6-шаговый план защиты WordPress от DDoS для предотвращения атаки

Опубликовано: 2020-02-20

Мустафиз / stock.adobe.com

Обычно рост веб-трафика является желательным результатом для вашего бренда. Однако вы не можете ожидать, что ваш сайт внезапно будет переполнен тысячами одновременных запросов , что приведет к его сбою. К сожалению, именно это происходит во время распределенной атаки типа «отказ в обслуживании» или «DDoS» на сайт WordPress .

Предотвратите DDoS-атаку на сайт WordPress

К счастью, как и в случае с большинством угроз кибербезопасности, вы можете предпринять шаги, чтобы минимизировать вероятность DDoS-атаки на ваш сайт WordPress. Реализация плана защиты может помочь остановить и предотвратить нанесение вреда вашему онлайн-бизнесу интернет-преступниками.

В этом посте мы объясним, что такое DDoS-атаки и как они работают. Затем мы предоставим вам шестиэтапный план защиты WordPress от DDoS, который вы можете использовать, чтобы предотвратить атаку на ваш сайт. Давайте начнем!

В этой статье

  • Что такое DDoS-атака?
  • Важность создания плана защиты от DDoS-атак в WordPress
  • Как предотвратить DDoS-атаку на ваш сайт WordPress (6 основных советов)
  • Подведение итогов
Наша команда WP Buffs сотрудничает с владельцами сайтов, агентствами и фрилансерами, чтобы круглосуточно отслеживать и блокировать сайты WordPress. Если вам нужно защитить один веб-сайт или 1000 клиентских сайтов, мы всегда готовы помочь.

Что такое DDoS-атака?

DDoS-атака — это проблема безопасности, при которой сайт в течение короткого периода времени заваливается поддельными запросами , обычно с использованием ботов. Обращения поступают из нескольких источников, и цель состоит в том, чтобы перегрузить целевой веб-сайт и вызвать его сбой .

Тысячи запросов могут быть обработаны в одно мгновение. Возьмем, к примеру, DDoS-атаку на Imperva в 2019 году, в ходе которой ее сеть пострадала со скоростью 580 миллионов пакетов в секунду (PPS) .

Этот непредвиденный, внезапный всплеск ложных пробок парализует сайт, делая его недоступным и уязвимым . Эти атаки могут быть нацелены на отдельный веб-сайт или на всю сеть.

Наиболее распространенные типы DDoS-атак делятся на три категории:

  • На основе объема: основан на репликации огромного всплеска трафика.
  • Протокол: использует ресурсы сервера для сбоя целевого сайта или сети.
  • Приложение: более сложная атака, нацеленная на веб-приложение.

Существуют разные методы и мотивы совершения такого рода нападения. Хакеры могут провести DDoS-атаку, чтобы повысить уязвимость вашего веб-сайта WordPress. Это может быть эффективным отвлечением, позволяющим легко проникнуть на ваш сайт незамеченным.

Однако чаще всего цель состоит в том, чтобы взломать целевой сайт . Например, кто-то может провести DDoS-атаку на конкурента . Хотя это злонамеренная и крайняя мера, она не является чем-то необычным, особенно если учесть негативное влияние простоя на бизнес.

Важность создания плана защиты от DDoS-атак в WordPress

Последствия DDoS-атаки могут оказаться разрушительными для вашего бизнеса. Многие из последующих повреждений являются результатом длительных и неожиданных простоев .

Если ваш сайт недоступен в течение длительного периода времени, вы, скорее всего, потеряете часть бизнеса. Клиенты не смогут получить доступ к вашему сайту и могут увидеть ошибку 502 плохой шлюз . Это означает, что вы упускаете продажи через электронную коммерцию или другие конверсии потенциальных клиентов.

Длительная недоступность также может повлиять на ваш рейтинг в поисковой оптимизации (SEO) . Из-за снижения видимости вам придется усерднее работать над привлечением потенциальных клиентов, одновременно восстанавливая доверие к своему сайту.

Кроме того, DDoS-атака может привести к проблемам с хостингом . Это особенно актуально, если вы используете общий план, поскольку этот тип нарушения безопасности может повлиять не только на ваш сайт, но и на другие сайты на вашем сервере.

Кроме того, как мы упоминали ранее, инцидент DDoS может повысить уязвимость вашего сайта к другим типам атак . Пока вы отвлекаетесь на попытки снова подключить свой сайт к сети, ваше внимание отвлекается от систем безопасности . Это может облегчить хакерам проникновение незаметно для вас.

Восстановление после атаки может потребовать много денег и времени . Хотя вы не всегда можете предотвратить DDoS-атаку на ваш сайт WordPress, вы можете предпринять шаги, чтобы минимизировать ущерб , который может возникнуть, если вы станете жертвой такой атаки.

