如何防止 WordPress 中的 DDoS 攻擊

隨著許多國家的大流行和在線業務的爆炸式增長，數字攻擊變得越來越頻繁和威脅。 一些最常見和最危險的攻擊是DDoS 攻擊。 在本指南中，我們將向您展示如何防止對您的 WordPress 網站的 DDoS 攻擊。

什麼是 DDoS 攻擊？

在討論如何防止 DDoS（分佈式拒絕服務）攻擊之前，讓我們首先了解它們是什麼。 簡而言之， DDoS 攻擊是一種拒絕服務 (DoS) 攻擊，它涉及許多連接的在線設備，黑客使用這些設備用虛假流量淹沒網站的服務器。

在 DDoS 攻擊中，這些連接的機器和服務器分別但同時發起攻擊，讓它們在被阻止之前被忽視一段時間。 通過這種策略，他們可以輕鬆地加劇這些攻擊的影響，減慢速度並最終使他們瞄準的服務器崩潰。

關於DDoS 攻擊的一件有趣的事情是它們不會嘗試直接破壞和訪問您的服務器。 相反，他們的目標是讓網站和服務器在一段時間內崩潰，這樣用戶就無法訪問它。 但是，DDoS 攻擊可以用作破壞服務器安全的掩護。

那麼，如果您是 DDoS 攻擊的受害者，會發生什麼？ 如果黑客成功地使您的服務器崩潰，您可能會遇到麻煩。 恢復系統可能要花費數千美元，更不用說帶寬等其他費用了。 更重要的是，攻擊會對您的流量、聲譽和銷售結果造成影響。

DDoS 攻擊常見嗎？

對，他們是。 事實上，DDoS 攻擊正變得越來越普遍。 根據最近的研究，目前每 60 秒就有 16 次 DDoS 攻擊！ 僅在 2019 年，全球就有超過 840 萬次 DDoS 攻擊。

為了避免所有這些問題，防止對您的 WordPress 站點的 DDoS 攻擊至關重要。 在本指南中，我們將向您展示如何避免它們並確保您的網站安全。

如何防止 WordPress 中的 DDoS 攻擊

這些是防止 WordPress 中的 DDoS 攻擊並避免黑客影響您的網站的一些想法。

1. 阻止訪問 wp-login.php
2. 激活 WAF
3. 監督網站流量
4. 限制對 wp-admin 區域的訪問
5. 激活國家封鎖
6. 禁用 DDoS 攻擊 API
   1. XML RPC API
   2. REST API
7. 定期更新 WordPress

1.阻止訪問wp-login.php

wp-login.php文件是黑客在 WordPress 中用於 DDoS 攻擊的最常見路徑之一。 例如，在 QuadLayers，我們每天阻止對wp-login.php文件的訪問超過 250 次！

如果您使用 Cloudflare 之類的服務，您可以查看有人嘗試訪問您的wp-login.php文件的次數。 你會驚訝於這個數字有多高。 阻止對這些文件的訪問是在 WordPress 中防止 DDoS 攻擊的最佳方法之一。

大多數安全服務提供不同的選項來阻止對wp-login.php 的訪問。 我們使用 Cloudflare，因此我們將向您展示如何使用此服務阻止對 wp-login.php 文件的攻擊。 Cloudflare 的免費計劃允許您設置最多 5 條規則，這樣您就可以在不花錢的情況下做到這一點。

在儀表板中，轉到防火牆 > 防火牆規則 > 創建防火牆規則。 為規則命名，並在空白處填寫以下信息：

• 字段：URI 路徑
• 運算符：包含
• 值：/wp-login.php

或者，您可以在“表達式預覽”部分複制並粘貼以下代碼：

 （http.request.uri.path 包含“/wp-login.php”）

單擊“保存”按鈕，一切就緒。

2.激活WAF

WAF 是 Web Application Firewall 的縮寫，為您的網站提供另一層保護。 它通過使用智能算法來識別和阻止看似惡意的請求，從而保護您的站點免受危險流量的影響。 這樣，它只允許您獲得良好的流量。

