كيفية منع هجمات DDoS في ووردبريس

نشرت: 2020-08-18

مع انتشار الوباء على قدم وساق في العديد من البلدان وانتشار الأعمال التجارية عبر الإنترنت ، أصبحت الهجمات الرقمية أكثر تواترًا وتهديدًا. تعد هجمات DDoS من أكثر هذه الهجمات شيوعًا وخطورة. في هذا الدليل ، سنوضح لك كيفية منع هجمات DDoS على موقع WordPress الخاص بك .

ما هي هجمات DDoS؟

قبل الانتقال إلى كيفية منع هجمات DDoS (رفض الخدمة الموزعة) ، دعنا أولاً نفهم ماهيتها. ببساطة ، هجوم DDoS هو نوع من هجوم رفض الخدمة (DoS) الذي يتضمن العديد من الأجهزة المتصلة عبر الإنترنت التي يستخدمها المتسللون لإغراق خوادم موقع الويب بحركة مرور مزيفة .

في هجمات DDoS ، تشن هذه الأجهزة والخوادم المتصلة هجمات منفصلة ولكن في نفس الوقت ، مما يسمح لها بالمرور دون أن يلاحظها أحد لبعض الوقت قبل أن يتم حظرها. باستخدام هذا التكتيك ، يمكنهم بسهولة تكثيف تأثير هذه الهجمات ، وإبطاء السرعة وتعطيل الخادم الذي يستهدفونه في النهاية.

أحد الأشياء المثيرة للاهتمام حول هجمات DDoS هو أنها لا تحاول اختراق الخادم الخاص بك والوصول إليه مباشرة . بدلاً من ذلك ، يهدفون إلى تعطل موقع الويب والخوادم لفترة معينة حتى لا يتمكن المستخدمون من الوصول إليها. ومع ذلك ، يمكن استخدام هجمات DDoS كغطاء لخرق أمان الخادم.

إذن ماذا يحدث إذا كنت ضحية لهجوم DDoS؟ إذا نجح المتسللون في تعطل الخادم الخاص بك ، فقد تكون في مشكلة. قد يكلفك استرداد نظامك آلاف الدولارات ، ناهيك عن المصاريف الأخرى مثل النطاق الترددي. والأهم من ذلك ، أن الهجوم سيؤثر سلبًا على حركة المرور والسمعة ونتائج المبيعات.

هل هجمات DDoS شائعة؟

نعم إنهم هم. في الواقع ، أصبحت هجمات DDoS أكثر شيوعًا. وفقًا للدراسات الحديثة ، يوجد حاليًا 16 هجوم DDoS كل 60 ثانية ! وفي عام 2019 وحده ، كان هناك أكثر من 8.4 مليون هجوم DDoS حول العالم.

لتجنب كل هذه المشكلات ، من الأهمية بمكان منع هجمات DDoS على موقع WordPress الخاص بك . في هذا الدليل ، سنوضح لك ما يجب فعله لتجنبها والحفاظ على أمان موقع الويب الخاص بك.

كيفية منع هجمات DDoS في ووردبريس

هذه بعض الأفكار لمنع هجمات DDoS في WordPress وتجنب المتسللين الذين يؤثرون على موقعك.

  1. حظر الوصول إلى ملف wp-login.php
  2. قم بتنشيط WAF
  3. الإشراف على حركة المرور على الموقع
  4. تقييد الوصول إلى منطقة wp-admin
  5. تنشيط حظر البلد
  6. تعطيل DDoS Attack API
    1. XML RPC API
    2. REST API
  7. قم بتحديث WordPress بانتظام

1. منع الوصول إلى ملف wp-login.php

يعد ملف wp-login.php أحد المسارات الأكثر شيوعًا التي يستخدمها المتسللون لهجمات DDoS في WordPress. على سبيل المثال ، في QuadLayers ، نقوم بحظر الوصول إلى ملفات wp-login.php أكثر من 250 مرة في اليوم!