[bctttwitter=» Создание надежного плана защиты от DDoS-атак в WordPress поможет защитить ваши критически важные бизнес-активы. #WordPress» username = «thewpbuffs»]

Как предотвратить DDoS-атаку на ваш сайт WordPress (6 основных советов)

Существует множество методов, которые вы можете использовать для защиты своего сайта WordPress , например, использование плагинов безопасности и отключение определенных функций. При правильном плане защиты вы можете улучшить свою способность противостоять DDoS-атаке. В этом разделе мы рассмотрим шесть советов , как их предотвратить.

  1. Отключите XMLR RPC и REST API в WordPress
  2. Установите брандмауэр веб-приложений (WAF) на свой сайт
  3. Выберите поставщика безопасного хостинга
  4. Используйте сеть доставки контента (CDN)
  5. Загрузите плагин WordPress для защиты от DDoS-атак
  6. Сделайте обслуживание и мониторинг WordPress приоритетом

1. Отключите XML RPC и REST API в WordPress.

С момента выпуска WordPress версии 3.5 у вас была возможность включить XML-RPC по умолчанию. Эта функция полезна для пингбэков и трекбэков.

Однако для большинства сайтов это не является необходимостью. Это действительно необходимо только в том случае, если вы полагаетесь на мобильные приложения для управления своим сайтом WordPress.

XML-RPC легко скомпрометировать, а это означает, что он предоставляет уязвимости, которыми хакеры могут воспользоваться во время DDoS-атак. Поэтому мы рекомендуем отключить его.

Вы можете сделать это, отредактировав файл .htaccess . Откройте его либо через файловый менеджер вашей учетной записи хостинга , либо с помощью протокола передачи файлов (FTP) и FTP-клиента, такого как FileZilla. Затем вставьте следующий фрагмент кода:

 # Блокируем запросы WordPress xmlrpc.php

заказ запретить, разрешить
отрицать от всех

Точно так же разумно отключить REST API в WordPress. Это еще один канал, который предоставляет сторонним приложениям (и, в свою очередь, киберпреступникам) доступ к вашему сайту WordPress.

Самый простой способ отключить WordPress API на вашем сайте — использовать WP Hide & Security Enhancer.

WP Hide и усилитель безопасности

Этот плагин можно использовать бесплатно и не требует настройки . После установки и активации вы можете отключить REST API, перейдя в WP Hide > JSON API :

Отключение REST API в WP Hide

Вы также можете использовать этот плагин для отключения функциональности XML-RPC . Эта опция находится на вкладке XML-RPC .

2. Установите WAF на свой сайт

Скорее всего, если вы какое-то время используете WordPress, вы, вероятно, знаете, что такое WAF. Проще говоря, это тип программного обеспечения безопасности, которое добавляет уровень защиты между вашим сайтом и вредоносным трафиком. Это может помочь предотвратить DDoS-атаки, ограничивая доступ пользователей и фильтруя ботов .

Несмотря на то, что существует множество различных WAF, которые помогут защитить ваш сайт WordPress , мы рекомендуем использовать Sucuri.

Sucuri, плагин WordPress для защиты от DDoS.

WAF и система предотвращения вторжений (IPS) Sucuri помогают защитить сайты от атак методом перебора, вредоносного ПО и многого другого. Он также может обнаруживать вредоносный трафик и блокировать различные типы DDoS-атак .

Suruci предлагает на выбор различные планы. Он также имеет «Немедленную помощь» для сайтов, которые в настоящее время подвергаются атаке.

3. Выберите поставщика безопасного хостинга.

Важность качественного хостинга для вашего сайта WordPress невозможно переоценить. Ваш сервер влияет на скорость и производительность вашего сайта. Однако он также играет важную роль в обеспечении безопасности и влияет на вашу способность предотвращать DDoS-атаки и восстанавливаться после них.

[bctttwitter=» Ваш выбор хостинг-провайдера может сделать вас уязвимым для DDoS-атак. #WordPress» username = «thewpbuffs»]

Одна из самых больших проблем, с которой люди часто сталкиваются при выборе веб-хостинга, — это стоимость. Однако, когда дело доходит до защиты вашего сайта, инвестиции в качественный хостинг неоценимы. Это особенно верно, если учесть, что выбор дешевого плана может произойти за счет ваших важнейших бизнес-активов.

Учитывая пагубные последствия, которые DDoS-атака может оказать на производительность и время безотказной работы вашего сайта, очень важно выбрать хостинг-провайдера и спланировать его, чтобы он мог обнаруживать и обрабатывать огромный поток трафика . Некоторые провайдеры, такие как Kinsta* и WP Engine*, имеют встроенные функции, такие как аппаратные брандмауэры и интеграция CDN.

Планы хостинга WP Engine

Надеемся, вы уже используете надежного хостинг-провайдера премиум-класса. Если нет, мы рекомендуем перейти на полностью управляемого хостинг-провайдера WordPress, для которого безопасность является приоритетом. Это включает в себя поиск планов, включающих такие функции, как бесплатный сервис CDN, круглосуточный мониторинг и поддержку, а также сканирование на наличие вредоносных программ.

