Jak zapobiegać atakom DDoS w WordPress

Opublikowany: 2020-08-18

Wraz z pandemią w pełnym rozkwicie w wielu krajach i eksplozją firm internetowych, ataki cyfrowe stają się coraz częstsze i groźniejsze. Niektóre z najczęstszych i najbardziej niebezpiecznych to ataki DDoS . W tym przewodniku pokażemy, jak zapobiegać atakom DDoS na Twoją witrynę WordPress .

Czym są ataki DDoS?

Zanim przejdziemy do tego, jak zapobiegać atakom DDoS (Distributed Denial of Service), najpierw zrozummy, czym one są. Mówiąc najprościej, atak DDoS to rodzaj ataku typu „odmowa usługi” (DoS) , który obejmuje wiele podłączonych urządzeń online, których hakerzy używają do przytłoczenia serwerów witryny fałszywym ruchem .

W atakach DDoS te połączone maszyny i serwery uruchamiają ataki oddzielnie, ale jednocześnie, co pozwala im pozostać niezauważonymi przez pewien czas, zanim zostaną zablokowane. Dzięki tej taktyce mogą łatwo zintensyfikować wpływ tych ataków, spowalniając i ostatecznie powodując awarię serwera, na który celują.

Jedną z interesujących cech ataków DDoS jest to, że nie próbują włamywać się i uzyskiwać bezpośredniego dostępu do serwera . Zamiast tego mają na celu spowodowanie awarii witryny i serwerów przez określony czas, aby użytkownicy nie mogli uzyskać do niej dostępu. Jednak ataki DDoS mogą służyć jako przykrywka do naruszenia bezpieczeństwa serwera.

Co się stanie, jeśli padniesz ofiarą ataku DDoS? Jeśli hakerzy pomyślnie rozwalili Twój serwer, możesz mieć kłopoty. Przywrócenie systemu może kosztować tysiące dolarów, nie wspominając o innych wydatkach, takich jak przepustowość. Co ważniejsze, atak odbije się na Twoim ruchu, reputacji i wynikach sprzedaży.

Czy ataki DDoS są powszechne?

Tak, oni są. W rzeczywistości ataki DDoS stają się coraz bardziej powszechne. Według ostatnich badań, co 60 sekund dochodzi do 16 ataków DDoS ! Tylko w 2019 roku na całym świecie miało miejsce ponad 8,4 miliona ataków DDoS.

Aby uniknąć wszystkich tych problemów, niezwykle ważne jest zapobieganie atakom DDoS na Twoją witrynę WordPress . W tym przewodniku pokażemy Ci, co zrobić, aby ich uniknąć i zapewnić bezpieczeństwo witryny.

Jak zapobiegać atakom DDoS w WordPress

Oto kilka pomysłów na zapobieganie atakom DDoS na WordPress i unikanie ataków hakerów na Twoją witrynę.

  1. Zablokuj dostęp do wp-login.php
  2. Aktywuj WAF
  3. Nadzoruj ruch w witrynie
  4. Ogranicz dostęp do obszaru wp-admin
  5. Aktywuj blokowanie kraju
  6. Wyłącz interfejs API ataku DDoS
    1. API XML RPC
    2. REST API
  7. Regularnie aktualizuj WordPress

1. Zablokuj dostęp do wp-login.php

Plik wp-login.php jest jedną z najczęstszych ścieżek wykorzystywanych przez hakerów do ataków DDoS w WordPress. Na przykład w QuadLayers blokujemy dostęp do plików wp-login.php ponad 250 razy dziennie!

Jeśli korzystasz z usługi takiej jak Cloudflare, możesz sprawdzić, ile razy ktoś próbował uzyskać dostęp do twoich plików wp-login.php . I będziesz zaskoczony, jak wysoka jest ta liczba. Blokowanie dostępu do tych plików to jeden z najlepszych sposobów zapobiegania atakom DDoS w WordPress.

Większość usług bezpieczeństwa oferuje różne opcje blokowania dostępu do wp-login.php . Używamy Cloudflare, więc pokażemy Ci, jak blokować ataki na pliki wp-login.php za pomocą tej usługi. Bezpłatny plan Cloudflare pozwala ustawić do 5 reguł, dzięki czemu możesz to zrobić bez wydawania pieniędzy.

