WordPress サイトを DDoS 攻撃から保護する方法

公開: 2022-09-01

2021 年だけでも、サイバー犯罪者は 975 万回以上の DDoS 攻撃を開始しました。 WordPress を実行している Web サイトの大部分を考えると、潜在的な DDoS 脅威から Web サイトを保護することが最優先事項です。

WordPress は世界で最も人気のある CMS プラットフォームであり、オンラインの Web サイトの 43% 以上を支えています。 CMS は無料で使いやすいため、WordPress Web サイトを運営している多くの個人は包括的なセキュリティを備えていない可能性があります。

「公開」する前に WordPress の投稿を最適化しなければならないのと同様に、WordPress の Web サイトを公開する前に何らかの保護が必要です。

DDoS 攻撃とは

分散型サービス拒否 (DDoS) 攻撃は、悪意のある攻撃者が WordPress サイトを標的にするために使用する 1 つの方法です。 これらの攻撃の目的は単純です。 攻撃者は標的の Web サイトに大量のリクエストを送信し、クラッシュするか、速度が低下して役に立たなくなります。

そうすることで、攻撃者は正当な訪問者が Web サイトにアクセスするのを防ぎます。 また、Web サイトの所有者は、一定期間、サイバーセキュリティの費用を増やさざるを得なくなる可能性もあります。

DDoS 攻撃のしくみ


DDoS 攻撃の目的は、標的の Web サイトを圧倒することです。 ただし、単一のサーバーからの攻撃は簡単にブロックできます。 そのため、サイバー犯罪者はしばしばボットネットを使用します。 これらは、攻撃者が制御できるマルウェアに感染した侵害されたコンピューターのネットワークです。

ボットネットを使用すると、フォレンジック チームが調査を開始した後に攻撃のソースを特定することも難しくなります。

DDoS が引き起こす可能性のある損害

DDoS 攻撃が WordPress Web サイトを攻撃すると、多大な損害が発生する可能性があります。 ビジネス以外の WordPress Web サイトへの経済的影響は少なくなる可能性がありますが、それほど壊滅的ではありません. Web サイトが DDoS 攻撃を受けた場合、Web サイトへのアクセスが短期間失われる可能性があります。

ビジネス Web サイトははるかに大きなリスクにさらされており、かなりの損失を被る可能性があります。 考えられる結果の一部を次に示します。

  • 売上減少による直接的な経済的影響
  • 攻撃後のフォレンジックにかかる高額の料金
  • データ侵害による潜在的なリスク
  • 否定的な顧客の意見による潜在的なブランド ダメージ

もっと。

DDoS 攻撃の問題は、緩和が難しいことです。 とにかく、これらの攻撃に対する WordPress Web サイトの回復力を向上させる方法はいくつかあります。

WordPress ウェブサイトを DDoS 攻撃から保護する

  1. 信頼できる Web ホストを選択する

    WordPress Web サイトの防御の最前線は、常に Web ホスティング サービス プロバイダーです。 多くの新規ユーザーは、Web ホスティングの基本に集中することがよくあります。 これには、価格、リソース、プランの種類、および獲得できる景品が含まれます。

    セキュリティは不可欠ですが、見落とされがちな側面です。 一部の Web ホスティング プロバイダーは、ネットワークの保護を強化するために、Sucuri などの定評のあるセキュリティ ブランドと提携しています。 UltaHost のように、専用の VPS DDoS プランを持っているものもあります。

    これがあなたを混乱させても心配しないでください。 WordPress は非常に人気があるため、多くのホスティング会社がマネージド WordPress ホスティング オプションも提供しています。 これらの特定の計画により、サービスプロバイダーがセキュリティなどの技術的な詳細を処理する間、WordPress サイトの構築と実行に集中することができます。

  2. コンテンツ配信ネットワークを使用する


    コンテンツ配信ネットワーク (CDN) は、世界中に分散されたサーバーの集まりであり、連携して Web サイトの静的アセットを迅速かつ確実に配信します。 目標は、Web サイトの読み込みを高速化することです。

    ただし、CDN には、気付いていないかもしれない追加のセキュリティ上の利点もあります。 グローバルなサーバー ネットワークのおかげで、Web サイトは負荷を分散することで潜在的な攻撃対象領域を減らすことができます。 基本的に、CDN サーバーを借りて、Web サイトのトラフィック処理の可能性を人為的に増やしています。

