WordPress – один из самых популярных конструкторов сайтов в мире, поскольку он предлагает мощные функции и безопасную кодовую базу. Однако это делает его мишенью для DDoS-атак. Хакеры используют DDoS-атаки, чтобы замедлить работу веб-сайтов и сделать их в конечном итоге недоступными для пользователей. Эти атаки могут быть направлены как на маленькие, так и на большие сайты. Теперь, возможно, вам интересно, как сайт малого бизнеса, использующий WordPress, может предотвратить такие DDoS-атаки при ограниченных ресурсах. В этом руководстве мы покажем вам, как эффективно остановить и предотвратить DDoS-атаку на WordPress. Наша цель – помочь вам научиться управлять безопасностью вашего сайта от DDoS-атак как профессионал.
Что такое DDoS-атака?
DDoS (Distributed Denial of Service) – это тип кибер-атаки, в которой используются взломанные компьютеры и устройства для отправки или запроса данных с сервера хостинга WordPress. Цель этих запросов – замедлить работу и в конечном итоге вывести из строя целевой сервер. DDoS-атаки развились из DoS-атак (отказ в обслуживании). В отличие от DoS-атак, они используют преимущества нескольких взломанных машин или серверов, расположенных в разных регионах. Эти взломанные машины образуют сеть, которую иногда называют ботнетом. Каждая зараженная машина действует как бот и запускает атаки на целевую систему или сервер. Это позволяет им оставаться незамеченными в течение некоторого времени и наносить максимальный ущерб до того, как они будут заблокированы.
Даже крупнейшие интернет-компании уязвимы к DDoS-атакам. В 2018 году GitHub, популярная платформа для размещения кода, стала свидетелем массированной DDoS-атаки, которая направила на их серверы 1,3 терабайта в секунду трафика. Возможно, вы также помните нашумевшую атаку 2016 года на DYN (провайдер услуг DNS). Эта атака получила всемирное освещение в новостях, поскольку от нее пострадали многие популярные сайты, такие как Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit и тысячи других сайтов.
Вопросы и ответы по DDoS
Вот некоторые ответы на часто задаваемые вопросы о DDoS-атаках.
Почему происходят DDoS-атаки? Существует несколько мотивов DDoS-атак. Вот некоторые из них:
- Технически подкованные люди, которым просто скучно, находят в этом приключение
- Люди и группы, делающие политические заявления
- Группы, нацеленные на веб-сайты и услуги определенной страны или региона
- Целенаправленные атаки на конкретный бизнес или поставщика услуг с целью нанесения денежного ущерба
- Шантаж с целью получения выкупа
В чем разница между атакой грубой силы и DDoS-атакой? Атаки грубой силы пытаются получить несанкционированный доступ к системе путем угадывания паролей или перебора случайных комбинаций. DDoS-атаки используются исключительно для разрушения системы, делая ее медленной или недоступной.
Какой ущерб может нанести DDoS-атака? DDoS-атаки могут снизить производительность сайта или сделать его недоступным. Это приводит к ухудшению качества обслуживания пользователей, потере бизнеса и расходам на ликвидацию последствий атаки, которые могут составлять тысячи долларов. Ниже приводится разбивка этих расходов:
- Потеря бизнеса из-за недоступности веб-сайта
- Затраты на поддержку клиентов для ответа на вопросы, связанные с перебоями в обслуживании
- Стоимость снижения последствий атаки путем найма служб безопасности или поддержки
- Самая большая цена – это плохой пользовательский опыт и репутация бренда
Как остановить и предотвратить DDoS-атаки в WordPress? DDoS-атаки могут быть хитро замаскированы, и с ними трудно справиться. Однако, соблюдая некоторые основные правила безопасности, вы можете предотвратить и легко остановить DDoS-атаки на ваш сайт WordPress. Вот шаги, которые необходимо предпринять, чтобы предотвратить и остановить DDoS-атаки на ваш сайт. Самое лучшее в WordPress – это его высокая гибкость. WordPress позволяет сторонним плагинам и инструментам интегрироваться в ваш сайт и добавлять новые функции. Для этого WordPress предоставляет программистам несколько API. Эти API представляют собой методы, с помощью которых сторонние плагины и сервисы WordPress могут взаимодействовать с WordPress. Однако некоторые из этих API могут быть использованы во время DDoS-атаки путем отправки большого количества запросов. Вы можете безопасно отключить их, чтобы уменьшить количество таких запросов.
Отключение XML RPC в WordPress. XML-RPC позволяет сторонним приложениям взаимодействовать с вашим сайтом WordPress. Например, вам нужен XML-RPC для использования приложения WordPress на вашем мобильном устройстве. Если вы похожи на подавляющее большинство пользователей, которые не используют мобильное приложение для работы своего сайта, то вы можете отключить XML-RPC, просто добавив следующий код в файл . htaccess вашего сайта.
| 1 2 3 4 5 | # Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from all<Files> |
Отключение REST API в WordPress. WordPress JSON REST API позволяет плагинам и инструментам получать доступ к данным WordPress, обновлять содержимое и/или даже удалять его. Вот как можно отключить REST API в WordPress. Первое, что вам нужно сделать, это установить и активировать плагин Disable WP Rest API. Для более подробной информации смотрите наше пошаговое руководство о том, как установить плагин WordPress. Плагин работает без проблем и отключает REST API для всех незалогиненных пользователей.