W panelu przejdź do Zapora > Reguły zapory > Utwórz regułę zapory . Nadaj regule nazwę i wypełnij puste pola następującymi informacjami:

Jak zapobiegać atakom DDoS w WordPressie - Wp-admin.php

  • Pole : Ścieżka URI
  • Operator : zawiera
  • Wartość : /wp-login.php

Alternatywnie możesz skopiować i wkleić następujący kod w sekcji Podgląd wyrażenia:

 (http.request.uri.path zawiera "/wp-login.php")

Kliknij przycisk Zapisz i gotowe.

 2. Aktywuj WAF
 WAF jest skrótem od Web Application Firewall i służy jako kolejna warstwa ochrony Twojej witryny. Chroni Twoją witrynę przed niebezpiecznym ruchem, używając inteligentnego algorytmu do identyfikowania i blokowania pozornie złośliwych żądań. W ten sposób pozwala odbierać tylko dobry ruch.
 Do wyboru jest wiele rozwiązań WAF. Przed podjęciem decyzji, którego użyjesz, sprawdź, czy ochrona jest odpowiednia dla Twojej witryny, a także cena i łatwość użytkowania. Używając kilku z nich przez lata, gorąco polecamy Sucuri. Ma darmową wtyczkę i kilka profesjonalnych planów, które zaczynają się od 199 USD rocznie za jedną witrynę. Cloudflare to również doskonały wybór. Oferuje darmową wtyczkę i plany pro z łagodzeniem ataków DDoS za 20 USD miesięcznie.
		


 Ponadto zalecamy przestrzeganie kilku wskazówek dotyczących bezpieczeństwa, aby poprawić ogólną ochronę witryny przed wszystkimi rodzajami złośliwego oprogramowania.
 3. Nadzoruj ruch w witrynie
 Wielki wzrost ruchu niekoniecznie oznacza dobrą wiadomość. Chociaż nie zawsze, ataki DDoS mają zwykle postać ogromnego ruchu. Te ataki wolumetryczne są oparte na sieci i czasami są mylone z nowymi użytkownikami. Jeśli zauważysz mnóstwo nowych odwiedzających, którzy odwiedzają Twoją witrynę, sprawdź, czy są to nowi użytkownicy, czy ktoś, kto próbuje usunąć Twoją witrynę.
 Najlepszym rozwiązaniem jest zainstalowanie narzędzi monitorujących, które sprawdzają dzienniki i ostrzegają, jeśli nagle wzrośnie liczba żądań/odwiedzających. W ten sposób zapobiegniesz atakom DDoS na swoją witrynę WordPress.
		


 Aby odróżnić nowych odwiedzających od ataków DDoS, warto zwrócić uwagę na:
  •  Źródło ruchu: czy ruch pochodzi z regionu, na który kierujesz reklamy? Jeśli na przykład kierujesz reklamy do klientów lokalnych, ale otrzymujesz ogromny ruch z zagranicy, dzieje się coś dziwnego.
  •  Czas ruchu: jeśli zauważysz wzrost odwiedzin o 3:00 czasu lokalnego, mogą to być również ataki.
  •  Charakterystyka Twojej firmy: Weź również pod uwagę rodzaj działalności. Jeśli na przykład sprzedajesz stroje kąpielowe i plażowe, fala odwiedzających w okresie letnim jest normalna.
 Pamiętaj, że boty Google i inne roboty indeksujące wyszukiwarki czasami wysyłają podejrzane żądania do Twojej witryny. Zwróć uwagę na różnicę między nimi, aby upewnić się, że będziesz blokować ataki DDoS, a nie boty.
		


 4. Ogranicz dostęp do obszaru wp-admin
 Powinieneś być jedynym, który może uzyskać dostęp do obszaru wp-admin , ponieważ to tam kontrolujesz wszystkie najważniejsze działania w WordPressie. Jednak przy ograniczaniu dostępu do obszaru wp-admin należy pamiętać, aby nie uwzględniać niektórych plików, takich jak /wp-admin/admin-ajax.php i /wp-admin/theme-editor.php , które są używane przez wtyczki i motywy, które musisz uzyskać dostęp do obszaru wp-admin z zewnątrz. Dodatkowo możesz wykluczyć swój adres IP i kiedy osoba odsyłająca pochodzi z Twojej witryny.
 Jeśli korzystasz z usługi bezpieczeństwa, konfiguracja nie powinna być trudna. W naszym przypadku tak zrobiliśmy to za pomocą Cloudflare:
		