    この機能のおかげで、攻撃者は DDoS 攻撃を成功させたい場合、かなり多くのリソースを消費する必要があります。 攻撃者が決定された場合でも、攻撃者は CDN を使用する Web サイトを克服できます。

    ほとんどの CDN は有料のサブスクリプションを必要としますが、Cloudflare は個人や中小企業に適した無料プランを提供しています. または、BunnyCDN のように、一部の CDN も非常に手頃な価格です。

  3. ウェブ アプリケーション ファイアウォールを使用する

    使用できるもう 1 つのセキュリティ機能は、Web アプリケーション ファイアウォール (WAF) です。 WAF は、Web サイトとインターネットの間に位置し、悪意のあるユーザーから Web サイトを保護するソフトウェアです。 これは、リクエストをフィルタリングし、疑わしい動作をチェックし、潜在的に危険なトラフィックをサーバーに到達する前に阻止することによって行われます。

    WAF を使用すると、さまざまなことができます。 DDoS 攻撃から保護するだけでなく、SQL または XSS インジェクションをブロックしたり、WordPress サイトでのブルート フォース ログイン試行を防止したりできます。 多くの CDN には WAF 機能が含まれますが、無料または少額の追加料金がかかる場合があります。

  4. XML-RPC Pingback を無効にする

    XML-RPC Pingback を無効にすることは、サイトが受け取るリクエストの数を減らすために不可欠です。 この機能により、ユーザーはピンバックを介してブログや Web サイトにコメントを残すことができます。 残念ながら、DDoS 攻撃者によって悪用されることもよくあります。

    これを行うには、 [設定] > [ディスカッション]に移動し、[ ping とトラックバックを無効にする] をクリックします。

    それが完了したら、 XML-RPC Pingbacksが表示されるまで下にスクロールします。 その横にある「無効にする」をクリックして、変更を保存します

    テーマの設定ページまたはプラグイン パネル (WordPress 自体など) で XML-RPC Pingbacks を無効にするオプションがない場合は、セキュリティ プラグインの使用を検討することもできます。 考慮すべき適切なプラグインには、WordFence または Sucuri Security が含まれます。

  5. 脆弱性を減らすために WordPress を定期的に更新する

    Web サイトを DDoS 攻撃から保護するには、WordPress とそのプラグイン、テーマ、およびセキュリティ プラグインを最新の状態に保つ必要があります。 開発者は、新機能の導入は別として、セキュリティ上の欠陥などの欠点に対処するために、これらのアプリケーションを頻繁にレビューします。

    次の手順に従って、WordPress を手動または自動で更新できます。

    1. WordPress ウェブサイト アカウントにログインします。
    2. 左側のナビゲーション メニューで [ダッシュボード] をクリックします。
    3. アップデートを選択
    4. その画面に表示されているプラ​​グインを更新します

    多くの Web ホストは、Web ホスティング コントロール パネルを介して WordPress を自動的に更新するオプションも顧客に提供しています。 詳細については、Web ホスティング プロバイダーにお問い合わせください。

    さらに、WordPress Web サイトに追加するプラグインには常に注意してください。 すべてのプラグインの品質が同じというわけではありません。 WordPress 管理ダッシュボードからロックアウトするなど、厄介な脆弱性やバグを導入するものもあります。

  6. REST API を無効にする

    WordPress には、デフォルトで REST API が有効になっています。 この機能は、外部ユーザーがサーバーにリクエストを送信できるようにするため、DDoS 攻撃の潜在的なベクトルとなります。 攻撃者はこれを利用して、サイトを圧倒したり、クラッシュさせたりすることができます。

    ただし、REST API は、WordPress が機能したり、安全で効率的であったりするために必要ではありません。 無効にしても、サイトで現在使用している機能が失われることはありません。REST API を無効にする前の状態のままです。

    WordPress REST API を無効にする最善の方法は、Perfmatters などのプラグインを使用することです。 このようなプラグインを使用すると、トグル ボタンを使用して一部の設定を簡単に変更できます。コーディングは不要です。

結論

WordPress は、コンテンツの作成と管理に最適なプラットフォームです。 しかし、これは完全ではなく、すべてのセキュリティの脅威から保護できるわけではありません。 サイトを積極的に保護する必要があるため、外部ソースからのトラフィックをスキャンできる Web アプリケーション ファイアウォールまたはその他の同様のサービスを使用することをお勧めします。

他のすべてのオプションを無視したとしても、WordPress Web サイトを DDoS 攻撃から保護するには、優れた Web ホストと信頼できる CDN が最低限必要です。