Up next
Author
Share article
The post has been shared by 0 people.
Facebook 0
X (Twitter) 0
Pinterest 0
Mail 0
W artykule:
  1. Co To jest atak DDoS?
  2. Jak zatrzymać i zapobiec atakowi DDoS na WordPress
  3. Usuwanie Pionowych Ataków DDoS / Brute Force
  4. Aktywacja WAF (website Application Firewall)
  5. Sprawdzanie, czy jest to brutalna siła, czy atak DDoS
  6. Rzeczy do zrobienia podczas ataku DDoS
  7. Dbanie O Bezpieczeństwo Witryny WordPress

WordPress jest jednym z najpopularniejszych kreatorów stron internetowych na świecie, ponieważ oferuje zaawansowane funkcje i bezpieczną bazę kodu. Nie chroni to jednak WordPressa ani żadnego innego oprogramowania przed złośliwymi atakami DDoS, które są powszechne w Internecie.

Ataki DDoS mogą spowolnić witryny i ostatecznie uczynić je niedostępnymi dla użytkowników. Ataki te mogą być skierowane zarówno na małe, jak i duże strony internetowe.

Teraz możesz się zastanawiać, w jaki sposób strona internetowa małej firmy korzystająca z WordPress może zapobiegać takim atakom DDoS przy ograniczonych zasobach?

W tym przewodniku pokażemy Ci, jak skutecznie zatrzymać i zapobiec atakowi DDoS na WordPress. Naszym celem jest pomoc w nauczeniu się, jak zarządzać bezpieczeństwem swojej witryny przed atakiem DDoS jak total pro.

Stopping and preventing a DDOS attack on a WordPress site

Co To jest atak DDoS?

Atak DDoS, skrót od Distributed Denial of Service attack, to rodzaj cyberataku, który wykorzystuje skompromitowane Komputery i urządzenia do wysyłania lub żądania danych z serwera hostingowego WordPress. Celem tych żądań jest spowolnienie i ostatecznie awaria docelowego serwera.

Ataki DDoS są rozwiniętą formą ataków DoS (Denial of Service). W przeciwieństwie do ataku DoS, wykorzystują one wiele skompromitowanych maszyn lub serwerów rozmieszczonych w różnych regionach.

Te skompromitowane maszyny tworzą sieć, która jest czasami nazywana botnetem. Każda dotknięta maszyna działa jako bot i uruchamia ataki na docelowy system lub serwer.

Dzięki temu mogą pozostać niezauważone przez jakiś czas i spowodować maksymalne obrażenia, zanim zostaną zablokowane.

DDoS attack diagram

Nawet największe firmy internetowe są podatne na ataki DDoS.

W 2018 r. GitHub, popularna platforma hostingowa kodu, był świadkiem masywnego ataku DDoS, który wysyłał ruch 1,3 terabajtów na sekundę do ich serwerów.

Być może pamiętasz również słynny atak 2016 na DYN (dostawcę usług DNS). Atak ten ma ogólnoświatowy zasięg wiadomości, ponieważ wpłynął na wiele popularnych stron internetowych, takich jak Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit i tysiące innych stron internetowych.

Dlaczego Zdarzają Się Ataki DDoS?

Istnieje kilka motywacji za atakami DDoS. Poniżej kilka typowych:

  • Technicznie doświadczeni ludzie, którzy są po prostu znudzeni i uważają, że jest to ryzykowne
  • Ludzi i grup starających się o polityczny punkt
  • Grupy kierujące strony internetowe i usługi z danego kraju lub regionu
  • Ukierunkowane ataki na konkretną firmę lub dostawcę usług, aby wyrządzić im szkodę pieniężną
  • Szantażować i odebrać okup

Jaka jest różnica między atakiem Brute Force a atakiem DDoS?

Brute force attack

Ataki Brute Force zazwyczaj próbują włamać się do systemu, zgadując hasła lub próbując losowych kombinacji, aby uzyskać nieautoryzowany dostęp do systemu.