Отключение таких векторов атак, как REST API и XML-RPC, обеспечивает ограниченную защиту от DDoS-атак. Ваш сайт по-прежнему уязвим для обычных HTTP-запросов. Хотя вы можете смягчить небольшую DDoS-атаку, пытаясь поймать IP-адреса плохих машин и заблокировать их вручную, этот подход менее эффективен, когда речь идет о крупной атаке. Самый простой способ блокировать подозрительные запросы – активировать брандмауэр приложений сайта. Брандмауэр приложений сайта действует как прокси-сервер между вашим сайтом и всем входящим трафиком. Он использует интеллектуальный алгоритм для отлова всех подозрительных запросов и их блокировки до того, как они достигнут сервера вашего сайта.
Мы рекомендуем использовать Sucuri, потому что это лучший плагин безопасности WordPress и брандмауэр сайта. Он работает на уровне DNS, что означает, что он может поймать DDoS-атаку до того, как она сможет сделать запрос на ваш сайт. Стоимость Sucuri начинается от $20 в месяц (оплачивается ежегодно). Мы используем Sucuri на WPBeginner. Посмотрите наше тематическое исследование о том, как они помогают блокировать сотни тысяч атак на наш сайт. В качестве альтернативы вы можете использовать Cloudflare. Однако бесплатный сервис Cloudflare обеспечивает лишь ограниченную защиту от DDoS-атак. Для защиты от DDoS-атак седьмого уровня вам необходимо подписаться на бизнес-план, стоимость которого составляет около 200 долларов в месяц.
Примечание: Брандмауэры приложений веб-сайта (WAF), работающие на уровне приложений, менее эффективны во время DDoS-атаки. Они блокируют трафик, когда он уже достиг вашего веб-сервера, поэтому он все равно влияет на общую производительность сайта.
И грубая сила, и DDoS-атаки интенсивно используют ресурсы сервера, поэтому их симптомы очень похожи. Ваш сайт будет работать медленнее и может упасть. Вы можете легко определить, что это – атака грубой силы или DDoS-атака, посмотрев отчеты плагина Sucuri о входе в систему. Просто установите и активируйте бесплатный плагин Sucuri, а затем перейдите на страницу Sucuri Security ” Последние логины.
Если вы наблюдаете большое количество случайных запросов на вход, это означает, что ваш wp-admin подвергается атаке грубой силы. Для того, чтобы уменьшить ее последствия, вы можете ознакомиться с нашим руководством по блокированию атак грубой силы в WordPress. DDoS-атаки могут произойти, даже если у вас установлен брандмауэр веб-приложений и другие средства защиты. Такие компании, как CloudFlare и Sucuri, регулярно имеют дело с такими атаками, и в большинстве случаев вы никогда не услышите об этом, поскольку они легко справляются с ними. Однако в некоторых случаях, когда эти атаки велики, они все же могут повлиять на вас. В этом случае лучше всего быть готовым к смягчению проблем, которые могут возникнуть во время и после DDoS-атаки. Ниже перечислены некоторые вещи, которые вы можете сделать, чтобы минимизировать последствия DDoS-атаки.
1. Предупредите членов своей команды. Если у вас есть команда, то вам необходимо проинформировать коллег о проблеме. Это поможет им подготовиться к запросам в службу поддержки, обратить внимание на возможные проблемы и оказать помощь во время или после атаки.
2. Информируйте клиентов о неудобствах. DDoS-атака может повлиять на работу пользователей на вашем сайте. Если у вас магазин WooCommerce, то ваши клиенты могут не иметь возможности оформить заказ или войти в свой аккаунт. Вы можете объявить через свои социальные сети, что ваш сайт испытывает технические трудности и скоро все придет в норму. Если атака крупная, то вы также можете использовать свою службу маркетинга электронной почты для связи с клиентами и попросить их следить за обновлениями в ваших социальных сетях. Если у вас есть VIP-клиенты, то вы можете воспользоваться услугой бизнес-телефонии, чтобы сделать индивидуальные звонки и сообщить им, как вы работаете над восстановлением услуг. Общение в такие трудные времена имеет огромное значение для поддержания репутации вашего бренда.
3. Свяжитесь со службой поддержки хостинга и безопасности. Свяжитесь с вашим хостинг-провайдером WordPress. Атака на ваш сайт может быть частью более крупной атаки, направленной на их системы. В этом случае они смогут предоставить вам последнюю информацию о ситуации. Свяжитесь с вашей службой межсетевого экрана и сообщите им, что ваш сайт подвергается DDoS-атаке. Возможно, они смогут еще быстрее смягчить ситуацию и предоставить вам больше информации. В брандмауэрах таких провайдеров, как Sucuri, вы также можете установить в настройках “Параноидальный режим”, который помогает блокировать большое количество запросов и сделать ваш сайт доступным для обычных пользователей. WordPress достаточно безопасен из коробки. Однако, будучи самым популярным в мире конструктором сайтов, он часто становится мишенью для хакеров. К счастью, существует множество передовых методов обеспечения безопасности, которые вы можете применить на своем сайте, чтобы сделать его еще более защищенным. Мы надеемся, что эта статья помогла вам узнать, как блокировать и предотвратить DDoS-атаку на WordPress. Возможно, вы также захотите узнать, как увеличить посещаемость вашего блога, или ознакомиться с нашим списком наиболее распространенных ошибок WordPress и способами их устранения.
