WordPressでDDoS攻撃を防ぐ方法

公開: 2020-08-18

多くの国でパンデミックが本格化し、オンラインビジネスが急増しているため、デジタル攻撃はより頻繁になり、脅威にさらされています。 最も一般的で危険なもののいくつかはDDoS攻撃です。 このガイドでは、WordPressサイトへのDDoS攻撃を防ぐ方法を紹介します。

DDoS攻撃とは何ですか?

DDoS(Distributed Denial of Service)攻撃を防ぐ方法に飛び込む前に、まずそれらが何であるかを理解しましょう。 簡単に言うと、DDoS攻撃は、サービス拒否(DoS)攻撃の一種であり、ハッカーが偽のトラフィックでWebサイトのサーバーを圧倒するために使用する多くの接続されたオンラインデバイスが関与します。

DDoS攻撃では、これらの接続されたマシンとサーバーは別々に攻撃を開始しますが、同時に攻撃を開始し、ブロックされる前にしばらくの間気付かれることを許します。 この戦術を使用すると、これらの攻撃の影響を簡単に強め、目的のサーバーの速度を低下させ、最終的にクラッシュさせることができます。

DDoS攻撃の興味深い点の1つは、サーバーを直接侵害してアクセスしようとしないことです。 代わりに、ユーザーがアクセスできないように、Webサイトとサーバーを一定時間クラッシュさせることを目的としています。 ただし、DDoS攻撃は、サーバーのセキュリティを侵害するためのカバーとして使用できます。

では、DDoS攻撃の被害者である場合はどうなりますか? ハッカーがサーバーを正常にクラッシュさせた場合は、問題が発生している可能性があります。 帯域幅などの他の費用は言うまでもなく、システムの復旧には数千ドルかかる場合があります。 さらに重要なことに、この攻撃はトラフィック、評判、および販売結果に悪影響を及ぼします。

DDoS攻撃は一般的ですか?

はい、そうです。 実際、DDoS攻撃はますます一般的になっています。 最近の調査によると、現在60秒ごとに16のDDoS攻撃があります そして2019年だけでも、世界中で840万を超えるDDoS攻撃がありました。

これらすべての問題を回避するには、WordPressサイトへのDDoS攻撃を防ぐことが最も重要です。 このガイドでは、それらを回避し、Webサイトを安全に保つために何をすべきかを示します。

WordPressでDDoS攻撃を防ぐ方法

これらは、WordPressでのDDoS攻撃を防ぎ、ハッカーがサイトに影響を与えるのを防ぐためのいくつかのアイデアです。

  1. wp-login.phpへのアクセスをブロックする
  2. WAFをアクティブ化する
  3. Webサイトのトラフィックを監視する
  4. wp-adminエリアへのアクセスを制限する
  5. 国のブロックをアクティブにする
  6. DDoS攻撃APIを無効にする
    1. XML RPC API
    2. REST API
  7. WordPressを定期的に更新する

1.wp-login.phpへのアクセスをブロックします

wp-login.phpファイルは、ハッカーがWordPressのDDoS攻撃に使用する最も一般的なパスの1つです。 たとえば、QuadLayersでは、 wp-login.phpファイルへのアクセスを1日に250回以上ブロックしています。

Cloudflareのようなサービスを使用している場合は、誰かがwp-login.phpファイルにアクセスしようとした回数を確認できます。 そして、あなたはその数がどれほど多いかに驚くでしょう。 これらのファイルへのアクセスをブロックすることは、WordPressでのDDoS攻撃を防ぐための最良の方法の1つです。

ほとんどのセキュリティサービスは、 wp-login.phpへのアクセスをブロックするためのさまざまなオプションを提供します。 Cloudflareを使用しているので、このサービスでwp-login.phpファイルへの攻撃をブロックする方法を紹介します。 Cloudflareの無料プランでは、最大5つのルールを設定できるため、お金をかけずにこれを行うことができます。

ダッシュボードで、 [ファイアウォール]> [ファイアウォールルール]> [ファイアウォールルールの作成]に移動します。 ルールに名前を付け、次の情報を空欄に入力します。

WordPressでDDoS攻撃を防ぐ方法-Wp-admin.php

  • フィールド:URIパス
  • 演算子:含む
  • :/wp-login.php

または、次のコードをコピーして[式のプレビュー]セクションに貼り付けることもできます。

 (http.request.uri.pathには「/wp-login.php」が含まれています)

[保存]ボタンをクリックすると、すべて設定されます。

 2.WAFをアクティブ化します
WAFはWebApplication Firewallの略で、Webサイトの保護のもう1つの層として機能します。 スマートアルゴリズムを使用して、一見悪意のあるリクエストを識別してブロックすることにより、危険なトラフィックからサイトを保護します。 このように、それはあなたが良いトラフィックだけを受け取ることを可能にします。
 選択できるWAFソリューションはたくさんあります。 どちらを使用するかを決定する前に、保護がサイトに適しているかどうか、価格、使いやすさを確認してください。 何年にもわたってこれらのいくつかを使用してきたので、Sucuriを強くお勧めします。 無料のプラグインと、1つのサイトで年間199米ドルから始まるいくつかのプロプランがあります。 Cloudflareも優れた選択肢です。 月額20米ドルで、無料のプラグインとDDoS攻撃を軽減するプロプランを提供します。
		