Ataki DDoS są po prostu używane, aby po prostu zawiesić docelowy system, czyniąc go niedostępnym lub spowalniając go.

Szczegóły znajdziesz w naszym przewodniku, jak blokować ataki brute force na WordPress z instrukcjami krok po kroku.

Jakie szkody mogą być spowodowane przez atak DDoS?

Ataki DDoS mogą sprawić, że witryna będzie niedostępna lub zmniejszy wydajność. Może to spowodować złe wrażenia użytkownika,utratę firmy, a koszty złagodzenia ataku mogą być w tysiącach dolarów.

Oto podział tych kosztów:

  • Utrata działalności z powodu niedostępności strony internetowej
  • Koszt obsługi klienta w odpowiedzi na zapytania związane z zakłóceniami usług
  • Koszt łagodzenia ataku poprzez zatrudnienie służb bezpieczeństwa lub wsparcia
  • Największym kosztem jest złe wrażenia użytkownika i reputacja marki

Jak zatrzymać i zapobiec atakowi DDoS na WordPress

Ataki DDoS mogą być sprytnie zamaskowane i trudne do opanowania. Jednak dzięki niektórym podstawowym najlepszym praktykom bezpieczeństwa możesz zapobiegać atakom DDoS i łatwo je zatrzymać, wpływając na Twoją witrynę WordPress.

Oto kroki, które musisz podjąć, aby zapobiec i zatrzymać ataki DDoS w Twojej witrynie WordPress.

Usuwanie Pionowych Ataków DDoS / Brute Force

Najlepszą rzeczą w WordPress jest to, że jest bardzo elastyczny. WordPress umożliwia integrację wtyczek i narzędzi innych firm z Twoją witryną i dodawanie nowych funkcji.

W tym celu WordPress udostępnia programistom kilka interfejsów API. Te interfejsy API to metody, w których wtyczki i usługi WordPress innych firm mogą wchodzić w interakcje z WordPress.

Jednak niektóre z tych interfejsów API można również wykorzystać podczas ataku DDoS, wysyłając mnóstwo żądań. Możesz je bezpiecznie wyłączyć, aby zmniejszyć te żądania.

Wyłącz XML RPC w WordPress

XML-RPC umożliwia aplikacjom innych firm interakcję z Twoją witryną WordPress. Na przykład potrzebujesz XML-RPC, aby korzystać z aplikacji WordPress na urządzeniu mobilnym.

Jeśli jesteś jak zdecydowana większość użytkowników, którzy nie korzystają z aplikacji mobilnej, możesz wyłączyć XML-RPC, po prostu dodając następujący kod do swojej witryny .plik htaccess. 

# Block WordPress xmlrpc.żądania php
< Pliki xmlrpc.php>
order deny, allow
zaprzecz wszystkim
< / Files>

Aby uzyskać alternatywne metody, zobacz nasz przewodnik, jak łatwo wyłączyć XML-RPC w WordPress.

Wyłącz REST API w WordPress

WordPress JSON REST API umożliwia wtyczkom i narzędziom dostęp do danych WordPress, aktualizowanie treści i/lub nawet usuwanie ich. Oto jak można wyłączyć REST API w WordPress.

Pierwszą rzeczą, którą musisz zrobić, to zainstalować i aktywować wyłącz wtyczkę WP Rest API. Aby uzyskać więcej informacji, zobacz nasz przewodnik krok po kroku, jak zainstalować wtyczkę WordPress.

Wtyczka działa po wyjęciu z pudełka i po prostu wyłączy API REST dla wszystkich niezalogowanych użytkowników.

Aktywacja WAF (website Application Firewall)

Website Application Firewall (WAF)

Wyłączenie wektorów ataków, takich jak REST API i XML-RPC, zapewnia ograniczoną ochronę przed atakami DDoS. Twoja witryna jest nadal podatna na normalne żądania HTTP.