إذا كنت تستخدم خدمة مثل Cloudflare ، فيمكنك التحقق من عدد المرات التي حاول فيها شخص ما الوصول إلى ملفات wp-login.php الخاصة بك. وستندهش من ارتفاع هذا الرقم. يعد حظر الوصول إلى هذه الملفات أحد أفضل الطرق لمنع هجمات DDoS في WordPress.

تقدم معظم خدمات الأمان خيارات مختلفة لمنع الوصول إلى ملف wp-login.php . نحن نستخدم Cloudflare لذلك سنوضح لك كيفية منع الهجمات على ملفات wp-login.php باستخدام هذه الخدمة. تتيح لك خطة Cloudflare المجانية إعداد ما يصل إلى 5 قواعد حتى تتمكن من القيام بذلك دون إنفاق أي أموال.

في لوحة المعلومات ، انتقل إلى جدار الحماية> قواعد جدار الحماية> إنشاء قاعدة جدار الحماية . امنح القاعدة اسمًا ، واملأ الفراغات بالمعلومات التالية:

كيفية منع هجمات DDoS في WordPress - Wp-admin.php

  • الحقل : مسار URI
  • المشغل : يحتوي على
  • القيمة : /wp-login.php

بدلاً من ذلك ، يمكنك نسخ ولصق التعليمة البرمجية التالية في قسم Expression Preview:

 (يحتوي http.request.uri.path على "/wp-login.php")

انقر فوق الزر " حفظ " وأنت مستعد تمامًا.

 2. تفعيل WAF
 WAF هو اختصار لـ Web Application Firewall ويعمل كطبقة حماية أخرى لموقعك على الويب. إنه يحمي موقعك من حركة المرور الخطرة باستخدام خوارزمية ذكية لتحديد الطلبات التي تبدو ضارة وحظرها. بهذه الطريقة ، يسمح لك فقط بتلقي حركة مرور جيدة.
 هناك العديد من حلول WAF للاختيار من بينها. قبل أن تقرر أيهما ستستخدمه ، تحقق مما إذا كانت الحماية مناسبة لموقعك وكذلك السعر وسهولة الاستخدام. بعد استخدام اثنين من هذه على مر السنين ، نوصي بشدة باستخدام Sucuri. يحتوي على مكون إضافي مجاني واثنين من الخطط الاحترافية التي تبدأ من 199 دولارًا أمريكيًا سنويًا لموقع واحد. يعد Cloudflare أيضًا اختيارًا ممتازًا. إنه يقدم مكونًا إضافيًا مجانيًا وخططًا احترافية مع تخفيف هجوم DDoS مقابل 20 دولارًا أمريكيًا شهريًا.
		


 بالإضافة إلى ذلك ، نوصيك باتباع بعض النصائح الأمنية لتحسين الحماية الشاملة لموقعك ضد جميع أنواع البرامج الضارة.
 3. الإشراف على حركة مرور الموقع
 لا تعني الزيادة الكبيرة في حركة المرور بالضرورة وجود أخبار جيدة. على الرغم من أن هجمات DDoS ليست دائمًا ، فإنها عادة ما تكون في شكل عدد هائل من حركة المرور. تعتمد هذه الهجمات الحجمية على الشبكات وأحيانًا يتم الخلط بينها وبين الزوار الجدد. إذا رأيت الكثير من الزوار الجدد يأتون إلى موقع الويب الخاص بك ، فتحقق مما إذا كان مستخدمون جددًا أو شخصًا يحاول إزالة موقعك.
 أفضل حل لذلك هو تثبيت أدوات المراقبة وجعلها تتحقق من سجلاتك وتنبهك إذا زاد عدد الطلبات / الزوار فجأة. بهذه الطريقة ، ستمنع هجمات DDoS على موقع WordPress الخاص بك.
		


