WordPress – одна из самых надежных систем управления контентом. Миллионы людей доверяют ей как своему основному конструктору сайтов. Тем не менее, вы не должны игнорировать вопросы безопасности, такие как DDoS-атаки, если вы хотите, чтобы ваши сайты работали. Вы не можете оставить свои публичные сайты незащищенными, сохраняя их восприимчивость к DDoS-атакам. В противном случае все ваши усилия и деньги пойдут прахом в течение нескольких секунд, прежде чем вы успеете это осознать. Мощная атака может привести к длительной недоступности сайта. Представьте, что вы зарабатываете на жизнь, пользуясь веб-сайтом, и не можете получить к нему доступ из-за DDoS-атаки. Звучит ужасно, верно? Не волнуйтесь, мы знаем, насколько тревожной является эта проблема. Поэтому в этой статье мы показали, как остановить DDoS-атаки на WordPress как вручную, так и с помощью плагина. Прежде чем погрузиться глубже, давайте сначала узнаем, что такое DDoS-атака.
Что такое DDoS-атака?
DDoS означает распределенный отказ в обслуживании. DDoS-атака – это кибер-атака, в которой используется сеть взломанных компьютеров (также известных как ботнеты). Эти ботнеты одновременно отправляют массивные данные или многочисленные запросы на целевой сервер. Такой внезапный перелив данных часто превышает возможности сервера. Это приводит к замедлению работы или сбою веб-сайтов из-за чрезмерного трафика/данных/запросов, которые они не могут обработать.
Как DDoS влияет на ваш сайт?
Последствия DDoS-атаки зависят от нескольких переменных, таких как степень вашей подготовки, безопасность вашего сервера и мощность атаки. Мощность сервера варьируется во многих аспектах. Поэтому нельзя установить одну формулу для всех при определении того, как атака может повлиять на ваш сайт. Вот список некоторых распространенных проблем, вызванных DDoS-атакой.
Ваш сайт может перестать работать. Наиболее известным результатом DDoS-атаки является медленная и неотзывчивая работа веб-сайта. Если атака слишком сильна для вашей системы, сайт может отключиться в самый пик атаки. Вы не сможете восстановить работу сайта, пока не устраните неполадки.
Становится легче взломать. Во время DDoS-атаки все сосредотачиваются на смягчении последствий атаки, оставляя систему безопасности уязвимой. И велики шансы, что атака ослабит функции безопасности вашего сайта WordPress. Вам необходимо обеспечить оптимальную безопасность вашего сайта WordPress, чтобы оставаться без риска (почти).
Вы потеряете время и деньги. Предположим, у вас есть интернет-магазин. Если он станет жертвой DDoS-атаки, вы понесете значительные денежные потери. Клиенты не смогут сделать заказ, а существующие клиенты не смогут проверить статус заказа. Кроме того, вам может потребоваться нанять специалистов по безопасности, чтобы полностью нейтрализовать атаку. Если вы не сможете вернуть сайт в рабочее состояние, он будет нерабочим в течение длительного времени.
Репутация вашего бренда будет поставлена на карту. Посетители и онлайн-покупатели не смогут зайти или войти на ваш сайт во время атаки. Если у вас большая клиентская база, ваша служба поддержки/руководители отдела по работе с клиентами могут принимать сотни звонков одновременно. Такая недоступность сервиса серьезно подрывает репутацию бренда. Клиенты/посетители могут начать чувствовать себя неуверенно при совершении покупок или получении информации с вашего сайта.
Здоровье SEO ухудшится. Боты Google часто ползают по веб-сайтам, чтобы найти и проиндексировать новый или обновленный контент. Вы можете потерять рейтинг, если они придут на ваш сайт, когда сайт недоступен. Иногда даже требуется несколько дней, чтобы привести сайт в порядок. В течение всего этого времени пострадавший сайт обычно перенаправляется на плохой шлюз 502. Это также негативно сказывается на рейтинге поисковых систем. Более того, все ссылки, указывающие на ваш сайт, также не будут работать. Все это вместе взятое ухудшит SEO-здоровье вашего сайта.
DDoS-атака и хакерство – одно и то же?
Некоторые люди путают хакерские атаки и атаки методом перебора с DDoS-атаками. Да, хакерские атаки и атаки грубой силы – это другие формы кибер-атак. Но они отличаются от DDoS. Хакерство – это захват контроля над системой и использование слабых мест в системе безопасности для получения доступа к системе или веб-сайту. В то время как DDoS означает сделать сайт медленным или недоступным из-за переполнения трафика, направленного на целевой сайт. Bruteforce-атака также является одним из видов взлома, когда хакеры пытаются получить информацию для входа в систему, выполняя атаки методом проб и ошибок. Хакеры пытаются угадать все возможные комбинации и найти правильные учетные данные, чтобы получить доступ к вашему сайту. Взлом/атака грубой силы является более серьезной в случае с бизнес-сайтом. Если злонамеренный хакер неправомерно использует хранящиеся на вашем сайте данные, это может привести к невосполнимым потерям. Вы можете даже навсегда потерять контроль над сайтом.
