激活插件。

配置 MiniOrange Google 身份验证器

激活插件后，您需要将其连接到移动设备上的 Google Authenticator 应用程序。 这是在您的站点上完成 2FA 激活所必需的。

要开始，请单击让我们开始吧。

接下来，选择登录后应首先设置 2FA 的用户选项。 这样，所有用户都将在登录前强制设置 2FA。单击“继续设置”继续。

您可以为所有用户或仅为某些特定角色（例如，管理员和编辑）激活 2FA。 如果您想排除作者等用户，这很有用。 在本教程中，我们将为管理员单独激活 2FA。

选择Only for specific roles选项，然后勾选Administrator复选框。 之后，单击“继续设置”继续。

接下来，选择是立即实施 2FA 还是给用户一个宽限期。 单击全部完成以继续。

现在，您需要选择要配置的身份验证方法。 选择Google / Microsoft / Authy Authenticator选项，然后单击“保存并继续”按钮。

接下来，选择为自己配置 2FA以继续配置过程的下一步。

连接 MiniOrnage 与谷歌手机验证器

Google Authenticator 是此过程的首选身份验证应用程序。 这是因为它在 Android 和 iOS 设备上最受欢迎和可用。

第一步是从 Play 商店或 Apple 商店下载 Google 身份验证应用程序。

安装该应用程序后，您应该会看到一个包含两个选项的菜单页面：扫描二维码和输入设置密钥。

选择二维码选项并扫描您网站上显示的二维码，如下所示。

完成扫描后，将验证应用程序生成的六位数代码输入指定字段。

通过选择“保存并继续”选项来确认输入。

就是这样！ 您已使用 MiniOrange Google 2FA 在您的网站上成功启用了 2FA。

MiniOrange 无法扫描二维码？

如果您无法扫描提供的二维码，您需要执行以下操作：

首先，点击无法扫描条形码？ 这将生成一个密钥，用于在 Google 身份验证应用程序中设置 2FA。

打开手机上的 Google Authenticator 应用程序，然后选择输入设置密钥选项。 接下来，粘贴由 MiniOrange 2FA 生成的 16 个字符的密钥。

输入应用程序名称和帐户类型，然后单击添加。 然后它将生成一个 6 位代码，您可以使用该代码在 WordPress 上完成该过程。 完成后，单击“保存并继续”继续。

接下来，您将看到一条消息，显示您的配置状态。

要对此进行测试，请退出您的 WordPress 站点并尝试登录。在登录页面上，每次尝试登录时，您都需要输入手机上的身份验证应用程序生成的 6 位一次性密码.

2.使用网络应用防火墙（WAF）

Web 应用程序防火墙 (WAF) 是一种安全措施，可以保护网站免受各种威胁，包括 DDoS 攻击。

WAF 分析传入流量并在恶意请求到达网站服务器之前阻止它们。 这有助于防止 WordPress DDoS 攻击淹没网站的基础设施并导致其崩溃。

将 WAF 添加到您的网站的最简单方法是使用防火墙插件。 幸运的是，一些 WordPress 安全和反 DDoS 插件，例如 Wordfence Security，带有防火墙保护。

下面，我们将在 WordPress 站点上安装并激活 Wordfence。

安装和激活 Wordfence

要安装 Wordfence，请登录到您的 WordPress 管理仪表板，然后导航至插件>>添加新插件。 找到右上角的搜索栏，然后输入“Wordfence”来搜索插件。

单击 Wordfence Security 插件旁边的立即安装按钮，将其安装在您的站点上。 安装完成后激活插件。

激活 WordFence 后，您必须获得许可证密钥才能运行。 单击下一页上的Get Your WordFence License按钮​​开始继续。

接下来，选择免费计划来测试功能，然后单击“我可以等待 30 天”继续。

如果您有预算，可以稍后升级到付费计划。 但是，免费计划为您提供了保护网站所需的所有基本功能。

接下来，输入您的电子邮件地址，接受条款和条件，然后点击注册。

您应该会收到一封来自 Wordfence 的激活电子邮件。 打开您的电子邮件并单击“激活”链接。

之后，它会将您重定向到您的 WordPress 仪表板。 在这里，您需要单击“安装许可证”按钮来激活您的站点。 这样，您现在就可以在您的网站上积极使用 Wordfence。