 للتمييز بين الزوار الجدد وهجمات DDoS ، قد ترغب في الانتباه إلى:
  •  مصدر حركة المرور: هل تأتي حركة المرور الخاصة بك من المنطقة التي تستهدفها؟ إذا كنت تستهدف عملاء محليين ، على سبيل المثال ، ولكنك تتلقى عددًا هائلاً من الزيارات من الخارج ، فهناك شيء غريب يحدث.
  •  وقت حركة المرور: إذا كنت تشهد زيادة في الزيارات في الساعة 3:00 صباحًا بالتوقيت المحلي ، فقد تكون هذه هي الهجمات أيضًا.
  •  خصائص عملك: ضع في اعتبارك نوع عملك أيضًا. إذا كنت تبيع ملابس السباحة وملابس البحر ، على سبيل المثال ، فإن زيادة عدد الزوار خلال فصل الصيف أمر طبيعي.
 يرجى ملاحظة أن روبوتات Google وبرامج الزحف الأخرى لمحركات البحث تقدم أحيانًا طلبات مشبوهة إلى موقع الويب الخاص بك. ضع في اعتبارك الفرق بينهما للتأكد من أنك ستحظر هجمات DDoS ، وليس برامج الروبوت.
		


 4. تقييد الوصول إلى منطقة wp-admin
 يجب أن تكون الشخص الوحيد الذي يمكنه الوصول إلى منطقة wp-admin لأن هذا هو المكان الذي تتحكم فيه في جميع الأنشطة الأكثر أهمية في WordPress. ومع ذلك ، عند تقييد الوصول إلى منطقة wp-admin ، تأكد من عدم تضمين ملفات معينة مثل /wp-admin/admin-ajax.php و /wp-admin/theme-editor.php التي تستخدمها المكونات الإضافية والقوالب التي تحتاج إلى الوصول إلى منطقة wp-admin من الخارج. بالإضافة إلى ذلك ، يمكنك استبعاد عنوان IP الخاص بك وعندما يأتي المُحيل من موقع الويب الخاص بك.
 إذا كنت تستخدم خدمة أمان ، فلن يكون من الصعب تكوينها. في حالتنا ، هكذا فعلنا ذلك باستخدام Cloudflare:
 في لوحة المعلومات ، انتقل إلى جدار الحماية> قواعد جدار الحماية> إنشاء قاعدة جدار الحماية . بعد تسمية القاعدة ، املأ الفراغات بالمعلومات التالية: 
		


كيفية منع هجمات DDoS في WordPress - WP-admin area
  •  الحقل: مسار URI
  •  المشغل: يحتوي على
  •  القيمة: / wp-admin /
 [و]
  •  الحقل: مسار URI
  •  المشغل: لا يحتوي على
  •  القيمة: /wp-admin/admin-ajax.php
 [و]
  •  الحقل: مسار URI
  •  المشغل: لا يحتوي على
  •  القيمة: /wp-admin/theme-editor.php
 [و]
  •  المجال: المرجع
  •  المشغل: لا يحتوي على
  •  القيمة: quadlayers.com
 [و]
  •  الحقل: عنوان IP
  •  المشغل: لا يحتوي على
  •  القيمة: 182.189.59.210
 خلاف ذلك ، يمكنك فقط النقر فوق تحرير التعبير ولصق التعليمة البرمجية التالية:
 (يحتوي http.request.uri.path على "/ wp-admin /" وليس http.request.uri.path يحتوي على "/wp-admin/admin-ajax.php" وليس http.request.uri.path يحتوي على "/ wp-admin / theme-editor.php "وليس http.referer يحتوي على" quadlayers.com "و ip.src ne 182.189.59.210)
 5. تفعيل حظر البلد
 على غرار جدار حماية موقع الويب ، فإن حظر الدولة هو نوع من الحجب الجغرافي الذي يعمل على تقليل مخاطر تعرض موقع الويب الخاص بك للهجوم. على الرغم من أن مالكي المواقع لا يمكنهم استبعاد احتمال وقوع هجمات DDoS من خلال حظر الدولة وحدها ، إلا أنه من الممارسات النموذجية رفع مستوى الحماية ضد الهجمات أثناء الامتثال للسياسات التنظيمية. نظرًا لأن عددًا كبيرًا من الهجمات الإلكترونية قد أتى من عدد قليل من البلدان في الآونة الأخيرة ، فقد تفكر في منعها من التفاعل مع موقع الويب الخاص بك.
		