Chociaż możesz złagodzić mały atak DOS, próbując złapać złe adresy IP maszyn i zablokować je ręcznie, takie podejście nie jest zbyt skuteczne w przypadku dużego ataku DDoS.

Najprostszym sposobem na zablokowanie podejrzanych żądań jest aktywacja zapory aplikacji internetowej.

Zapora aplikacji internetowej działa jako serwer proxy między witryną a całym Ruchem przychodzącym. Wykorzystuje inteligentny algorytm, aby złapać wszystkie podejrzane żądania i zablokować je, zanim dotrą do serwera witryny.

Website application firewall

Zalecamy korzystanie z Sucuri, ponieważ jest to najlepsza wtyczka zabezpieczająca WordPress i Zapora sieciowa. Działa na poziomie DNS, co oznacza, że mogą złapać atak DDoS, zanim będzie mógł złożyć wniosek do twojej witryny.

Ceny dla Sucuri zaczynają się od $20 miesięcznie (płatne rocznie).

Używamy Sucuri na WPBeginner. Zobacz nasze studium przypadku, w jaki sposób pomagają one blokować setki tysięcy ataków na naszej stronie internetowej.

Alternatywnie możesz również użyć Cloudflare. Jednak bezpłatna usługa Cloudflare zapewnia tylko ograniczoną ochronę przed atakami DDoS. Musisz zarejestrować się w celu uzyskania przynajmniej ich biznesplanu dla ochrony przed atakami DDoS warstwy 7, który kosztuje około $200 miesięcznie.

Zobacz nasz artykuł na temat Sucuri vs Cloudflare, aby uzyskać szczegółowe porównanie obok siebie.

Uwaga: Zapory aplikacji internetowych (WAFs), które działają na poziomie aplikacji, są mniej skuteczne podczas ataku DDoS. Blokują ruch, gdy już dotrze do serwera WWW,więc nadal wpływa na ogólną wydajność witryny.

Sprawdzanie, czy jest to brutalna siła, czy atak DDoS

Zarówno ataki brute force, jak i DDoS intensywnie wykorzystują zasoby serwera, co oznacza, że ich objawy wyglądają dość podobnie. Twoja strona będzie wolniejsza i może ulec awarii.

Możesz łatwo dowiedzieć się, czy jest to atak brute force, czy atak DDoS, po prostu przeglądając raporty logowania wtyczki Sucuri.

Po prostu zainstaluj i aktywuj darmową wtyczkę Sucuri, a następnie przejdź do Sucuri Security ” Ostatnie Logowanie strona.

Failed logins

Jeśli widzisz dużą liczbę losowych żądań logowania, oznacza to, że Twój wp-admin jest pod atakiem brute force. Aby go złagodzić, możesz zobaczyć nasz przewodnik na temat blokowania ataków brute force w WordPress.

Rzeczy do zrobienia podczas ataku DDoS

Ataki DDoS mogą się zdarzyć, nawet jeśli masz zaporę aplikacji internetowej i inne zabezpieczenia. Firmy takie jak CloudFlare i Sucuri radzą sobie z tymi atakami regularnie, a przez większość czasu nigdy o tym nie usłyszysz, ponieważ mogą łatwo je złagodzić.

Jednak w niektórych przypadkach, gdy te ataki są duże, nadal może mieć wpływ na Ciebie. W takim przypadku najlepiej jest być przygotowanym na złagodzenie problemów, które mogą pojawić się podczas i po ataku DDoS.

Poniżej znajduje się kilka rzeczy, które możesz zrobić, aby zminimalizować wpływ ataku DDoS.

1. Powiadom swoich członków zespołu

Jeśli masz zespół, musisz poinformować współpracowników o problemie. Pomoże im to przygotować się do zapytań o wsparcie klienta, zwrócić uwagę na Możliwe problemy i pomóc w trakcie lub po ataku.