 W panelu przejdź do Zapora > Reguły zapory > Utwórz regułę zapory . Po nazwaniu reguły wypełnij puste pola następującymi informacjami: 
Jak zapobiegać atakom DDoS w WordPressie - WP-admin area
  •  Pole: Ścieżka URI
  •  Operator: zawiera
  •  Wartość: /wp-admin/
 [ORAZ]
  •  Pole: Ścieżka URI
  •  Operator: nie zawiera
  •  Wartość: /wp-admin/admin-ajax.php
 [ORAZ]
  •  Pole: Ścieżka URI
  •  Operator: nie zawiera
  •  Wartość: /wp-admin/theme-editor.php
 [ORAZ]
  •  Pole: Polecający
  •  Operator: nie zawiera
  •  Wartość: quadlayers.com
 [ORAZ]
  •  Pole: Adres IP
  •  Operator: nie zawiera
  •  Wartość: 182.189.59.210
 W przeciwnym razie możesz po prostu kliknąć Edytuj wyrażenie i wkleić następujący kod:
 (http.request.uri.path zawiera „/wp-admin/”, a nie http.request.uri.path zawiera „/wp-admin/admin-ajax.php”, a nie http.request.uri.path zawiera „/ wp-admin/theme-editor.php”, a nie http.referer zawiera „quadlayers.com” i ip.src ne 182.189.59.210)
 5. Aktywuj blokowanie kraju
 Podobnie jak w przypadku zapory sieciowej, blokowanie kraju to rodzaj blokowania geograficznego, który ma na celu zminimalizowanie ryzyka ataku na Twoją witrynę. Chociaż właściciele witryn nie mogą wykluczyć możliwości ataków DDoS tylko przez blokowanie kraju, typową praktyką jest zwiększanie poziomu ochrony przed atakami przy jednoczesnym przestrzeganiu zasad organizacji. Ponieważ w ostatnim czasie duża liczba cyberataków pochodziła z kilku krajów, możesz rozważyć zablokowanie im interakcji z Twoją witryną.
		