Почему вы можете стать объектом DDoS-атак
Вы можете задаться вопросом, зачем кому-то понадобилось устраивать DDoS-атаку на ваш сайт. Некоторые злоумышленники преследуют вполне определенные цели, в то время как другие делают это просто ради развлечения. Давайте рассмотрим возможные причины.
1. Атаки неэтичных конкурентов: Вы не можете ожидать, что все ваши бизнес-конкуренты придерживаются строгих принципов. Вместо того чтобы превзойти вас законными методами, некоторые конкуренты могут спонсировать DDoS-атаки, чтобы получить конкурентное преимущество над вами. Еще более неприятным является то, что вы не можете идентифицировать атакующих, поскольку они обычно используют не отслеживаемые IP-адреса.
2. Атаки последователей другой идеологии: Предположим, вы ведете сайт, который продвигает движение Black Lives Matter (BLM), мотивированная группа противников BLM может совершить DDoS на ваш сайт, чтобы помешать вашей обычной деятельности. Или, если вы поддерживаете Дональда Трампа, кто-то, кто против него, может провести атаку, чтобы вывести ваш сайт из строя. Когда такие атаки происходят из-за идеологии или убеждений, это называется “хактивизм”.
3. Атаки из-за уязвимости веб-сайта: Люди с отличными техническими знаниями иногда совершают DDoS-атаки просто так, от скуки. Для них это не что иное, как приключение, источник отдыха. Сайты с низким уровнем безопасности и уязвимостью чаще всего становятся жертвами таких атак.
4. Атаки с целью получения денежной выгоды: Вы можете легко стать целью DDoS, если простой вашего сайта имеет большое значение для вашего бизнеса. Злоумышленник может спланировать атаку, чтобы шантажировать вас и потребовать выкуп.
Как остановить DDoS-атаки на WordPress
Вы можете остановить DDoS-атаки как вручную, так и с помощью плагинов. Первый способ включает в себя несколько элементов кодирования, а второй требует наличия высокофункционального и совместимого плагина. В следующих разделах мы рассмотрим оба метода.
Защитите свой сайт от DDoS-атаки вручную
WordPress – это очень гибкая платформа, которая позволяет интегрировать сторонние приложения с помощью API (Application Programming Interface). DDoS-атакующие используют преимущества этих API. Они используют API для отправки чрезмерного количества запросов на сайт. Один из самых эффективных способов остановить DDoS-атаки на сайты WordPress – отключить уязвимый API под названием XML-RPC. Этот API нужен только для взаимодействия со сторонними приложениями. Например, этот API позволяет использовать мобильное приложение WordPress. Если вам не нужна эта функциональность, вы можете смело отключить ее. Перейдите в файл . htaccess вашего сайта. Скопируйте и вставьте следующий код в нижнюю часть файла . hataccess.
#Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>Эти части кода отключат XML RPC на вашем сайте WordPress. Замените xxx.xxx.xxx.xxx на конкретный IP-адрес, которому вы хотите разрешить использовать XML-RPC сайта WordPress. Если вы хотите избежать хлопот с кодированием и использовать плагин для защиты вашего сайта, см. следующий раздел.
Используйте плагины для предотвращения DDoS-атак
Вы можете использовать брандмауэр веб-приложений (WAF) для идентификации и блокировки вредоносного трафика. Здесь мы показали, как можно остановить DDoS-атаки на WordPress с помощью одного из самых используемых плагинов безопасности – Wordfence Security. Давайте рассмотрим, как вы можете активировать и настроить Wordfence Security для оптимальной работы.
Активация и настройка системы безопасности Wordfence
Wordfence поставляется со встроенным сканером вредоносных программ, который блокирует подавляющее число запросов, которые кажутся вредоносными. Он ограничивает попытки входа в систему и принудительно вводит сложные пароли. Таким образом, этот плагин брандмауэра защищает сайт WordPress от DDoS-атак и атак грубой силы. Узнайте, как использовать Wordfence, из следующего раздела.
Шаг 1: Установите и активируйте Wordfence. Перейдите в меню Плагины из боковой панели WordPress. Нажмите на кнопку Добавить новый.
На перенаправленной странице вы увидите строку поиска. Введите “wordfence security” в строке поиска. Результаты поиска предложат вам плагин Wordfence, а также другие связанные с ним плагины.
Выберите Wordfence Security- Firewall & Malware Scan и нажмите на кнопку Install Now. Активируйте плагин после успешной установки. Wordfence покажет вам приветственную страницу, где вам нужно указать свой адрес электронной почты (1) и нажать кнопку продолжить для успешной установки плагина.
