วิธีป้องกันไซต์ WordPress ของคุณจากการโจมตี DDoS

เผยแพร่แล้ว: 2022-09-01

ในปี 2564 เพียงปีเดียว อาชญากรไซเบอร์ได้เปิดตัวการโจมตี DDoS มากกว่า 9.75 ล้านครั้ง เนื่องจากมีเว็บไซต์จำนวนมากที่ใช้ WordPress การรักษาความปลอดภัยให้กับคุณจากภัยคุกคาม DDoS ที่อาจเกิดขึ้นควรมีความสำคัญสูงสุด

WordPress เป็นแพลตฟอร์ม CMS ที่ได้รับความนิยมมากที่สุดในโลก โดยมีอำนาจมากกว่า 43% ของเว็บไซต์ออนไลน์ เนื่องจาก CMS นั้นฟรีและใช้งานง่าย บุคคลจำนวนมากที่ใช้งานเว็บไซต์ WordPress อาจไม่มีความปลอดภัยที่ครอบคลุม

เช่นเดียวกับวิธีที่คุณต้องเพิ่มประสิทธิภาพโพสต์ WordPress ของคุณก่อนที่จะกด "เผยแพร่" เว็บไซต์ WordPress ของคุณต้องมีการป้องกันก่อนที่จะเปิดสู่สาธารณะ

การโจมตี DDoS คืออะไร

การโจมตีแบบ Distributed Denial-of-Service (DDoS) เป็นวิธีหนึ่งที่ผู้โจมตีมุ่งร้ายใช้เพื่อกำหนดเป้าหมายไซต์ WordPress วัตถุประสงค์ของการโจมตีเหล่านี้เป็นเรื่องง่าย ผู้โจมตีจะทำให้เว็บไซต์เป้าหมายท่วมท้นด้วยคำขอจำนวนมากจนเกิดปัญหาหรือทำงานช้าจนไร้ประโยชน์

โดยการทำเช่นนี้ ผู้โจมตีจะป้องกันไม่ให้ผู้เยี่ยมชมที่ถูกกฎหมายเข้าถึงเว็บไซต์ นอกจากนี้ยังอาจบังคับให้เจ้าของเว็บไซต์เพิ่มค่าใช้จ่ายด้านความปลอดภัยในโลกไซเบอร์เป็นระยะเวลาหนึ่ง

การโจมตี DDoS ทำงานอย่างไร


วัตถุประสงค์ของการโจมตี DDoS คือเพื่อครอบงำเว็บไซต์เป้าหมาย อย่างไรก็ตาม การโจมตีที่เกิดจากเซิร์ฟเวอร์เดียวนั้นง่ายต่อการบล็อก ด้วยเหตุนี้ อาชญากรไซเบอร์จึงมักใช้บ็อตเน็ต นี่คือเครือข่ายของคอมพิวเตอร์ที่ถูกบุกรุกซึ่งติดมัลแวร์ซึ่งผู้โจมตีสามารถควบคุมได้

การใช้บ็อตเน็ตยังทำให้ทีมนิติวิทยาศาสตร์สามารถระบุแหล่งที่มาของการโจมตีได้ยากขึ้นเมื่อการสอบสวนเริ่มต้นขึ้น

ความเสียหายที่อาจเกิดขึ้นจาก DDoS

เมื่อการโจมตี DDoS โจมตีเว็บไซต์ WordPress ของคุณ มันสามารถสร้างความเสียหายได้มาก ผลกระทบทางการเงินต่อเว็บไซต์ WordPress ที่ไม่ใช่ธุรกิจอาจน้อยกว่าแต่ก็ไม่เสียหาย หาก DDoS เข้าชมเว็บไซต์ของคุณ คุณอาจสูญเสียการเข้าถึงเว็บไซต์ของคุณในช่วงเวลาสั้นๆ

เว็บไซต์ธุรกิจมีความเสี่ยงสูงและอาจประสบความสูญเสียอย่างมาก นี่คือผลที่อาจเกิดขึ้น

  • ผลกระทบทางการเงินทันทีจากการสูญเสียยอดขาย
  • ค่าธรรมเนียมสูงสำหรับการพิสูจน์หลักฐานหลังการโจมตี
  • ความเสี่ยงที่อาจเกิดขึ้นจากการละเมิดข้อมูล
  • ความเสียหายของแบรนด์ที่อาจเกิดขึ้นจากความคิดเห็นเชิงลบของลูกค้า

และอื่น ๆ.

