Как приостановить и предупредить DDoS-атаку на WordPress

WordPress — один из самых фаворитных конструкторов сайтов в мире, так как он дает массивные функции и неопасную кодовую базу. Но это не защищает WordPress либо хоть какое другое программное обеспечение от вредных DDoS-атак, которые всераспространены в Вебе.

DDoS-атаки могут замедлить работу сайтов и в итоге создать их труднодоступными для юзеров. Эти атаки могут быть нацелены как на маленькие, так и на большие сайты.

Сейчас для вас быть может любопытно, как может сайт малого бизнеса, использующий WordPress, предупредить такие DDoS-атаки с ограниченными ресурсами?

В этом руководстве мы покажем для вас, как отлично приостановить и предупредить DDoS-атаку на WordPress. Наша цель — посодействовать для вас научиться управлять сохранностью вашего сайта от DDoS-атак, как специалист.

Остановка и предотвращение DDOS-атаки на сайт WordPress

Что такое DDoS-атака?

DDoS-атака, сокращение от Distributed Denial of Service Attack, представляет собой тип кибератаки, при которой скомпрометированные компы и устройства употребляются для отправки либо запроса данных с хост-сервера WordPress. Цель этих запросов — замедлить работу мотивированного сервера и, в итоге, вывести его из строя.

DDoS-атаки — это развитая форма DoS-атак (отказ в обслуживании). В отличие от DoS-атаки, они употребляют достоинства нескольких взломанных машин либо серверов, расположенных в различных регионах.

Эти скомпрометированные машинки образуют сеть, которую время от времени именуют ботнетом. Любая пораженная машинка действует как бот и запускает атаки на мотивированную систему либо сервер.

Это дозволяет им оставаться незамеченными некое время и наносить наибольший урон, до этого чем они будут заблокированы.

Схема DDoS-атаки

Даже наикрупнейшие интернет-компании уязвимы для DDoS-атак.

В 2018 году пользующаяся популярностью платформа для хостинга кода GitHub стала очевидцем масштабной DDoS-атаки, направленной на их серверы со скоростью 1,3 терабайта за секунду.

Вы также сможете вспомянуть грустно известную атаку 2016 года на DYN (поставщика услуг DNS). Эта атака получила глобальное освещение в СМИ (Средства массовой информации, масс-медиа — периодические печатные издания, радио-, теле- и видеопрограммы), так как затронула почти все пользующиеся популярностью сайты, такие как Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit и тыщи остальных сайтов.

Почему происходят DDoS-атаки?

Есть несколько мотивов DDoS-атак. Ниже приведены некие из более всераспространенных:

  • На техническом уровне подкованные люди, которым просто скучновато и которые обожают приключения
  • Люди и группы, пытающиеся заявить о собственной политической позиции
  • Группы с таргетингом на сайты и сервисы определенной страны либо региона.
  • Целенаправленные атаки на определенный бизнес либо поставщика услуг с целью причинения им валютного вреда
  • Шантажировать и собирать выкуп

В чем разница меж атакой грубой силы и DDoS-атакой?

Атака грубой силы

Атаки грубой силы обычно пробуют взломать систему, угадывая пароли либо пробуя случайные композиции, чтоб получить несанкционированный доступ к системе.

DDoS-атаки употребляются только для того, чтоб просто вывести мотивированную систему из строя, создать ее труднодоступной либо замедлить ее.

Подробные сведения см. В нашем руководстве о том, как перекрыть атаки способом грубой силы на WordPress с пошаговыми инструкциями.

Какой вред может нанести DDoS-атака?

DDoS-атаки в состоянии сделать сайт труднодоступным либо понизить производительность. Это может привести к ухудшению работы юзеров, потере бизнеса, а издержки на предотвращение атаки могут исчисляться тыщами баксов.

Вот разбивка этих издержек:

  • Утрата бизнеса из-за недоступности веб-сайта
  • Стоимость поддержки клиентов для ответа на запросы, связанные с перебоями в обслуживании
  • Стоимость предотвращения атаки методом найма служб сохранности либо поддержки
  • Наибольшая стоимость — нехороший пользовательский опыт и репутация бренда

Как приостановить и предупредить DDoS-атаку на WordPress

DDoS-атаки можно отлично замаскировать, и с ними трудно биться. Но при помощи неких базисных советов по сохранности вы сможете предупредить и просто приостановить DDoS-атаки на ваш сайт WordPress.