Шаг 2: Настройте параметры. Теперь у вас появится новое меню под названием Wordfence на левой панели администратора вашего сайта. Нажмите на меню Dashboard.
Вы будете перенаправлены на новую страницу. Теперь перейдите на вкладку Global Options, чтобы получить доступ к параметрам настройки.
Изучите все варианты и выберите подходящую конфигурацию по своему усмотрению.
Шаг 3: Изучите опцию “Брандмауэр”. Нажмите на опцию Firewall в боковой панели прямо под меню Wordfence. Это приведет вас на следующую страницу. Нажмите на кнопку Управление брандмауэром.
Затем нажмите на кнопку Оптимизировать брандмауэр Wordfence.
Загрузите файл . htaccess, как предлагает всплывающее окно, затем нажмите кнопку Continue для завершения оптимизации.
Шаг 4: Активируйте 2FA Security. Вы можете включить двухфакторную аутентификацию в меню Безопасность входа на левой боковой панели.
Шаг 5: Изучите меню “Все параметры”. Wordfence Security имеет меню All Options, в котором собраны все параметры настройки. Вы можете зайти на эту страницу, чтобы облегчить процесс настройки Wordfence.
Альтернатива Wordfence
Хотя Wordfence имеет большую базу поклонников, есть и другие плагины безопасности, которые делают смелые заявления как высокоэффективные инструменты безопасности для WordPress. Мы перечислили здесь две наиболее достойные альтернативы Wordfence, чтобы помочь вам выбрать подходящий вариант, соответствующий вашим потребностям.
MalCare
Хотя Wordfence является самым популярным плагином безопасности, другие плагины, такие как MalCare, также участвуют в конкурсе. Это отличный плагин безопасности с более чем 10 000 активных установок и удовлетворительными оценками пользователей. MalCare имеет автоматическую очистку и мощный облачный брандмауэр для защиты сайта от DDoS и других кибер-атак. Вы получите уведомление в режиме реального времени, если сайт упадет. С помощью одного плагина вы получите сканер вредоносных программ, средство удаления вредоносных программ и защитник сайта.
Security Ninja
Security Ninja служит на арене WordPress уже более десяти лет. Он выполняет более 50 тестов безопасности и мгновенно находит проблемы. Вы можете легко использовать этот плагин, пройдя простой процесс настройки. Этот плагин предупреждает пользователей, если у них есть плагины, которые, как известно, имеют уязвимости. Он автоматически блокирует 600+ миллионов вредоносных IP-адресов одним щелчком мыши. Версия Pro оснащена облачным брандмауэром, который блокирует злоумышленников до того, как они смогут проникнуть на ваш сайт.
Бонус: проверенные советы, как остановить DDoS-атаку на WordPress
Вышеупомянутых методов достаточно, чтобы предотвратить заражение вашего сайта DDoS-атаками. Вы можете выполнить следующие шаги, чтобы добавить дополнительный уровень безопасности.
- Безопасное резервное копирование данных вашего сайта позволяет избежать риска даже в случае атаки. В качестве решения для резервного копирования можно использовать UpdraftPlus или BackupBuddy.
- Используйте хорошую CDN (сеть доставки контента), например Cloudflare. CDN отправляет трафик на другие серверы, если один сервер подвергается атаке.
- Инвестируйте в высококачественное сетевое оборудование, чтобы снизить вероятность DDoS-атак.
- Используйте последнюю версию WordPress, чтобы гарантировать, что ваш сайт имеет самые последние средства защиты.
- Используйте плагин Protection Against DDoS и ограничьте доступ извне к xmlrpc.php.
- Активируйте WordPress Rest API, чтобы управлять доступом ко всему Rest API.
- Выбирайте хостинг-провайдера, который регулярно обновляет свои системы безопасности, брандмауэр и программное обеспечение.
- Приобрести дополнительную пропускную способность Интернета и увеличить возможности сервера Yiour для обработки большего трафика.
Заключительные размышления
Совершенно очевидно, что с помощью правильной подготовки и плагинов, установленных на вашем сайте, вы сможете остановить DDoS-атаки на ваш сайт WordPress. Мы рекомендуем вам постоянно создавать резервные копии всех ваших данных, чтобы вы могли восстановить их, даже если вы станете жертвой DDoS-атаки. Сайты WordPress обычно безопасны и реже подвергаются DDoS-атакам. Тем не менее, разумно подготовиться заранее и предотвратить DDoS-атаки и атаки вредоносного ПО. Правильно подобранный плагин поможет вам легко остановить DDoS-атаки в несколько кликов. Внимательно следите за своим сайтом. Примите оперативные меры, если вы заметите необычный трафик или любую подозрительную активность.
