WordPress DDoS 攻擊——如何保護您的網站

WordPress DDoS 攻擊的盛行給許多依賴在線流量創收的小型企業造成了巨大的收入損失。

DDoS 攻擊對網站構成嚴重威脅，無論其規模大小。 因此，必須實施所有適當的安全措施來保護您的網站。

在本文中，我們將探討WordPress DDoS 攻擊如何損害您的網站。 然後，我們將為您提供有關如何防止它們發生的實用技巧。

內容：

• 什麼是 DDoS 攻擊？
• DDoS 攻擊如何影響 WordPress 網站
• 保護您的 WordPress 網站免受 DDoS 攻擊的提示
  • 1.啟用雙因素身份驗證（2FA）
  • 2.使用網絡應用防火牆（WAF）
  • 3.使用Cloudflare的CDN
  • 4. 在 WordPress 中禁用 REST API
  • 5. 保持你的 WordPress 軟件和插件是最新的
  • 6.監控您的網站流量
• 經常問的問題
• 結論

什麼是 DDoS 攻擊？

分佈式拒絕服務 (DDoS) 攻擊是一種網絡攻擊，它試圖用惡意流量淹沒網站或服務器以破壞其正常運行。 這些攻擊可能發生在任何網站上，包括 WordPress 支持的網站。

DDoS 攻擊如何影響 WordPress 網站

對 WordPress 網站的 DDoS 攻擊後果很嚴重，尤其是對於小型企業網站。 這是因為他們可能缺乏抵禦此類攻擊的基礎設施。 如果 DDoS 攻擊成功地針對某個網站，用戶可能無法訪問該網站，從而導致網站停機。

2016 年，互聯網遭受了最嚴重的拒絕服務攻擊之一。 DNS 服務提供商 DYN 成為此次攻擊的目標。 它影響了許多流行的網站，例如 Netflix、Reddit、PayPal、Visa 等。 結果，歐洲和北美的許多互聯網用戶受到影響。

DDoS 攻擊對網站所有者和互聯網用戶有很多影響。 DDoS 攻擊可能對您的網站造成的一些損害包括以下內容。

網站停機

DDoS 攻擊最嚴重的後果之一是用戶可能無法訪問目標網站。 這可能會讓用戶感到沮喪，他們可能需要幫助才能訪問網站或使用其服務。

損失的流量和收入

如果 WordPress 網站因 DDoS 攻擊而無法使用，可能會導致流量和收入損失。 例如，在 2016 年 10 月的 DYN 攻擊期間，索尼報告總損失 270 萬美元。 考慮到這次襲擊只持續了兩個小時，這是巨大的。

聲譽受損

此外，如果您的網站成為 DDoS 攻擊的受害者，用戶可能會失去對您品牌的信任。 這會影響您網站的聲譽，因為搜索引擎也可能將您的網站列入黑名單。

緩解成本

防禦 DDoS 攻擊的成本可能很高，因為它需要專門的資源和技術專長。

數據丟失

卡巴斯基在 2015 年的一項研究發現，26% 遭受 DDoS 攻擊的網站也會遭受數據丟失。 DDoS 攻擊通常作為其他網絡攻擊的掩護，例如暴力攻擊。

保護您的 WordPress 網站免受 DDoS 攻擊的提示

DDoS 攻擊已成為對網站所有者的嚴重威脅。 即使是資金最雄厚的網站也不能倖免於此類攻擊。 從技術上講，沒有網站可以免受 DDoS 攻擊。 但是，您可以實施措施來阻止和防止 DDoS 攻擊。

這裡有一些 WordPress DDoS 保護技巧，您可以實施這些技巧來保護您的網站。

1.啟用雙因素身份驗證（2FA）

雙因素身份驗證 (2FA) 是一種安全措施，要求用戶在訪問 WP 管理頁面等敏感頁面之前提供額外的身份驗證層。

這有助於防止未經授權的網站訪問、暴力攻擊和 DDoS 攻擊。

例如，您可能要求用戶在登錄您的網​​站之前提供發送到他們手機或電子郵件的一次性代碼。

您可以使用 MiniOrange Google Authenticator 插件在 WordPress 上設置雙因素身份驗證 (2FA)。

要安裝 MiniOrange Authenticator，請登錄到您的 WordPress 儀表板並轉到插件 >> 添加新插件。 在搜索框中，輸入“MiniOrange Google Authenticator”。 該插件應該出現在搜索結果中，如下所示。

