6-шаговый план защиты WordPress от DDoS для предотвращения атаки
Опубликовано: 2020-02-20Мустафиз / stock.adobe.com
Обычно рост веб-трафика является желательным результатом для вашего бренда. Однако вы не можете ожидать, что ваш сайт внезапно будет переполнен тысячами одновременных запросов , что приведет к его сбою. К сожалению, именно это происходит во время распределенной атаки типа «отказ в обслуживании» или «DDoS» на сайт WordPress .
К счастью, как и в случае с большинством угроз кибербезопасности, вы можете предпринять шаги, чтобы минимизировать вероятность DDoS-атаки на ваш сайт WordPress. Реализация плана защиты может помочь остановить и предотвратить нанесение вреда вашему онлайн-бизнесу интернет-преступниками.
В этом посте мы объясним, что такое DDoS-атаки и как они работают. Затем мы предоставим вам шестиэтапный план защиты WordPress от DDoS, который вы можете использовать, чтобы предотвратить атаку на ваш сайт. Давайте начнем!
В этой статье
- Что такое DDoS-атака?
- Важность создания плана защиты от DDoS-атак в WordPress
- Как предотвратить DDoS-атаку на ваш сайт WordPress (6 основных советов)
- Подведение итогов
Что такое DDoS-атака?
DDoS-атака — это проблема безопасности, при которой сайт в течение короткого периода времени заваливается поддельными запросами , обычно с использованием ботов. Обращения поступают из нескольких источников, и цель состоит в том, чтобы перегрузить целевой веб-сайт и вызвать его сбой .
Тысячи запросов могут быть обработаны в одно мгновение. Возьмем, к примеру, DDoS-атаку на Imperva в 2019 году, в ходе которой ее сеть пострадала со скоростью 580 миллионов пакетов в секунду (PPS) .
Этот непредвиденный, внезапный всплеск ложных пробок парализует сайт, делая его недоступным и уязвимым . Эти атаки могут быть нацелены на отдельный веб-сайт или на всю сеть.
Наиболее распространенные типы DDoS-атак делятся на три категории:
- На основе объема: основан на репликации огромного всплеска трафика.
- Протокол: использует ресурсы сервера для сбоя целевого сайта или сети.
- Приложение: более сложная атака, нацеленная на веб-приложение.
Существуют разные методы и мотивы совершения такого рода нападения. Хакеры могут провести DDoS-атаку, чтобы повысить уязвимость вашего веб-сайта WordPress. Это может быть эффективным отвлечением, позволяющим легко проникнуть на ваш сайт незамеченным.
Однако чаще всего цель состоит в том, чтобы взломать целевой сайт . Например, кто-то может провести DDoS-атаку на конкурента . Хотя это злонамеренная и крайняя мера, она не является чем-то необычным, особенно если учесть негативное влияние простоя на бизнес.
Важность создания плана защиты от DDoS-атак в WordPress
Последствия DDoS-атаки могут оказаться разрушительными для вашего бизнеса. Многие из последующих повреждений являются результатом длительных и неожиданных простоев .
Если ваш сайт недоступен в течение длительного периода времени, вы, скорее всего, потеряете часть бизнеса. Клиенты не смогут получить доступ к вашему сайту и могут увидеть ошибку 502 плохой шлюз . Это означает, что вы упускаете продажи через электронную коммерцию или другие конверсии потенциальных клиентов.
Длительная недоступность также может повлиять на ваш рейтинг в поисковой оптимизации (SEO) . Из-за снижения видимости вам придется усерднее работать над привлечением потенциальных клиентов, одновременно восстанавливая доверие к своему сайту.
Кроме того, DDoS-атака может привести к проблемам с хостингом . Это особенно актуально, если вы используете общий план, поскольку этот тип нарушения безопасности может повлиять не только на ваш сайт, но и на другие сайты на вашем сервере.
Кроме того, как мы упоминали ранее, инцидент DDoS может повысить уязвимость вашего сайта к другим типам атак . Пока вы отвлекаетесь на попытки снова подключить свой сайт к сети, ваше внимание отвлекается от систем безопасности . Это может облегчить хакерам проникновение незаметно для вас.
Восстановление после атаки может потребовать много денег и времени . Хотя вы не всегда можете предотвратить DDoS-атаку на ваш сайт WordPress, вы можете предпринять шаги, чтобы минимизировать ущерб , который может возникнуть, если вы станете жертвой такой атаки.
[bctttwitter=» Создание надежного плана защиты от DDoS-атак в WordPress поможет защитить ваши критически важные бизнес-активы. #WordPress» username = «thewpbuffs»]Как предотвратить DDoS-атаку на ваш сайт WordPress (6 основных советов)
Существует множество методов, которые вы можете использовать для защиты своего сайта WordPress , например, использование плагинов безопасности и отключение определенных функций. При правильном плане защиты вы можете улучшить свою способность противостоять DDoS-атаке. В этом разделе мы рассмотрим шесть советов , как их предотвратить.