 كواحد من المكونات الإضافية للأمان التي تمكن من حظر البلد بسهولة ، يعد Sucuri خيارًا ممتازًا لهذا الغرض.
 6. تعطيل واجهات برمجة تطبيقات هجوم DDoS
 مبدأ هذه الطريقة هو تعطيل العديد من واجهات برمجة التطبيقات بحيث لا يتمكن المتسللون من استخدامها لشن هجمات على موقع WordPress الخاص بك. عادةً ما تكون واجهات برمجة التطبيقات هذه هي بوابات المكونات الإضافية والخدمات التابعة لجهات خارجية للتكامل في موقع الويب. ومع ذلك ، غالبًا ما يستغلهم المتسللون لشن هجمات DDoS أو هجمات القوة الغاشمة.
 هناك نوعان من واجهات برمجة التطبيقات (APIs) يجب عليك التفكير في تعطيلهما:
 6.1) XML RPC API
 تساعد واجهة برمجة التطبيقات هذه تطبيقات الجهات الخارجية على التفاعل مع موقعك ، خاصة لاستخدام تطبيق WordPress على هاتفك المحمول. الخبر السيئ هو أنه أحد أكثر أهداف هجمات DDoS شيوعًا . لذلك ، إذا كان معظم المستخدمين لا يستخدمون إصدار الجوال من WordPress ، فقد تفكر في تعطيل واجهة برمجة التطبيقات هذه لمنع هجمات DDoS.
		