4. Используйте CDN

CDN предоставляет дополнительные сетевые серверы, которые помогают поддерживать ваш сайт WordPress, обрабатывая основную часть нагрузки на сервер . Хотя этот инструмент часто упоминается в контексте оптимизации производительности, он также может быть полезен для обеспечения безопасности.

По сути, CDN могут помочь предотвратить DDoS-атаки, значительно усложняя перегрузку вашего сервера. Они также могут помочь обнаружить необычные модели трафика и, в некоторых случаях, действовать как обратный прокси-сервер.

Существует множество различных поставщиков услуг CDN. Однако мы рекомендуем выбрать одного из титанов рынка, например Cloudfare.

Домашняя страница веб-сайта Cloudfare.

Cloudfare использует многоуровневый подход к безопасности, который может помочь в защите и смягчении последствий DDoS-атак . Несмотря на то, что у него есть множество премиальных планов на выбор, вы можете использовать Global CDN бесплатно. Еще одним преимуществом является то, что вы можете легко интегрировать его со своим веб-сайтом с помощью соответствующего плагина WordPress.

5. Загрузите плагин WordPress для защиты от DDoS-атак.

Плагины безопасности могут сэкономить вам много времени и энергии, упрощая многие громоздкие задачи. Некоторые из них также имеют функции, которые могут быть необходимы для предотвращения DDoS-атак на ваш сайт WordPress.

Как мы упоминали выше, WAF могут быть невероятно полезны для защиты вашего сайта. Установка плагина безопасности, который поставляется со встроенным плагином, — это быстрый способ добавить защиту к вашей установке WordPress.

Кроме того, такие функции, как ограничение попыток входа в систему, обнаружение неверных URL-адресов и вредоносных IP-адресов, а также блокировка ботов, помогают предотвратить атаки. Поэтому мы рекомендуем скачать плагин WordPress для защиты от DDoS, например Wordfence.

Плагин WordPress Wordfence.

Wordfence может выполнять все функции, упомянутые выше, и даже больше. Этот плагин безопасности WordPress также включает в себя инструменты для мониторинга трафика и посещений в реальном времени, а также скачков активности .

Вы можете скачать и использовать многие функции плагина бесплатно. Тем не менее, он также предлагает премиум-версию, которая открывает доступ ко всему набору функций безопасности, включая канал защиты от угроз в реальном времени.

6. Сделайте обслуживание и мониторинг WordPress приоритетом

Когда дело доходит до управления вашим веб-сайтом, иногда лучшей формой защиты является профилактика . В ваших усилиях по минимизации вероятности DDoS-атаки на ваш сайт WordPress очень важно сделать регулярное обслуживание и мониторинг приоритетом.

Регулярное обслуживание вашего сайта поможет поддерживать его в отличном состоянии и в конечном итоге уменьшит количество уязвимостей, которыми могут воспользоваться злоумышленники. Регулярный мониторинг может помочь вам обнаружить подозрительную активность до того, как она нанесет значительный ущерб.

Надлежащее обслуживание и мониторинг решают множество задач, в том числе:

  • Обновления WordPress, плагинов и тем
  • Мониторинг работоспособности
  • Автоматизированное резервное копирование
  • Оптимизация скорости
  • Сканирование и удаление вредоносных программ

Выполнение этих задач может оказаться трудоемким, но необходимым процессом. Мы предлагаем значительно упростить задачу, подписавшись на план ухода за WordPress, подобный тем, которые мы предлагаем в WP Buffs.

Планы обслуживания WordPress WP Buffs

Профессиональное обслуживание дает вам душевное спокойствие, зная, что за вашим сайтом ухаживают должным образом. Кроме того, вы освобождаете время в своем графике , чтобы сосредоточиться на других неотложных деловых вопросах.

Подведение итогов

Учитывая широкий спектр угроз безопасности , существующих сегодня, оставаться в курсе всех них может показаться непосильной задачей. Однако, поскольку частота и серьезность DDoS-атак увеличивается, как никогда важно убедиться, что ваш сайт WordPress должным образом защищен .

В этом посте мы обсудили шесть советов, которые вы можете использовать, чтобы остановить и предотвратить DDoS-атаку на ваш сайт WordPress:

  1. Отключите XMLR RPC и REST API в WordPress.
  2. Установите WAF на свой сайт.
  3. Выберите безопасный хостинг-провайдер.
  4. Используйте CDN.
  5. Загрузите плагин WordPress для защиты от DDoS.
  6. Сделайте обслуживание и мониторинг WordPress своим приоритетом.

Если вы хотите сделать уход и обслуживание сайта WordPress своим приоритетом, но не уверены, есть ли у вас на это время, рассмотрите возможность передать эту работу нам в WP Buffs . Наши комплексные планы обслуживания сайта могут помочь вам во всем: от установки соответствующих плагинов до проведения тщательной проверки безопасности сайта .

Хотите оставить свой отзыв или присоединиться к обсуждению? Добавляйте свои комментарии в Twitter.

Изображение предоставлено: Скотт Вебер.