- Отключите XMLR RPC и REST API в WordPress
- Установите брандмауэр веб-приложений (WAF) на свой сайт
- Выберите поставщика безопасного хостинга
- Используйте сеть доставки контента (CDN)
- Загрузите плагин WordPress для защиты от DDoS-атак
- Сделайте обслуживание и мониторинг WordPress приоритетом
1. Отключите XML RPC и REST API в WordPress.
С момента выпуска WordPress версии 3.5 у вас была возможность включить XML-RPC по умолчанию. Эта функция полезна для пингбэков и трекбэков.
Однако для большинства сайтов это не является необходимостью. Это действительно необходимо только в том случае, если вы полагаетесь на мобильные приложения для управления своим сайтом WordPress.
XML-RPC легко скомпрометировать, а это означает, что он предоставляет уязвимости, которыми хакеры могут воспользоваться во время DDoS-атак. Поэтому мы рекомендуем отключить его.
Вы можете сделать это, отредактировав файл .htaccess . Откройте его либо через файловый менеджер вашей учетной записи хостинга , либо с помощью протокола передачи файлов (FTP) и FTP-клиента, такого как FileZilla. Затем вставьте следующий фрагмент кода:
# Блокируем запросы WordPress xmlrpc.php заказ запретить, разрешить отрицать от всех
Точно так же разумно отключить REST API в WordPress. Это еще один канал, который предоставляет сторонним приложениям (и, в свою очередь, киберпреступникам) доступ к вашему сайту WordPress.
Самый простой способ отключить WordPress API на вашем сайте — использовать WP Hide & Security Enhancer.
Этот плагин можно использовать бесплатно и не требует настройки . После установки и активации вы можете отключить REST API, перейдя в WP Hide > JSON API :
Вы также можете использовать этот плагин для отключения функциональности XML-RPC . Эта опция находится на вкладке XML-RPC .
2. Установите WAF на свой сайт
Скорее всего, если вы какое-то время используете WordPress, вы, вероятно, знаете, что такое WAF. Проще говоря, это тип программного обеспечения безопасности, которое добавляет уровень защиты между вашим сайтом и вредоносным трафиком. Это может помочь предотвратить DDoS-атаки, ограничивая доступ пользователей и фильтруя ботов .
Несмотря на то, что существует множество различных WAF, которые помогут защитить ваш сайт WordPress , мы рекомендуем использовать Sucuri.
WAF и система предотвращения вторжений (IPS) Sucuri помогают защитить сайты от атак методом перебора, вредоносного ПО и многого другого. Он также может обнаруживать вредоносный трафик и блокировать различные типы DDoS-атак .
Suruci предлагает на выбор различные планы. Он также имеет «Немедленную помощь» для сайтов, которые в настоящее время подвергаются атаке.
3. Выберите поставщика безопасного хостинга.
Важность качественного хостинга для вашего сайта WordPress невозможно переоценить. Ваш сервер влияет на скорость и производительность вашего сайта. Однако он также играет важную роль в обеспечении безопасности и влияет на вашу способность предотвращать DDoS-атаки и восстанавливаться после них.
[bctttwitter=» Ваш выбор хостинг-провайдера может сделать вас уязвимым для DDoS-атак. #WordPress» username = «thewpbuffs»]
Одна из самых больших проблем, с которой люди часто сталкиваются при выборе веб-хостинга, — это стоимость. Однако, когда дело доходит до защиты вашего сайта, инвестиции в качественный хостинг неоценимы. Это особенно верно, если учесть, что выбор дешевого плана может произойти за счет ваших важнейших бизнес-активов.
Учитывая пагубные последствия, которые DDoS-атака может оказать на производительность и время безотказной работы вашего сайта, очень важно выбрать хостинг-провайдера и спланировать его, чтобы он мог обнаруживать и обрабатывать огромный поток трафика . Некоторые провайдеры, такие как Kinsta* и WP Engine*, имеют встроенные функции, такие как аппаратные брандмауэры и интеграция CDN.
Надеемся, вы уже используете надежного хостинг-провайдера премиум-класса. Если нет, мы рекомендуем перейти на полностью управляемого хостинг-провайдера WordPress, для которого безопасность является приоритетом. Это включает в себя поиск планов, включающих такие функции, как бесплатный сервис CDN, круглосуточный мониторинг и поддержку, а также сканирование на наличие вредоносных программ.