 さらに、すべての種類のマルウェアに対するサイトの全体的な保護を強化するために、いくつかのセキュリティのヒントに従うことをお勧めします。
 3.Webサイトのトラフィックを監視する
トラフィックの大幅な急増は、必ずしも良いニュースを意味するわけではありません。 常にではありませんが、DDoS攻撃は通常、大量のトラフィックの形で発生します。 これらのボリューム攻撃はネットワークベースであり、新しい訪問者と間違われることがあります。 大量の新規訪問者がWebサイトにアクセスしている場合は、それが新規ユーザーなのか、サイトを停止しようとしている人なのかを確認してください。
 このための最善の解決策は、監視ツールをインストールしてログをチェックし、リクエスト/訪問者の数が突然増加した場合に警告することです。 このようにして、WordPressサイトへのDDoS攻撃を防ぐことができます。
		


 新規訪問者とDDoS攻撃を区別するために、次の点に注意を払う必要があります。
  •  トラフィックのソース:トラフィックはターゲットとする地域から来ていますか? たとえば、地元の顧客をターゲットにしているが、海外から大量のトラフィックを受け取っている場合、何か奇妙なことが起こっています。
  •  トラフィックの時間:現地時間の午前3時に訪問が急増しているのを目撃した場合は、それも攻撃である可能性があります。
  •  あなたのビジネスの特徴:あなたのビジネスタイプも考慮に入れてください。 たとえば、水着やビーチウェアを販売する場合、夏の間の訪問者の急増は正常です。
 Googleボットやその他の検索エンジンクローラーが、ウェブサイトに不審なリクエストを送信することがあることに注意してください。 それらの違いに注意して、ボットではなくDDoS攻撃をブロックするようにしてください。
		


 4.wp-adminエリアへのアクセスを制限します
wp-admin領域にアクセスできるのはあなただけです。これは、WordPressで最も重要なすべてのアクティビティを制御する場所だからです。 ただし、 wp-admin領域へのアクセスを制限する場合は、プラグインやテーマで使用される/wp-admin/admin-ajax.php/wp-admin/theme-editor.phpなどの特定のファイルを含めないようにしてください。外部からwp-adminエリアにアクセスする必要があります。 さらに、IPを除外したり、リファラーがWebサイトから来た場合を除外したりできます。
 セキュリティサービスを使用している場合、これを構成するのは難しいことではありません。 私たちの場合、これはCloudflareを使用してそれを行った方法です:
		


 ダッシュボードで、 [ファイアウォール]> [ファイアウォールルール]> [ファイアウォールルールの作成]に移動します。 ルールに名前を付けたら、次の情報を空欄に入力します。 
WordPressでDDoS攻撃を防ぐ方法-WP-adminエリア
  •  フィールド:URIパス
  • 演算子:含む
  • 値:/ wp-admin /
 [と]
  •  フィールド:URIパス
  • 演算子:含まれていません
  • 値:/wp-admin/admin-ajax.php
 [と]
  •  フィールド:URIパス
  • 演算子:含まれていません
  • 値:/wp-admin/theme-editor.php
 [と]
  •  フィールド:リファラー
  • 演算子:含まれていません
  • 値:quadlayers.com
 [と]
  •  フィールド:IPアドレス
  • 演算子:含まれていません
  • 値:182.189.59.210
 それ以外の場合は、[式の編集]をクリックして、次のコードを貼り付けることができます。
		