Вот шаги, которые нужно сделать, чтоб предупредить и приостановить DDoS-атаки на ваш веб-сайт WordPress.

Удаление вертикалей DDoS / грубой силы

Самое наилучшее в WordPress — это то, что он весьма гибкий. WordPress дозволяет посторонним плагинам и инструментам встраиваться в ваш веб-сайт и добавлять новейшие функции.

Для этого WordPress предоставляет программерам доступ к нескольким API. Эти API-интерфейсы представляют собой способы, при помощи которых посторонние плагины и службы WordPress могут вести взаимодействие с WordPress.

Но некие из этих API-интерфейсов также могут быть применены во время DDoS-атаки методом отправки тонны запросов. Вы сможете неопасно отключить их, чтоб уменьшить количество запросов.

Отключить XML RPC в WordPress

XML-RPC дозволяет посторонним приложениям вести взаимодействие с вашим веб-сайтом WordPress. К примеру, для вас нужен XML-RPC, чтоб применять приложение WordPress на мобильном устройстве.

Если вы похожи на подавляющее большая часть юзеров, которые не употребляют мобильное приложение, вы сможете отключить XML-RPC, просто добавив последующий код в файл .htaccess собственного сайта.

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Чтоб выяснить о других способах, см. Наше управление о том, как просто отключить XML-RPC в WordPress.

Отключить REST API в WordPress

WordPress JSON REST API дозволяет плагинам и инструментам получать доступ к данным WordPress, обновлять контент и / либо даже удалять его. Ах так вы сможете отключить REST API в WordPress.

Сперва для вас нужно установить и активировать плагин Disable WP Rest API. Для получения дополнительной инфы см. Наше пошаговое управление по установке плагина WordPress.

Плагин работает из коробки и просто отключит REST API для всех юзеров, не вошедших в систему.

Активировать WAF (брандмауэр веб-приложений)

Брандмауэр приложения веб-сайта (WAF)

Отключение таковых векторов атак, как REST API и XML-RPC, обеспечивает ограниченную защиту от DDoS-атак. Ваш сайт как и раньше уязвим для обыденных HTTP-запросов.

Хотя вы сможете смягчить маленькую DOS-атаку, пытаясь перехватить IP-адреса неисправных машин и заблокировать их вручную, этот подход не весьма эффективен при борьбе с большой DDoS-атакой.

Самый обычный метод заблокировать подозрительные запросы — активировать брандмауэр веб-приложения.

Брандмауэр веб-приложения действует как прокси-сервер меж вашим веб-сайтом и всем входящим трафиком. Он употребляет умственный метод, чтоб перехватывать все подозрительные запросы и перекрыть их до того, как они достигнут сервера вашего сайта.

Брандмауэр приложения веб-сайта

Мы советуем применять Sucuri, поэтому что это наилучший плагин сохранности WordPress и брандмауэр сайтов. Он работает на уровне DNS, что значит, что они могут изловить DDoS-атаку до того, как сделает запрос на ваш веб-сайт.

Стоимость на сукури начинается от 20 баксов за месяц (оплачивается раз в год).

Мы используем Sucuri на WPBeginner. Поглядите наш пример того, как они помогают перекрыть сотки тыщ атак на нашем сайте.

В качестве кандидатуры вы также сможете применять Cloudflare. Но бесплатный сервис Cloudflare обеспечивает лишь ограниченную защиту от DDoS-атак. Для вас необходимо будет подписаться как минимум на их бизнес-план для защиты от DDoS-атак уровня 7, который стоит около 200 баксов за месяц.

См. Нашу статью о Sucuri и Cloudflare для подробного параллельного сопоставления.

Примечание: Брандмауэры приложений сайтов (WAF), которые работают на уровне приложений, менее эффективны во время DDoS-атаки. Они заблокируют трафик, когда он уже достигнул вашего веб-сервера, потому он как и раньше влияет на общую производительность вашего сайта.