ปัญหาของการโจมตี DDoS คือสามารถบรรเทาได้ยาก มีหลายวิธีในการปรับปรุงความยืดหยุ่นของเว็บไซต์ WordPress ของคุณจากการโจมตีเหล่านี้

ปกป้องเว็บไซต์ WordPress ของคุณจากการโจมตี DDoS

  1. เลือกโฮสต์เว็บที่เชื่อถือได้

    แนวป้องกันแรกสำหรับเว็บไซต์ WordPress คือผู้ให้บริการเว็บโฮสติ้งเสมอ ผู้ใช้ใหม่จำนวนมากมักให้ความสำคัญกับพื้นฐานของเว็บโฮสติ้ง ซึ่งรวมถึงราคา ทรัพยากร ประเภทของแผน และของสมนาคุณที่พวกเขาได้รับ

    ความปลอดภัยเป็นสิ่งสำคัญแต่มักถูกมองข้าม ผู้ให้บริการเว็บโฮสติ้งบางรายร่วมมือกับแบรนด์การรักษาความปลอดภัยที่เป็นที่รู้จัก เช่น Sucuri เพื่อปกป้องเครือข่ายของตนได้ดียิ่งขึ้น อื่นๆ เช่น UltaHost มีแผน VPS DDoS โดยเฉพาะ

    ไม่ต้องกังวลหากสิ่งนี้ทำให้คุณสับสน เนื่องจาก WordPress ได้รับความนิยมอย่างมาก โฮสต์จำนวนมากจึงมีตัวเลือกโฮสติ้ง WordPress ที่มีการจัดการ แผนเฉพาะเหล่านี้ช่วยให้คุณมุ่งเน้นไปที่การสร้างและใช้งานไซต์ WordPress ของคุณ ในขณะที่ผู้ให้บริการจัดการรายละเอียดทางเทคนิค เช่น ความปลอดภัย

  2. ใช้เครือข่ายการจัดส่งเนื้อหา


    เครือข่ายการจัดส่งเนื้อหา (CDN) คือกลุ่มของเซิร์ฟเวอร์ที่กระจายไปทั่วโลกซึ่งทำงานร่วมกันเพื่อส่งมอบทรัพย์สินแบบคงที่ของเว็บไซต์ของคุณอย่างรวดเร็วและเชื่อถือได้ เป้าหมายคือเพื่อให้แน่ใจว่าเว็บไซต์ของคุณโหลดได้เร็ว

    อย่างไรก็ตาม CDN ยังให้ประโยชน์ด้านความปลอดภัยเพิ่มเติมซึ่งคุณอาจไม่ทราบ ขอบคุณเครือข่ายเซิร์ฟเวอร์ทั่วโลก เว็บไซต์สามารถลดพื้นที่ผิวการโจมตีที่อาจเกิดขึ้นโดยการกระจายโหลด โดยพื้นฐานแล้ว คุณกำลังยืมเซิร์ฟเวอร์ CDN เพื่อเพิ่มการเข้าชมเว็บไซต์ของคุณในการจัดการศักยภาพที่เกินจริง

    ด้วยคุณสมบัตินี้ ผู้โจมตีจะต้องใช้ทรัพยากรมากขึ้นอย่างมาก หากพวกเขาต้องการให้การโจมตี DDoS สำเร็จ หากระบุผู้โจมตีแล้ว พวกเขายังสามารถเอาชนะเว็บไซต์ที่ใช้ CDN ได้

    แม้ว่า CDN ส่วนใหญ่ต้องการการสมัครสมาชิกแบบชำระเงิน แต่ Cloudflare เสนอแผนบริการฟรีที่ควรทำงานได้ดีสำหรับบุคคลทั่วไปและธุรกิจขนาดเล็ก อีกทางหนึ่ง CDN บางรายการก็มีราคาที่ไม่แพงมาก เช่น BunnyCDN

  3. ใช้ไฟร์วอลล์แอปพลิเคชันเว็บ

    คุณลักษณะด้านความปลอดภัยอื่นที่คุณสามารถใช้ได้คือ Web Application Firewall (WAF) WAF เป็นซอฟต์แวร์ชิ้นหนึ่งที่อยู่ระหว่างเว็บไซต์ของคุณและอินเทอร์เน็ต ปกป้องเว็บไซต์จากผู้ใช้ที่ประสงค์ร้าย ซึ่งทำได้โดยการกรองคำขอ ตรวจสอบพฤติกรรมที่น่าสงสัย และหยุดการรับส่งข้อมูลที่อาจเป็นอันตรายก่อนที่จะถึงเซิร์ฟเวอร์ของคุณ

    คุณสามารถใช้ WAF เพื่อทำสิ่งต่างๆ ได้มากมาย นอกเหนือจากการป้องกันการโจมตี DDoS พวกเขาสามารถบล็อกการฉีด SQL หรือ XSS ป้องกันการพยายามเข้าสู่ระบบแบบดุร้ายบนไซต์ WordPress และอีกมากมาย CDN จำนวนมากจะมีคุณสมบัติ WAF ซึ่งบางครั้งอาจฟรีหรือมีค่าใช้จ่ายเพิ่มเติมเล็กน้อย

  4. ปิดการใช้งาน XML-RPC Pingbacks

    การปิดใช้งาน XML-RPC Pingbacks เป็นสิ่งสำคัญในการลดจำนวนคำขอที่ไซต์ของคุณได้รับ คุณลักษณะนี้ช่วยให้ผู้ใช้สามารถแสดงความคิดเห็นในบล็อกหรือเว็บไซต์ของคุณผ่านทาง pingback น่าเสียดายที่ผู้โจมตี DDoS มักถูกทำร้ายเช่นกัน

    ในการดำเนินการนี้ ให้ไปที่ การตั้งค่า > การสนทนา จากนั้นคลิกที่ “ ปิดการใช้งาน pings และ trackbacks