 (http.request.uri.pathには「/ wp-admin /」が含まれ、http.request.uri.pathには「/wp-admin/admin-ajax.php」は含まれず、http.request.uri.pathには「/」は含まれませんwp-admin / theme-editor.php "であり、http.refererには" quadlayers.com "とip.srcne 182.189.59.210が含まれていません)
 5.カントリーブロッキングを有効にします
Webサイトのファイアウォールと同様に、国別ブロッキングは、Webサイトが攻撃されるリスクを最小限に抑えるのに役立つジオブロッキングの一種です。 サイト所有者は、国のブロックだけでDDoS攻撃の可能性を排除することはできませんが、組織のポリシーを遵守しながら、攻撃に対する保護をレベルアップするのが一般的な方法です。 最近、いくつかの国から多数のサイバー攻撃が発生しているため、それらの国がWebサイトとやり取りするのをブロックすることを検討してください。
 簡単な国のブロックを可能にするセキュリティプラグインの1つとして、Sucuriはこれに最適です。
 6.DDoS攻撃APIを無効にします
この方法の原則は、ハッカーがそれらを使用してWordPressサイトに攻撃を仕掛けることができないように、いくつかのAPIを無効にすることです。 通常、これらのAPIは、サードパーティのプラグインおよびサービスをWebサイトに統合するためのゲートウェイです。 ただし、ハッカーはそれらを悪用してDDoS攻撃やブルートフォース攻撃を仕掛けることがよくあります。
 無効にすることを検討する必要がある2つのAPIがあります。
 6.1)XML RPC API
 このAPIは、特に携帯電話でWordPressアプリを使用する場合に、サードパーティのアプリがサイトとやり取りするのに役立ちます。 悪いニュースは、これが最も一般的なDDoS攻撃の標的の1つであるということです。 したがって、ほとんどのユーザーがモバイルバージョンのWordPressを使用していない場合は、DDoS攻撃を防ぐために、このAPIを無効にすることを検討してください。
 XML RPC APIを非アクティブ化し、そのすべてのリクエストをブロックするには、次のコードをWebサイトの.htaccessファイルに追加するだけです。
 #すべてのWordPressxmlrpc.phpリクエストをブロックする
<ファイルxmlrpc.php>
注文拒否、許可
すべてから否定する
</ファイル>
 6.2)REST API
 WordPressでDDoS攻撃を防ぐために無効にできるもう1つのAPIは、RESTAPIです。 このAPIを使用すると、サードパーティのプラグインとツールでWordPressデータにアクセスしたり、コンテンツを変更および削除したりできます。 このAPIを無効にする最も簡単な方法は、Disable WP RestAPI無料プラグインをダウンロードすることです。
 ダウンロード後、アクティベートすれば準備完了です。 ツールはすぐに機能し、ログインしていないすべてのユーザーに対して、それ以上の構成なしでRESTAPIを無効にします。
 7.WordPressを定期的に更新します
WordPressを定期的に更新することで、DDoS攻撃を防ぐだけでなく、他の多くの種類の攻撃やハッキングからWebサイトを保護します。 そのため、定期的に更新する必要があります。
  1.  WordPressのインストール、テーマ、プラグイン
  2. サーバー上のPHPバージョン
  3. Apache、MySQL、およびOS
  4.  その他のスクリプトとソフトウェア
WordPressでDDoS攻撃を受けている場合はどうすればよいですか?
 事前に準備してWordPressでDDoS攻撃を防ぐことはできますが、攻撃を受けている場合はどうすればよいですか? これらは、DDoS攻撃中に実行する必要がある即時の応答です。
 1.チームに通知する
危機が発生したときに一緒に働くことはあなたに最大の力を与えるでしょう。 DDoS攻撃を受けている場合は、チームメンバーに警告して、何が起こっているのかを認識し、対策を支援できるようにしてください。
 2.顧客に通知する
攻撃を受けているWebサイトがWooCommerceストアである場合、これは特に重要です。その間、顧客は自分のアカウントにログインしたり、製品を購入したりすることができないためです。 そのような重大な瞬間に発表や説明をしないと、あなたの評判を傷つける可能性があります。 そのため、サイトで技術的なエラーが発生しており、まもなくオンラインに戻ることをメールまたはソーシャルメディアで知らせることをお勧めします。
 3.ホスティングおよびセキュリティプロバイダーに連絡してください
同僚や顧客に警告した後、WordPressホスティングプロバイダーにも連絡してください。 攻撃者は自分のシステムを標的にしている可能性があるため、攻撃者がそれを知っている方がよいでしょうし、状況を支援することさえできます。 その上、この時点でセキュリティプロバイダーに連絡することが重要です。 攻撃への対処は彼らの職業の範囲内であるため、攻撃はより適切で迅速な対策を策定するのに役立ちます。
 4.応答を実装します
対抗策を展開する準備ができている場合、これは彼らが救助に来るときです。 通常、対抗策は攻撃が発生するとすぐにすぐに機能します。 事前に準備しておいたほうがいいです。 ただし、特別なセキュリティソリューションを準備していない場合は、ほとんどのセキュリティプロバイダーが緊急対応を提供しているため、セキュリティプロバイダーに問い合わせてください。
 5.対策のパフォーマンスを評価する
対抗策のパフォーマンスも評価することを忘れないでください! それらは効果的ですか? それとも攻撃者が勝っていますか? そうすれば、他の攻撃が発生した場合に応答を調整できます。 そうでないことを願いましょう、しかし予防は治療よりも優れています。
 結論
全体として、DDoS攻撃は最近非常に頻繁に発生しています。 WordPress Webサイトが成長すればするほど、ハッカーにとって魅力的になります。 ただし、プリエンプティブ対策を実装することで、これらの攻撃を防止し、準備することができます。 上記の手順は、WordPressでのDDoS攻撃を防ぐだけでなく、Webサイトを一般的な攻撃から保護するのにも役立ちます。
 しかし、すでに攻撃を受けている場合はどうなりますか? 慌てる必要はありません。 上記の推奨事項に従って、問題を減らし、サイトをできるだけ早く稼働させてください。 サイトのセキュリティをさらに強化したいですか? セキュリティのヒントをチェックしてください!
 DDoS攻撃を防ぐための他の有用な戦術はありますか? 下のコメント欄でシェアしてください!