有許多 WAF 解決方案可供選擇。 在決定使用哪一個之前，請檢查保護是否適合您的站點以及價格和易用性。 多年來使用了其中的幾個，我們強烈推薦 Sucuri。 它有一個免費插件和幾個專業計劃，單個站點的起價為每年 199 美元。 Cloudflare 也是一個絕佳的選擇。 它提供免費插件和專業計劃，每月 20 美元可緩解 DDoS 攻擊。

此外，我們建議您遵循一些安全提示，以提高您網站對所有類型惡意軟件的整體防護能力。

3. 監督網站流量

流量激增並不一定意味著好消息。 儘管並非總是如此，但 DDoS 攻擊通常以大量流量的形式出現。 這些容量攻擊是基於網絡的，有時會被誤認為是新訪問者。 如果您看到大量新訪問者訪問您的網站，請檢查是新用戶還是有人試圖關閉您的網站。

最好的解決方案是安裝監控工具，讓它們檢查您的日誌，並在請求/訪問者數量突然增加時提醒您。 這樣，您將防止對您的 WordPress 網站進行 DDoS 攻擊。

要區分新訪問者和 DDoS 攻擊，您可能需要注意：

• 流量來源：您的流量是否來自您定位的區域？ 例如，如果您針對本地客戶，但從海外獲得大量流量，那麼就會發生一些奇怪的事情。
• 流量時間：如果您在當地時間凌晨 3:00 目睹訪問量激增，那麼也可能是攻擊。
• 您的業務特徵：還要考慮您的業務類型。 例如，如果您銷售泳裝和沙灘裝，夏季遊客激增是正常的。

請注意，Google 漫遊器和其他搜索引擎爬蟲有時會向您的網站發出可疑請求。 請注意它們之間的區別，以確保您將阻止 DDoS 攻擊，而不是機器人。

4.限制對wp-admin區域的訪問

您應該是唯一可以訪問wp-admin區域的人，因為您可以在這裡控制 WordPress 中所有最重要的活動。 但是，當限制對wp-admin區域的訪問時，請確保不要包含某些文件，例如/wp-admin/admin-ajax.php和/wp-admin/theme-editor.php由插件和主題使用需要從外部訪問 wp-admin 區域。 此外，您可以排除您的 IP 以及推薦人何時來自您的網站。

如果您使用的是安全服務，這應該不難配置。 在我們的例子中，這就是我們使用 Cloudflare 的方式：

在儀表板中，轉到防火牆 > 防火牆規則 > 創建防火牆規則。 命名規則後，在空白處填寫以下信息：

• 字段：URI 路徑
• 運算符：包含
• 值：/wp-admin/

[和]

• 字段：URI 路徑
• 運算符：不包含
• 值：/wp-admin/admin-ajax.php

[和]

• 字段：URI 路徑
• 運算符：不包含
• 值：/wp-admin/theme-editor.php

[和]

• 字段：推薦人
• 運算符：不包含
• 價值：quadlayers.com

[和]

• 字段：IP 地址
• 運算符：不包含
• 值：182.189.59.210

否則，您只需單擊編輯表達式並粘貼以下代碼：

 （http.request.uri.path 包含 "/wp-admin/" 而不是 http.request.uri.path 包含 "/wp-admin/admin-ajax.php" 而不是 http.request.uri.path 包含 "/ wp-admin/theme-editor.php" 而不是 http.referer 包含 "quadlayers.com" 和 ip.src ne 182.189.59.210)

5.激活國家封鎖

與網站防火牆類似，國家/地區封鎖是一種地理封鎖，可將您的網站受到攻擊的風險降至最低。 儘管站點所有者不能僅通過國家/地區阻止來排除 DDoS 攻擊的可能性，但在遵守組織策略的同時提高對攻擊的保護是一種典型的做法。 由於最近有大量網絡攻擊來自幾個國家，您可以考慮阻止它們與您的網站進行交互。

作為可以輕鬆進行國家/地區封鎖的安全插件之一，Sucuri 是一個很好的選擇。

6. 禁用 DDoS 攻擊 API

這種方法的原理是禁用幾個 API，使黑客無法利用它們對您的 WordPress 站點發起攻擊。 通常，這些 API 是第三方插件和服務集成到網站的網關。 但是，黑客經常利用它們發起 DDoS 或暴力攻擊。