4. Используйте CDN
CDN предоставляет дополнительные сетевые серверы, которые помогают поддерживать ваш сайт WordPress, обрабатывая основную часть нагрузки на сервер . Хотя этот инструмент часто упоминается в контексте оптимизации производительности, он также может быть полезен для обеспечения безопасности.
По сути, CDN могут помочь предотвратить DDoS-атаки, значительно усложняя перегрузку вашего сервера. Они также могут помочь обнаружить необычные модели трафика и, в некоторых случаях, действовать как обратный прокси-сервер.
Существует множество различных поставщиков услуг CDN. Однако мы рекомендуем выбрать одного из титанов рынка, например Cloudfare.
Cloudfare использует многоуровневый подход к безопасности, который может помочь в защите и смягчении последствий DDoS-атак . Несмотря на то, что у него есть множество премиальных планов на выбор, вы можете использовать Global CDN бесплатно. Еще одним преимуществом является то, что вы можете легко интегрировать его со своим веб-сайтом с помощью соответствующего плагина WordPress.
5. Загрузите плагин WordPress для защиты от DDoS-атак.
Плагины безопасности могут сэкономить вам много времени и энергии, упрощая многие громоздкие задачи. Некоторые из них также имеют функции, которые могут быть необходимы для предотвращения DDoS-атак на ваш сайт WordPress.
Как мы упоминали выше, WAF могут быть невероятно полезны для защиты вашего сайта. Установка плагина безопасности, который поставляется со встроенным плагином, — это быстрый способ добавить защиту к вашей установке WordPress.
Кроме того, такие функции, как ограничение попыток входа в систему, обнаружение неверных URL-адресов и вредоносных IP-адресов, а также блокировка ботов, помогают предотвратить атаки. Поэтому мы рекомендуем скачать плагин WordPress для защиты от DDoS, например Wordfence.
Wordfence может выполнять все функции, упомянутые выше, и даже больше. Этот плагин безопасности WordPress также включает в себя инструменты для мониторинга трафика и посещений в реальном времени, а также скачков активности .
Вы можете скачать и использовать многие функции плагина бесплатно. Тем не менее, он также предлагает премиум-версию, которая открывает доступ ко всему набору функций безопасности, включая канал защиты от угроз в реальном времени.
6. Сделайте обслуживание и мониторинг WordPress приоритетом
Когда дело доходит до управления вашим веб-сайтом, иногда лучшей формой защиты является профилактика . В ваших усилиях по минимизации вероятности DDoS-атаки на ваш сайт WordPress очень важно сделать регулярное обслуживание и мониторинг приоритетом.
Регулярное обслуживание вашего сайта поможет поддерживать его в отличном состоянии и в конечном итоге уменьшит количество уязвимостей, которыми могут воспользоваться злоумышленники. Регулярный мониторинг может помочь вам обнаружить подозрительную активность до того, как она нанесет значительный ущерб.
Надлежащее обслуживание и мониторинг решают множество задач, в том числе:
- Обновления WordPress, плагинов и тем
- Мониторинг работоспособности
- Автоматизированное резервное копирование
- Оптимизация скорости
- Сканирование и удаление вредоносных программ
Выполнение этих задач может оказаться трудоемким, но необходимым процессом. Мы предлагаем значительно упростить задачу, подписавшись на план ухода за WordPress, подобный тем, которые мы предлагаем в WP Buffs.
Профессиональное обслуживание дает вам душевное спокойствие, зная, что за вашим сайтом ухаживают должным образом. Кроме того, вы освобождаете время в своем графике , чтобы сосредоточиться на других неотложных деловых вопросах.
Подведение итогов
Учитывая широкий спектр угроз безопасности , существующих сегодня, оставаться в курсе всех них может показаться непосильной задачей. Однако, поскольку частота и серьезность DDoS-атак увеличивается, как никогда важно убедиться, что ваш сайт WordPress должным образом защищен .
В этом посте мы обсудили шесть советов, которые вы можете использовать, чтобы остановить и предотвратить DDoS-атаку на ваш сайт WordPress:
- Отключите XMLR RPC и REST API в WordPress.
- Установите WAF на свой сайт.
- Выберите безопасный хостинг-провайдер.
- Используйте CDN.
- Загрузите плагин WordPress для защиты от DDoS.
- Сделайте обслуживание и мониторинг WordPress своим приоритетом.
Если вы хотите сделать уход и обслуживание сайта WordPress своим приоритетом, но не уверены, есть ли у вас на это время, рассмотрите возможность передать эту работу нам в WP Buffs . Наши комплексные планы обслуживания сайта могут помочь вам во всем: от установки соответствующих плагинов до проведения тщательной проверки безопасности сайта .
Хотите оставить свой отзыв или присоединиться к обсуждению? Добавляйте свои комментарии в Twitter.
Изображение предоставлено: Скотт Вебер.