    เมื่อคุณทำเสร็จแล้ว ให้เลื่อนลงมาจนกว่าคุณจะเห็น XML-RPC Pingbacks คลิกที่ " ปิด การใช้งาน" ถัดจากนั้นและ บันทึกการเปลี่ยนแปลง

    หากไม่มีตัวเลือกในการปิดใช้งาน XML-RPC Pingbacks ในหน้าการตั้งค่าธีมหรือแผงปลั๊กอินของคุณ (เช่น กับ WordPress เอง) คุณสามารถลองใช้ปลั๊กอินความปลอดภัยได้ ปลั๊กอินที่ดีที่ควรพิจารณา ได้แก่ WordFence หรือ Sucuri Security

  5. อัปเดต WordPress เป็นประจำเพื่อลดช่องโหว่

    เพื่อช่วยปกป้องเว็บไซต์ของคุณจากการโจมตี DDoS คุณควรอัปเดต WordPress และปลั๊กอิน ธีม และปลั๊กอินความปลอดภัยให้เป็นปัจจุบัน นักพัฒนามักจะตรวจสอบแอปพลิเคชันเหล่านี้เพื่อแก้ไขข้อบกพร่อง เช่น ข้อบกพร่องด้านความปลอดภัย นอกเหนือจากการแนะนำคุณสมบัติใหม่

    คุณสามารถอัปเดต WordPress ด้วยตนเองหรือโดยอัตโนมัติโดยทำตามขั้นตอนเหล่านี้:

    1. เข้าสู่ระบบบัญชีเว็บไซต์ WordPress ของคุณ
    2. คลิกที่ Dashboard บนเมนูนำทางด้านซ้าย
    3. เลือกอัปเดต
    4. อัปเดตปลั๊กอินที่แสดงบนหน้าจอนั้น

    โฮสต์เว็บจำนวนมากยังเสนอทางเลือกให้ลูกค้าในการอัปเดต WordPress โดยอัตโนมัติผ่านแผงควบคุมเว็บโฮสติ้ง หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับเรื่องนี้ โปรดติดต่อผู้ให้บริการเว็บโฮสติ้งของคุณ

    นอกจากนี้ โปรดใช้ความระมัดระวังเกี่ยวกับปลั๊กอินที่คุณเลือกที่จะเพิ่มลงในเว็บไซต์ WordPress ของคุณ ปลั๊กอินบางตัวไม่ได้มีคุณภาพเท่ากัน บางคนแนะนำช่องโหว่หรือข้อบกพร่องที่น่ารังเกียจเช่นการล็อคคุณออกจากแดชบอร์ดผู้ดูแลระบบ WordPress

  6. ปิดการใช้งาน REST API

    WordPress มาพร้อมกับ REST API ที่เปิดใช้งานโดยค่าเริ่มต้น คุณลักษณะนี้เป็นเวกเตอร์ที่เป็นไปได้สำหรับการโจมตี DDoS เนื่องจากอนุญาตให้ผู้ใช้ภายนอกส่งคำขอไปยังเซิร์ฟเวอร์ของคุณ ผู้โจมตีสามารถใช้สิ่งนี้เพื่อครอบงำไซต์หรือทำให้ไซต์ล่ม

    อย่างไรก็ตาม REST API ไม่จำเป็นสำหรับ WordPress ในการทำงานหรือปลอดภัยหรือมีประสิทธิภาพ หากปิดใช้งาน คุณจะไม่สูญเสียฟังก์ชันการทำงานใดๆ ที่คุณมีกับไซต์ของคุณในขณะนี้ โดยจะยังคงเหมือนเดิมก่อนที่จะปิดใช้งาน REST API

    วิธีที่ดีที่สุดในการปิดการใช้งาน WordPress REST API คือการใช้ปลั๊กอินเช่น Perfmatters ปลั๊กอินเช่นนี้จะช่วยให้คุณปรับเปลี่ยนการตั้งค่าบางอย่างได้อย่างง่ายดายด้วยปุ่มสลับ - ไม่จำเป็นต้องเขียนโค้ด

บทสรุป

WordPress เป็นแพลตฟอร์มที่ยอดเยี่ยมสำหรับการสร้างและจัดการเนื้อหา แต่มันไม่สมบูรณ์แบบและจะไม่ปกป้องคุณจากภัยคุกคามความปลอดภัยทั้งหมด คุณต้องมีความกระตือรือร้นในการปกป้องไซต์ของคุณ เราจึงแนะนำให้ใช้ไฟร์วอลล์ของเว็บแอปพลิเคชันหรือบริการอื่นๆ ที่คล้ายคลึงกันซึ่งสามารถสแกนการรับส่งข้อมูลที่มาจากภายนอกได้

แม้ว่าคุณจะเพิกเฉยต่อตัวเลือกอื่น ๆ ทั้งหมด โฮสต์เว็บที่ดีและ CDN ที่เชื่อถือได้ก็เป็นสิ่งที่จำเป็นในการปกป้องเว็บไซต์ WordPress ของคุณจากการโจมตี DDoS