接下來，單擊插件名稱旁邊的立即安裝按鈕以在您的網站上安裝插件。 安裝插件後，該按鈕將變為“激活”。 單擊它以激活插件。

配置 MiniOrange Google 身份驗證器

激活插件後，您需要將其連接到移動設備上的 Google Authenticator 應用程序。 這是在您的站點上完成 2FA 激活所必需的。

要開始，請單擊讓我們開始吧。

接下來，選擇登錄後應首先設置 2FA 的用戶選項。 這樣，所有用戶都將在登錄前強制設置 2FA。單擊“繼續設置”繼續。

您可以為所有用戶或僅為某些特定角色（例如，管理員和編輯）激活 2FA。 如果您想排除作者等用戶，這很有用。 在本教程中，我們將為管理員單獨激活 2FA。

選擇Only for specific roles選項，然後勾選Administrator複選框。 之後，單擊“繼續設置”繼續。

接下來，選擇是立即實施 2FA 還是給用戶一個寬限期。 單擊全部完成以繼續。

現在，您需要選擇要配置的身份驗證方法。 選擇Google / Microsoft / Authy Authenticator選項，然後單擊“保存並繼續”按鈕。

接下來，選擇為自己配置 2FA以繼續配置過程的下一步。

連接 MiniOrnage 與穀歌手機驗證器

Google Authenticator 是此過程的首選身份驗證應用程序。 這是因為它在 Android 和 iOS 設備上最受歡迎和可用。

第一步是從 Play 商店或 Apple 商店下載 Google 身份驗證應用程序。

安裝該應用程序後，您應該會看到一個包含兩個選項的菜單頁面：掃描二維碼和輸入設置密鑰。

選擇二維碼選項並掃描您網站上顯示的二維碼，如下所示。

完成掃描後，將驗證應用程序生成的六位數代碼輸入指定字段。

通過選擇“保存並繼續”選項來確認輸入。

就是這樣！ 您已使用 MiniOrange Google 2FA 在您的網站上成功啟用了 2FA。

MiniOrange 無法掃描二維碼？

如果您無法掃描提供的二維碼，您需要執行以下操作：

首先，點擊無法掃描條形碼？ 這將生成一個密鑰，用於在 Google 身份驗證應用程序中設置 2FA。

打開手機上的 Google Authenticator 應用程序，然後選擇輸入設置密鑰選項。 接下來，粘貼由 MiniOrange 2FA 生成的 16 個字符的密鑰。

輸入應用程序名稱和帳戶類型，然後單擊添加。 然後它將生成一個 6 位代碼，您可以使用該代碼在 WordPress 上完成該過程。 完成後，單擊“保存並繼續”繼續。

接下來，您將看到一條消息，顯示您的配置狀態。

要對此進行測試，請退出您的 WordPress 站點並嘗試登錄。在登錄頁面上，每次嘗試登錄時，您都需要輸入手機上的身份驗證應用程序生成的 6 位一次性密碼.

2.使用網絡應用防火牆（WAF）

Web 應用程序防火牆 (WAF) 是一種安全措施，可以保護網站免受各種威脅，包括 DDoS 攻擊。

WAF 分析傳入流量並在惡意請求到達網站服務器之前阻止它們。 這有助於防止 WordPress DDoS 攻擊淹沒網站的基礎設施並導致其崩潰。

將 WAF 添加到您的網站的最簡單方法是使用防火牆插件。 幸運的是，一些 WordPress 安全和反 DDoS 插件，例如 Wordfence Security，帶有防火牆保護。

下面，我們將在 WordPress 站點上安裝並激活 Wordfence。

安裝和激活 Wordfence

要安裝 Wordfence，請登錄到您的 WordPress 管理儀表板，然後導航至插件>>添加新插件。 找到右上角的搜索欄，然後輸入“Wordfence”來搜索插件。

單擊 Wordfence Security 插件旁邊的立即安裝按鈕，將其安裝在您的站點上。 安裝完成後激活插件。

激活 WordFence 後，您必須獲得許可證密鑰才能運行。 單擊下一頁上的Get Your WordFence License按鈕開始繼續。

接下來，選擇免費計劃來測試功能，然後單擊“我可以等待 30 天”繼續。

如果您有預算，可以稍後升級到付費計劃。 但是，免費計劃為您提供了保護網站所需的所有基本功能。

接下來，輸入您的電子郵件地址，接受條款和條件，然後點擊註冊。

您應該會收到一封來自 Wordfence 的激活電子郵件。 打開您的電子郵件並單擊“激活”鏈接。

之後，它會將您重定向到您的 WordPress 儀表板。 在這裡，您需要單擊“安裝許可證”按鈕來激活您的站點。 這樣，您現在就可以在您的網站上積極使用 Wordfence。