 Jako jedna z wtyczek bezpieczeństwa, która umożliwia łatwe blokowanie krajów, Sucuri jest do tego doskonałym wyborem.
 6. Wyłącz interfejsy API ataków DDoS
 Zasadą tej metody jest wyłączenie kilku interfejsów API, aby hakerzy nie mogli ich użyć do przeprowadzania ataków na Twoją witrynę WordPress. Zwykle te interfejsy API są bramami dla wtyczek i usług innych firm, które można zintegrować z witryną internetową. Jednak hakerzy często wykorzystują je do przeprowadzania ataków DDoS lub brute force.
 Istnieją dwa interfejsy API, które powinieneś rozważyć wyłączenie:
 6.1) Interfejs API XML RPC
 Ten interfejs API pomaga aplikacjom innych firm w interakcji z Twoją witryną, zwłaszcza w przypadku korzystania z aplikacji WordPress na telefonie komórkowym. Zła wiadomość jest taka, że ​​jest to jeden z najczęstszych celów ataków DDoS . Jeśli więc większość użytkowników nie korzysta z mobilnej wersji WordPressa, możesz rozważyć wyłączenie tego interfejsu API, aby zapobiec atakom DDoS.
 Aby dezaktywować interfejs API XML RPC i zablokować wszystkie jego żądania, po prostu dodaj następujący kod do pliku .htaccess swojej witryny.
 # Blokuj wszystkie żądania WordPress xmlrpc.php
<Pliki xmlrpc.php>
odmowa zamówienia, zezwolenie
Odmowa od wszystkich
</Pliki>
 6.2) REST API
 Innym interfejsem API, który można wyłączyć, aby zapobiec atakom DDoS w WordPressie, jest REST API. Ten interfejs API umożliwia wtyczkom i narzędziom innych firm dostęp do danych WordPress, a także modyfikowanie i usuwanie treści. Najłatwiejszym sposobem wyłączenia tego interfejsu API jest pobranie bezpłatnej wtyczki Disable WP Rest API.
 Po pobraniu aktywuj go i gotowe. Narzędzie zacznie działać natychmiast i wyłączy interfejs API REST dla wszystkich niezalogowanych użytkowników bez dalszej konfiguracji.
 7. Regularnie aktualizuj WordPress
 Regularne aktualizowanie WordPressa nie tylko zapobiega atakom DDoS, ale także chroni Twoją witrynę przed wieloma innymi rodzajami ataków i włamań. Dlatego musisz regularnie aktualizować:
  1.  Instalacja WordPress, motywy i wtyczki
  2.  Wersja PHP na serwerze
  3.  Apache, MySQL i system operacyjny
  4.  Wszelkie inne skrypty i oprogramowanie
 Co zrobić, jeśli jesteś pod atakiem DDoS na WordPress?
 Nawet jeśli możesz się wcześniej przygotować i spróbować zapobiec atakom DDoS w WordPressie, co powinieneś zrobić, jeśli jesteś atakowany? Oto natychmiastowe reakcje, które powinieneś wykonać podczas ataku DDoS:
 1. Poinformuj swój zespół
 Wspólna praca w sytuacjach kryzysowych da ci największą moc. W przypadku ataku DDoS należy ostrzec członków swojego zespołu, aby wiedzieli, co się dzieje i mogli pomóc w rozwiązaniu problemu.
 2. Powiadom swoich klientów
 Jest to szczególnie ważne, jeśli atakowana witryna jest sklepem WooCommerce, ponieważ w tym czasie klienci nie będą mogli zalogować się na swoje konto ani kupować produktów. Brak zapowiedzi i wyjaśnień w tak krytycznym momencie może zaszkodzić Twojej reputacji. Dlatego zalecamy poinformowanie ich za pośrednictwem e-maili lub mediów społecznościowych, że w Twojej witrynie występują błędy techniczne i wkrótce wróci do trybu online.
 3. Skontaktuj się z dostawcą usług hostingowych i zabezpieczeń
 Po powiadomieniu współpracowników i klientów skontaktuj się również z dostawcą hostingu WordPress. Ponieważ napastnicy mogą atakować ich systemy, lepiej, aby o tym wiedzieli, a nawet mogą pomóc w zaistniałej sytuacji. Co więcej, skontaktowanie się z dostawcą zabezpieczeń w tym momencie ma kluczowe znaczenie. Ponieważ radzenie sobie z atakami należy do ich profesji, mogą pomóc w sformułowaniu lepszych i szybszych środków zaradczych.
 4. Wdrażaj odpowiedzi
 Jeśli masz jakieś środki zaradcze gotowe do wdrożenia, to właśnie wtedy przychodzą na ratunek. Zwykle środki zaradcze zadziałają po wyjęciu z pudełka, gdy tylko nastąpią ataki. Lepiej, jeśli przygotujesz to wcześniej. Jeśli jednak nie przygotowałeś żadnego specjalistycznego rozwiązania bezpieczeństwa, zapytaj swojego dostawcę zabezpieczeń, ponieważ większość z nich oferuje reagowanie w sytuacjach awaryjnych.
 5. Oceń skuteczność środków zaradczych
 Nie zapomnij ocenić skuteczności środków zaradczych, ponieważ one również mają miejsce! Czy są skuteczne? Czy napastnicy wygrywają? W ten sposób możesz dostosować swoje reakcje, jeśli napotkasz jakikolwiek inny atak. Miejmy nadzieję, że tak się nie stanie, ale lepiej zapobiegać niż leczyć.
 Wniosek
 Podsumowując, ataki DDoS są obecnie bardzo częste. Im bardziej rozwija się Twoja witryna WordPress, tym bardziej staje się atrakcyjna dla hakerów. Można jednak zapobiegać takim atakom i przygotowywać się na nie, wdrażając środki zapobiegawcze. Powyższe kroki nie tylko pomogą Ci zapobiegać atakom DDoS w WordPressie, ale także pomogą chronić Twoją witrynę przed atakami w ogóle.
 Ale co, jeśli już jesteś atakowany? Nie panikuj. Postępuj zgodnie z powyższymi zaleceniami, aby spróbować ograniczyć problemy i jak najszybciej uruchomić witrynę. Chcesz jeszcze bardziej zwiększyć bezpieczeństwo swojej witryny? Sprawdź nasze wskazówki dotyczące bezpieczeństwa!
 Czy masz jakieś inne przydatne taktyki zapobiegające atakom DDoS? Podziel się tym z nami w komentarzu poniżej!