要验证 WAF 是否已启用并正常工作，请从您的 WordPress 仪表板找到Wordfence ，然后单击“管理防火墙”链接。

您应该会在下一个屏幕上看到显示 WAF 状态的部分。 如果 WAF 状态为活动状态并显示百分比数字，则确认 WAF 已启用且正常运行。

在您的网站上安装 Wordfence 插件将为您带来以下好处：

• SQL注入预防
• 暴力攻击限制
• 跨站脚本保护

3.使用Cloudflare的CDN

Cloudflare 是一个流行的 CDN 提供商，可以提高您的网站性能并保护您免受 DDoS 攻击等网络攻击。

Cloudflare 可以免除大规模 DDoS 攻击并过滤流量来源以检测特定请求是否来自攻击者。

下面，我们将带您完成在您的网站上激活 Cloudfare 服务所需的步骤。

获取 Cloudflare 帐户

作为先决条件，请确保您首先有权访问域注册商的管理仪表板。 您将需要它来允许 Cloudflare 访问您的 DNS 设置。

第一步是创建一个 Cloudflare 帐户。 为此，请访问 Cloudflare 注册页面。 接下来，输入您的电子邮件，选择密码，然后点击创建帐户。

将您的网站添加到 Cloudflare

您的 Cloudflare 帐户已准备就绪。 但是，您需要通过添加站点来完成设置。 登录到您的帐户后，单击“添加站点”按钮以添加您的网站。

输入您的域名（例如 example.com）并单击添加站点以继续。

接下来，选择合适的 Cloudflare 计划。 这取决于您想要的功能。 但是，免费计划足以为您提供所需的基本保护。 选择免费计划并单击继续以继续。

在下一页上，您将看到现有记录的列表。 您可以查看它们以确保它们是正确的。

注意：不建议在此阶段更改您的 DNS 记录。

如果您查看了记录并感到满意，请单击继续以继续。

下一阶段是将您的域名服务器指向 Cloudflare。 这对于完成激活过程并允许 Cloudflare 保护您的站点非常重要。

您需要更换域名注册商的现有域名服务器。

接下来，复制 Cloudflare 提供的新名称服务器以替换您在域名托管服务商上删除的名称服务器。

更改名称服务器的步骤因托管公司而异。 如果您完全不确定如何找到名称服务器设置，请联系您的网络托管服务提供商。 但是，我们将向您展示如何在 Namecheap 中执行此操作。

更新 Namecheap 域名服务器

首先，登录到您的帐户并单击域列表。

在域页面上，找到您要编辑的域并单击管理。

接下来，单击Nameservers下拉菜单并选择Custom DNS 。

在输入框中，输入 Cloudflare 提供的两个名称服务器，然后单击复选标记以保存您的更改。

您现在可以返回到 Cloudflare 以通过单击完成来验证名称服务器更改，检查名称服务器。

旁注：更改您的名称服务器最多可能需要 48 小时才能传播。

Cloudflare 的 DDoS 保护

将您的网站添加到 Cloudflare 后，Cloudflare 会自动在您的网站上启用 DDoS 保护。

尽管如此，还是建议采取额外措施来保护您的网站。 根据您的网站面临的风险，您可以实施一些额外的设置来进一步保护您的网站。

让我们向您展示两个基本设置，以保护您的网站免受 DDoS 攻击。

创建自定义 DDos 覆盖

您可以通过部署自定义 DDoS 覆盖来自定义 Cloudflare 默认 DDoS 保护的行为。

要使用此选项，请登录您的 Cloudflare 帐户。 然后，选择您的网站以进入其区域。

接下来，导航到左侧菜单中的安全 >> DDoS 。 单击部署 DDoS覆盖以继续。

在下一页上，为您的覆盖添加一个名称。 之后，将规则集操作更改为托管挑战，并根据您面临的风险将灵敏度设置为低或中。 之后，向下滚动并单击保存。

实施此策略将有助于过滤掉来自 DDoS 来源的有害流量。 它使用 Cloudflare 向用户提供的一组托管挑战。

激活机器人战斗模式

另一种保护站点免受 DDoS 攻击的方法是激活机器人战斗模式。 机器人战斗模式有助于检测和阻止已知的机器人流量访问您的站点。

要激活机器人战斗模式，请导航至安全 >> 机器人并将机器人战斗模式选项切换到打开位置。

Cloudflare 为您提供保护您的网站免受 DDoS 攻击所需的所有工具。 如果您正确遵循上述提示，应该可以保护您的网站免受大多数 DDoS 攻击。

4. 在 WordPress 中禁用 REST API

WordPress REST API 是 WordPress 的一项功能，允许开发人员使用 HTTP 请求访问和操作 WordPress 数据。 有时，REST API 可用作 DDoS 攻击的载体。