要驗證 WAF 是否已啟用並正常工作，請從您的 WordPress 儀表板找到Wordfence ，然後單擊“管理防火牆”鏈接。

您應該會在下一個屏幕上看到顯示 WAF 狀態的部分。 如果 WAF 狀態為活動狀態並顯示百分比數字，則確認 WAF 已啟用且正常運行。

在您的網站上安裝 Wordfence 插件將為您帶來以下好處：

• SQL注入預防
• 暴力攻擊限制
• 跨站腳本保護

3.使用Cloudflare的CDN

Cloudflare 是一個流行的 CDN 提供商，可以提高您的網站性能並保護您免受 DDoS 攻擊等網絡攻擊。

Cloudflare 可以免除大規模 DDoS 攻擊並過濾流量來源以檢測特定請求是否來自攻擊者。

下面，我們將帶您完成在您的網站上激活 Cloudfare 服務所需的步驟。

獲取 Cloudflare 帳戶

作為先決條件，請確保您首先有權訪問域註冊商的管理儀表板。 您將需要它來允許 Cloudflare 訪問您的 DNS 設置。

第一步是創建一個 Cloudflare 帳戶。 為此，請訪問 Cloudflare 註冊頁面。 接下來，輸入您的電子郵件，選擇密碼，然後點擊創建帳戶。

將您的網站添加到 Cloudflare

您的 Cloudflare 帳戶已準備就緒。 但是，您需要通過添加站點來完成設置。 登錄到您的帳戶後，單擊“添加站點”按鈕以添加您的網站。

輸入您的域名（例如 example.com）並單擊添加站點以繼續。

接下來，選擇合適的 Cloudflare 計劃。 這取決於您想要的功能。 但是，免費計劃足以為您提供所需的基本保護。 選擇免費計劃並單擊繼續以繼續。

在下一頁上，您將看到現有記錄的列表。 您可以查看它們以確保它們是正確的。

注意：不建議在此階段更改您的 DNS 記錄。

如果您查看了記錄並感到滿意，請單擊繼續以繼續。

下一階段是將您的域名服務器指向 Cloudflare。 這對於完成激活過程並允許 Cloudflare 保護您的站點非常重要。

您需要更換域名註冊商的現有名稱服務器。

接下來，複製 Cloudflare 提供的新名稱服務器以替換您在域名託管服務商上刪除的名稱服務器。

更改名稱服務器的步驟因託管公司而異。 如果您完全不確定如何找到名稱服務器設置，請聯繫您的網絡託管服務提供商。 但是，我們將向您展示如何在 Namecheap 中執行此操作。

更新 Namecheap 域名服務器

首先，登錄到您的帳戶並單擊域列表。

在域頁面上，找到您要編輯的域並單擊管理。

接下來，單擊Nameservers下拉菜單並選擇Custom DNS 。

在輸入框中，輸入 Cloudflare 提供的兩個名稱服務器，然後單擊複選標記以保存您的更改。

您現在可以返回到 Cloudflare 以通過單擊完成來驗證名稱服務器更改，檢查名稱服務器。

旁注：更改您的名稱服務器最多可能需要 48 小時才能傳播。

Cloudflare 的 DDoS 保護

將您的網站添加到 Cloudflare 後，Cloudflare 會自動在您的網站上啟用 DDoS 保護。

儘管如此，還是建議採取額外措施來保護您的網站。 根據您的網站面臨的風險，您可以實施一些額外的設置來進一步保護您的網站。

讓我們向您展示兩個基本設置，以保護您的網站免受 DDoS 攻擊。

創建自定義 DDos 覆蓋

您可以通過部署自定義 DDoS 覆蓋來自定義 Cloudflare 默認 DDoS 保護的行為。

要使用此選項，請登錄您的 Cloudflare 帳戶。 然後，選擇您的網站以進入其區域。

接下來，導航到左側菜單中的安全 >> DDoS 。 單擊部署 DDoS覆蓋以繼續。

在下一頁上，為您的覆蓋添加一個名稱。 之後，將規則集操作更改為託管挑戰，並根據您面臨的風險將靈敏度設置為低或中。 之後，向下滾動並單擊保存。

實施此策略將有助於過濾掉來自 DDoS 來源的有害流量。 它使用 Cloudflare 向用戶提供的一組託管挑戰。

激活機器人戰鬥模式

另一種保護站點免受 DDoS 攻擊的方法是激活機器人戰鬥模式。 機器人戰鬥模式有助於檢測和阻止已知的機器人流量訪問您的站點。

要激活機器人戰鬥模式，請導航至安全 >> 機器人並將機器人戰鬥模式選項切換到打開位置。

Cloudflare 為您提供保護您的網站免受 DDoS 攻擊所需的所有工具。 如果您正確遵循上述提示，應該可以保護您的網站免受大多數 DDoS 攻擊。

4. 在 WordPress 中禁用 REST API

WordPress REST API 是 WordPress 的一項功能，允許開發人員使用 HTTP 請求訪問和操作 WordPress 數據。 有時，REST API 可用作 DDoS 攻擊的媒介。