 لإلغاء تنشيط واجهة برمجة تطبيقات XML RPC وحظر جميع طلباتها ، ما عليك سوى إضافة الكود التالي إلى ملف htaccess الخاص بموقعك على الويب.
 # حظر جميع طلبات WordPress xmlrpc.php
<ملفات xmlrpc.php>
أمر رفض ، السماح
رفض من الجميع
</Files>
 6.2) REST API
 واجهة برمجة تطبيقات أخرى يمكن تعطيلها لمنع هجمات DDoS في WordPress هي واجهة برمجة تطبيقات REST. تسمح واجهة برمجة التطبيقات هذه للإضافات والأدوات التابعة لجهات خارجية بالوصول إلى بيانات WordPress وكذلك تعديل المحتوى وحذفه. أسهل طريقة لتعطيل واجهة برمجة التطبيقات هذه هي تنزيل المكون الإضافي المجاني Disable WP Rest API.
 بعد تنزيله ، قم بتنشيطه وستكون جاهزًا تمامًا. ستعمل الأداة على الفور وتعطيل واجهة برمجة تطبيقات REST لجميع المستخدمين الذين لم يسجلوا الدخول دون أي تكوين إضافي.
 7. تحديث ووردبريس بانتظام
 لا يؤدي التحديث المنتظم لـ WordPress إلى منع هجمات DDoS فحسب ، بل يحمي موقع الويب الخاص بك أيضًا من العديد من أنواع الهجمات والاختراقات الأخرى. لهذا السبب يجب عليك التحديث بانتظام:
  1.  تثبيت WordPress والسمات والإضافات
  2.  نسخة PHP على الخادم
  3.  Apache و MySQL و OS
  4.  أي نصوص وبرامج أخرى
 ماذا تفعل إذا كنت تتعرض لهجوم DDoS في WordPress؟
 على الرغم من أنه يمكنك الاستعداد مسبقًا ومحاولة منع هجمات DDoS في WordPress ، فماذا يجب أن تفعل إذا تعرضت للهجوم؟ هذه هي الاستجابات الفورية التي يجب عليك تنفيذها أثناء هجوم DDoS:
 1. أبلغ فريقك
 سيمنحك العمل معًا عند حدوث الأزمة أقصى درجات القوة. عندما تتعرض لهجوم DDoS ، تأكد من تنبيه أعضاء فريقك حتى يكونوا على دراية بما يحدث ويمكنهم مساعدتك في الإجراءات المضادة.
 2. قم بإخطار عملائك
 هذا مهم بشكل خاص إذا كان موقع الويب المعرض للهجوم هو متجر WooCommerce لأن العملاء لن يتمكنوا من تسجيل الدخول إلى حساباتهم أو شراء المنتجات خلال ذلك الوقت. قد يؤدي عدم إعطاء أي إعلان أو شرح في مثل هذه اللحظة الحرجة إلى الإضرار بسمعتك. لذلك نوصيك بإخبارهم عبر رسائل البريد الإلكتروني أو وسائل التواصل الاجتماعي بأن موقعك يتعرض لأخطاء فنية وسيعاود الاتصال بالإنترنت قريبًا.
 3. اتصل بمزود خدمة الاستضافة والأمان
 بعد تنبيه زملاء العمل والعملاء ، اتصل بمزود استضافة WordPress أيضًا. نظرًا لأن المهاجمين قد يستهدفون أنظمتهم ، فمن الأفضل أن يعرفوا ذلك وقد يساعدونك في الموقف. علاوة على ذلك ، يعد الاتصال بمزود الأمان الخاص بك في هذه المرحلة أمرًا بالغ الأهمية. نظرًا لأن التعامل مع الهجمات يقع ضمن مهنتهم ، فيمكنهم مساعدتك في صياغة إجراءات مضادة أفضل وأسرع.
 4. تنفيذ الاستجابات
 إذا كان لديك أي إجراءات مضادة جاهزة للنشر ، فهذا عندما يأتون للإنقاذ. عادة ، ستعمل الإجراءات المضادة خارج الصندوق بمجرد حدوث الهجمات. من الأفضل أن تحضر هذا مسبقًا. ومع ذلك ، إذا لم تكن قد أعددت أي حل أمني متخصص ، فاسأل موفر الأمان الخاص بك لأن معظمهم يقدم استجابات للطوارئ.
 5. تقييم الأداء المضاد
 لا تنس تقييم أداء الإجراء المضاد أثناء حدوثه أيضًا! هل هي فعالة؟ أم أن المهاجمين ينتصرون؟ بهذه الطريقة ، يمكنك تعديل ردود أفعالك في حالة حدوث أي هجوم آخر في طريقك. دعونا نأمل ألا يكون الأمر كذلك ، لكن الوقاية خير من العلاج.
 استنتاج
 بشكل عام ، هجمات DDoS متكررة جدًا في الوقت الحاضر. كلما زاد نمو موقع WordPress الخاص بك ، أصبح أكثر جاذبية للمتسللين. ومع ذلك ، يمكنك منع تلك الهجمات والاستعداد لها من خلال تنفيذ تدابير وقائية. لن تساعدك الخطوات المذكورة أعلاه في منع هجمات DDoS في WordPress فحسب ، بل ستساعدك أيضًا في الحفاظ على موقع الويب الخاص بك في مأمن من الهجمات بشكل عام.
 ولكن ماذا لو كنت بالفعل تحت الهجوم؟ لا داعي للذعر. اتبع التوصيات المذكورة أعلاه لمحاولة تقليل المشكلات وتشغيل موقعك في أسرع وقت ممكن. هل تريد زيادة تعزيز أمان موقعك؟ تحقق من نصائحنا الأمنية!
 هل لديك أي تكتيكات مفيدة أخرى لمنع هجمات DDoS؟ يرجى مشاركتها معنا في قسم التعليقات أدناه!