您應該考慮禁用兩個 API：

6.1) XML RPC API

此 API 可幫助第三方應用程序與您的網站進行交互，尤其是在您的手機上使用 WordPress 應用程序時。 壞消息是它是最常見的 DDoS 攻擊目標之一。 因此，如果您的大多數用戶不使用移動版 WordPress，您可以考慮禁用此 API 以防止 DDoS 攻擊。

要停用 XML RPC API 並阻止其所有請求，只需將以下代碼添加到您網站的.htaccess文件中。

 # 阻止所有 WordPress xmlrpc.php 請求
<文件 xmlrpc.php>
命令拒絕，允許
否認一切
</文件>

6.2) REST API

另一個可以禁用以防止 WordPress 中的 DDoS 攻擊的 API 是 REST API。 此 API 允許第三方插件和工具訪問 WordPress 數據以及修改和刪除內容。 禁用此 API 的最簡單方法是下載 Disable WP Rest API 免費插件。

下載後，激活它，一切就緒。 該工具將立即工作並為所有未登錄用戶禁用 REST API，無需任何進一步配置。

7. 定期更新 WordPress

定期更新 WordPress 不僅可以防止 DDoS 攻擊，還可以保護您的網站免受許多其他類型的攻擊和黑客攻擊。 這就是為什麼您必須定期更新：

1. WordPress 安裝、主題和插件
2. 服務器上的 PHP 版本
3. Apache、MySQL 和操作系統
4. 任何其他腳本和軟件

如果您在 WordPress 中受到 DDoS 攻擊該怎麼辦？

即使您可以提前做好準備並嘗試在 WordPress 中防止 DDoS 攻擊，但如果您受到攻擊，您應該怎麼做？ 這些是您在 DDoS 攻擊期間應立即執行的響應：

1. 通知你的團隊

當危機來襲時，齊心協力會給你最大的力量。 當受到 DDoS 攻擊時，請務必提醒您的團隊成員，以便他們了解發生的情況並幫助您採取對策。

2. 通知您的客戶

如果受到攻擊的網站是 WooCommerce 商店，這一點尤其重要，因為在此期間客戶將無法登錄他們的帳戶或購買產品。 在如此關鍵的時刻不發表任何聲明和解釋可能會損害您的聲譽。 因此，我們建議您通過電子郵件或社交媒體讓他們知道您的網站正在發生技術錯誤，並且很快就會重新上線。

3. 聯繫您的託管和安全提供商

提醒同事和客戶後，也請聯繫您的 WordPress 託管服務提供商。 由於攻擊者可能以他們的系統為目標，因此最好讓他們了解它，他們甚至可以幫助您解決這種情況。 最重要的是，此時與您的安全提供商聯繫至關重要。 由於處理攻擊屬於他們的專業，他們可以幫助您制定更好更快的對策。

4. 實施響應

如果您準備好部署任何對策，這就是他們來救援的時候。 通常，一旦攻擊發生，反制措施就會立即生效。 最好提前準備好這個。 但是，如果您還沒有準備任何專門的安全解決方案，請詢問您的安全提供商，因為他們中的大多數都提供緊急響應。

5. 評估對策性能

不要忘記評估正在發生的對策性能！ 它們有效嗎？ 還是攻擊者獲勝？ 這樣，如果有任何其他攻擊出現在您的面前，您就可以調整您的反應。 讓我們希望它不會是這樣，但預防勝於治療。

結論

總而言之，現在 DDoS 攻擊非常頻繁。 您的 WordPress 網站發展得越多，它對黑客的吸引力就越大。 但是，您可以通過實施先發製人的措施來預防和準備這些攻擊。 上述步驟不僅可以幫助您防止 WordPress 中的 DDoS 攻擊，而且還有助於保護您的網站免受一般攻擊。

但是，如果您已經受到攻擊怎麼辦？ 不要驚慌。 按照上面提到的建議嘗試減少問題並儘快讓您的網站啟動和運行。 想要進一步提高您網站的安全性？ 查看我們的安全提示！

您還有其他有用的策略來防止 DDoS 攻擊嗎？ 請在下面的評論部分與我們分享！