您可以在 WordPress 中使用多種方法禁用 WP REST API。 然而，最簡單的方法是使用 WPCode 插件中的代碼片段。

您需要在您的 WordPress 網站上安裝並激活該插件。

激活插件後，轉到Code Snippets >>+ Add Snippet。

在下一頁的搜索框中輸入“rest api”。 禁用 Rest API 現在應該出現在搜索結果中。

接下來，單擊“使用代碼段”繼續下一步。

最後，將“非活動”按鈕切換為“活動”以激活代碼。 完成後，單擊更新以保存您的更改。

您的網站現已禁用 REST API。 由於 API 是攻擊者可以利用的 WordPress 站點上的漏洞點，因此禁用 REST API 可以保護您免受利用這些 API 漏洞的 DDoS 攻擊。

5. 讓你的 WordPress 軟件和插件保持最新

更新 WordPress 主題和插件是保護您的網站免受 DDoS 攻擊並增強網站安全性的另一種方法。 軟件和插件更新有助於確保網站使用最安全的軟件版本。

在 WordPress 中，大多數更新通常包括對 DDoS 攻擊者可能利用的漏洞的修復。

要更新您的 WordPress 插件，請登錄您的 WordPress 並導航至儀表板 >> 更新。

在更新頁面上，您將看到您站點上需要更新的所有插件。 勾選全選複選框以標記所有插件。 然後向下滾動並單擊更新插件。

此外，檢查並更新您的 WordPress 主題。

同時，確保您使用的是最新版本的 WordPress。

6. 監控您的網站流量並註意異常峰值

作為網站所有者，如果您懷疑受到攻擊，應立即採取措施防止攻擊並恢復正常運營。

這可能包括尋求安全專家的幫助或實施額外的安全措施。 例如，您可以使用 Wordfence 等安全插件來監控您的流量是否存在異常活動。

如果您已經實施了本教程中的第二個技巧，您應該在您的網站上安裝了 Wordfence Security 插件。

要訪問流量管理功能，請單擊Wordfence側面菜單。 接下來，單擊管理防火牆繼續。

之後，向下滾動到按鈕以找到“速率限制”部分。

接下來，打開 Rate Limiting 高級阻止功能以將其激活。

在限速配置頁面上，您可以啟用各種流量控制方法，以幫助保護您的 WordPress 站點免受不需要的流量並減少服務器資源的負載。

例如，您可以建立請求限制，規定特定用戶可以發出的請求數。

Wordfence 的限速功能允許您控制爬蟲和人工頁面瀏覽量。 您還可以使用它來限制 WordPress 網站上的異常流量高峰。 雖然可以進一步自定義 Wordfence 以增強 WordPress 安全性，但您應該避免阻止合法流量。

WordPress DDoS 攻擊（常見問題解答）

下面，我們回答了用戶提出的一些關於保護他們的 WordPress 網站免受 DDoS 攻擊的最常見問題。

WordPress 有 DDoS 保護嗎？

默認情況下，WordPress 沒有 DDoS 保護。 但是，您可以採取一些措施來保護您的 WordPress 站點免受 DDoS 攻擊。 這些可能包括：使用 Cloudflare 等第三方服務或安裝 Wordfence 等安全插件。

攻擊者如何進行 DDoS 攻擊網站？

攻擊者通過向目標站點發送多個請求來對 WordPress 實施 DDoS 攻擊。 這些旨在使合法用戶更難訪問該站點。

結論——WordPress DDoS

總之，保護您的 WordPress 網站免受 DDoS 攻擊是必不可少的，因為對您網站的攻擊會對您的業務產生負面影響。

值得慶幸的是，我們在這篇文章中提供了一些步驟，您可以按照這些步驟來保護您的 WordPress 網站免受 DDoS 攻擊。

如果您對任何步驟感到困惑，請在下面的評論部分告訴我們，或聯繫我們的專家以獲得進一步的指導。