您可以在 WordPress 中使用多种方法禁用 WP REST API。 然而，最简单的方法是使用 WPCode 插件中的代码片段。

您需要在您的 WordPress 网站上安装并激活该插件。

激活插件后，转到Code Snippets >>+ Add Snippet。

在下一页的搜索框中输入“rest api”。 禁用 Rest API 现在应该出现在搜索结果中。

接下来，单击“使用代码段”继续下一步。

最后，将“非活动”按钮切换为“活动”以激活代码。 完成后，单击更新以保存您的更改。

您的网站现已禁用 REST API。 由于 API 是攻击者可以利用的 WordPress 站点上的漏洞点，因此禁用 REST API 可以保护您免受利用这些 API 漏洞的 DDoS 攻击。

5. 让你的 WordPress 软件和插件保持最新

更新 WordPress 主题和插件是保护您的网站免受 DDoS 攻击并增强网站安全性的另一种方法。 软件和插件更新有助于确保网站使用最安全的软件版本。

在 WordPress 中，大多数更新通常包括对 DDoS 攻击者可能利用的漏洞的修复。

要更新您的 WordPress 插件，请登录您的 WordPress 并导航至仪表板 >> 更新。

在更新页面上，您将看到您站点上需要更新的所有插件。 勾选全选复选框以标记所有插件。 然后向下滚动并单击更新插件。

此外，检查并更新您的 WordPress 主题。

同时，确保您使用的是最新版本的 WordPress。

6. 监控您的网站流量并注意异常峰值

作为网站所有者，如果您怀疑受到攻击，应立即采取措施防止攻击并恢复正常运营。

这可能包括寻求安全专家的帮助或实施额外的安全措施。 例如，您可以使用 Wordfence 等安全插件来监控您的流量是否存在异常活动。

如果您已经实施了本教程中的第二个技巧，您应该在您的网站上安装了 Wordfence Security 插件。

要访问流量管理功能，请单击Wordfence侧面菜单。 接下来，单击管理防火墙继续。

之后，向下滚动到按钮以找到“速率限制”部分。

接下来，打开 Rate Limiting 高级阻止功能以将其激活。

在限速配置页面上，您可以启用各种流量控制方法，以帮助保护您的 WordPress 站点免受不需要的流量并减少服务器资源的负载。

例如，您可以建立请求限制，规定特定用户可以发出的请求数。

Wordfence 的限速功能允许您控制爬虫和人工页面浏览量。 您还可以使用它来限制 WordPress 网站上的异常流量高峰。 虽然可以进一步自定义 Wordfence 以增强 WordPress 安全性，但您应该避免阻止合法流量。

WordPress DDoS 攻击（常见问题解答）

下面，我们回答了用户提出的一些关于保护他们的 WordPress 网站免受 DDoS 攻击的最常见问题。

WordPress 有 DDoS 保护吗？

默认情况下，WordPress 没有 DDoS 保护。 但是，您可以采取一些措施来保护您的 WordPress 站点免受 DDoS 攻击。 这些可能包括：使用 Cloudflare 等第三方服务或安装 Wordfence 等安全插件。

攻击者如何进行 DDoS 攻击网站？

攻击者通过向目标站点发送多个请求来对 WordPress 实施 DDoS 攻击。 这些旨在使合法用户更难访问该站点。

结论——WordPress DDoS

总之，保护您的 WordPress 网站免受 DDoS 攻击是必不可少的，因为对您网站的攻击会对您的业务产生负面影响。

值得庆幸的是，我们在这篇文章中提供了一些步骤，您可以按照这些步骤来保护您的 WordPress 网站免受 DDoS 攻击。

如果您对任何步骤感到困惑，请在下面的评论部分告诉我们，或联系我们的专家以获得进一步的指导。