Выяснение, является ли это грубая сила либо DDoS-атака

И грубая сила, и DDoS-атаки активно употребляют ресурсы сервера, что значит, что их симптомы (Симптом от греч. — случай, совпадение, признак — один отдельный признак, частое проявление какого-либо заболевания, патологического состояния или нарушения какого-либо процесса жизнедеятельности) весьма похожи. Ваш веб-сайт будет работать медлительнее и может отдать сбой.

Вы сможете просто выяснить, является ли это атакой грубой силы либо DDoS-атакой, просто просмотрев отчеты о входе в плагин Sucuri.

Просто установите и активируйте бесплатный плагин Sucuri, а потом перейдите в Sucuri Security »Крайние входы страничка.

Неудачные попытки входа

Если вы видите огромное количество случайных запросов на вход, это значит, что ваш wp-admin подвергся атаке способом грубой силы. Чтоб смягчить его, вы сможете ознакомиться с нашим управлением о том, как перекрыть атаки способом грубой силы в WordPress.

Что созодать во время DDoS-атаки

DDoS-атаки могут происходить, даже если у вас есть брандмауэр веб-приложений и остальные средства защиты. Такие компании, как CloudFlare и Sucuri, часто борются с этими атаками, и почти всегда вы никогда не услышите о этом, так как они могут просто смягчить их.

Но в неких вариантах, когда эти атаки значительны, они все таки могут воздействовать на вас. В этом случае лучше быть готовым к устранению заморочек, которые могут появиться во время и после DDoS-атаки.

Ниже приведены несколько вещей, которые вы сможете создать, чтоб минимизировать воздействие DDoS-атаки.

1. Предупредите членов вашей команды

Если у вас есть команда, то для вас необходимо сказать сотрудникам о дилемме. Это поможет им приготовиться к запросам в службу саппорта, выявить вероятные трудности и посодействовать во время либо после атаки.

2. Сообщите клиентам о неудобствах.

DDoS-атака может воздействовать на работу юзеров на вашем сайте. Если вы управляете магазином WooCommerce, ваши клиенты не сумеют расположить заказ либо войти в свою учетную запись.

Вы сможете объявить через свои учетные записи в соц сетях, что у вашего сайта появились технические трудности, и скоро все возвратится в норму.

Если атака серьезна, вы также сможете применять свою службу электрического маркетинга, чтоб разговаривать с клиентами и просить их смотреть за вашими обновлениями в соц сетях.

Если у вас есть VIP-клиенты, вы сможете применять свою служебную телефонную службу, чтоб совершать отдельные телефонные звонки и докладывать им, как вы работаете над восстановлением услуг.

Коммуникация в эти трудные времена имеет большущее значение для сохранения репутации вашего бренда.

3. Обратитесь в службу саппорта хостинга и сохранности.

Свяжитесь со своим хостинг-провайдером WordPress. Атака, очевидцем которой вы сможете быть, быть может частью наиболее большой атаки, нацеленной на их системы. В этом случае они сумеют предоставить для вас крайние анонсы о ситуации.

Обратитесь в службу брандмауэра и сообщите им, что ваш веб-сайт подвергся DDoS-атаке. Они могут смягчить ситуацию еще резвее и предоставить для вас доп. информацию.

У поставщиков брандмауэров, таковых как Sucuri, вы также сможете установить свои опции в параноидальном режиме, который помогает перекрыть огромное количество запросов и создать ваш веб-сайт легкодоступным для обыденных юзеров.

Обеспечение сохранности вашего сайта WordPress

WordPress полностью неопасен из коробки. Но, как самый пользующийся популярностью в мире конструктор сайтов, он нередко становится целью взломщиков.

К счастью, существует огромное количество передовых способов обеспечения сохранности, которые вы сможете применить на собственном сайте, чтоб создать его еще наиболее неопасным.

Мы составили полное пошаговое управление по сохранности WordPress для начинающих. Он проведет вас через наилучшие опции сохранности WordPress для защиты вашего веб-сайта и его данных от всераспространенных угроз.

Мы возлагаем надежды, что эта статья посодействовала для вас выяснить, как заблокировать и предупредить DDoS-атаку на WordPress.


Поделись с друзьями:

Оставьте комментарий