2. Poinformuj klientów o inconvience

Atak DDoS może wpłynąć na wrażenia użytkownika w witrynie. Jeśli prowadzisz sklep WooCommerce, twoi klienci mogą nie być w stanie złożyć zamówienia lub zalogować się na swoje konto.

Możesz ogłosić za pośrednictwem kont w mediach społecznościowych, że Twoja strona ma problemy techniczne i wkrótce wszystko wróci do normy.

Jeśli atak jest duży, możesz również skorzystać z usługi e-mail marketingu, aby komunikować się z klientami i poprosić ich o śledzenie aktualizacji w mediach społecznościowych.

Jeśli masz klientów VIP, możesz użyć służbowej usługi telefonicznej do wykonywania indywidualnych połączeń telefonicznych i poinformować ich, w jaki sposób pracujesz nad przywróceniem usług.

Komunikacja w tych trudnych czasach ma ogromny wpływ na utrzymanie reputacji marki.

3. Skontaktuj się z obsługą hostingu i bezpieczeństwa

Skontaktuj się ze swoim dostawcą usług hostingowych WordPress. Atak, którego możesz być świadkiem, może być częścią większego ataku atakującego ich systemy. W takim przypadku będą mogli dostarczyć Ci najnowsze aktualizacje na temat sytuacji.

Skontaktuj się ze swoją zaporą sieciową i poinformuj ich, że Twoja witryna jest atakowana DDoS. Mogą one być w stanie złagodzić sytuację jeszcze szybciej i mogą dostarczyć więcej informacji.

U dostawców zapór, takich jak Sucuri, możesz również ustawić ustawienia w trybie paranoicznym, który pomaga blokować wiele żądań i sprawić, że Twoja witryna będzie dostępna dla zwykłych Użytkowników.

Dbanie O Bezpieczeństwo Witryny WordPress

WordPress jest dość bezpieczny po wyjęciu z pudełka. Jednak jako najpopularniejszy na świecie Kreator stron internetowych jest często atakowany przez hakerów.

Na szczęście istnieje wiele najlepszych praktyk bezpieczeństwa, które możesz zastosować w swojej witrynie, aby uczynić ją jeszcze bezpieczniejszą.

Przygotowaliśmy kompletny przewodnik bezpieczeństwa krok po kroku WordPress dla początkujących. Przeprowadzi Cię przez najlepsze ustawienia zabezpieczeń WordPress, aby chronić Twoją witrynę i jej dane przed powszechnymi zagrożeniami.

Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak blokować i zapobiegać atakowi DDoS na WordPress. Możesz również zobaczyć nasz przewodnik na temat najczęstszych błędów WordPress i jak je naprawić.

Jeśli podoba Ci się ten artykuł, zasubskrybuj nasz kanał YouTube dla samouczków wideo WordPress. Znajdziesz nas również na Twitterze i Facebooku.

You May Also Like
Odpowiedź JSON nie jest prawidłowy błąd w WordPress

Jak naprawić nieprawidłowy błąd JSON w WordPress (Przewodnik dla początkujących)

W artykule: Co powoduje błąd „nieprawidłowa odpowiedź JSON” w WordPress?1. Sprawdź adresy…
Jak łatwo dodać link w WordPress

Jak zmienić kolor linku w WordPress (poradnik dla początkujących)

W artykule: Dlaczego Linki Są Ważne?Jak dodawać linki w postach i stronach…
Naprawianie krytycznego błędu w WordPress krok po kroku

Jak naprawić błąd krytyczny w WordPress (krok po kroku)

W artykule: Co To jest błąd krytyczny w WordPress?Co powoduje krytyczny błąd…
WordPress Pingbacks & Trackbacks: Ultimate A-Z Guide

WordPress Pingbacks & Trackbacks: Ultimate A-Z Guide

W artykule: Czym są Pingbacks i Trackbacks? Plus, dlaczego są ważneCzym Są…