วิธีป้องกันการโจมตี DDoS บน WordPress

เผยแพร่แล้ว: 2020-08-18

ด้วยการระบาดใหญ่ในหลายประเทศและการระเบิดของธุรกิจออนไลน์ การโจมตีทางดิจิทัลจึงเกิดขึ้นบ่อยครั้งและคุกคามมากขึ้น สิ่งที่พบได้บ่อยและอันตรายที่สุดคือ การโจมตี DDoS ในคู่มือนี้ เราจะแสดง วิธีป้องกันการโจมตี DDoS บนเว็บไซต์ WordPress ของคุณ

การโจมตี DDoS คืออะไร?

ก่อนจะพูดถึงวิธีการป้องกันการโจมตี DDoS (Distributed Denial of Service) เรามาทำความเข้าใจก่อนว่ามันคืออะไร พูดง่ายๆ ก็ คือ การโจมตี DDoS เป็นการโจมตีประเภท Denial of Service (DoS) ที่เกี่ยวข้องกับอุปกรณ์ออนไลน์ที่เชื่อมต่อจำนวนมาก ซึ่งแฮกเกอร์ใช้เพื่อ ครอบงำเซิร์ฟเวอร์ของเว็บไซต์ที่มีการรับส่งข้อมูลปลอม

ในการโจมตี DDoS เครื่องและเซิร์ฟเวอร์ที่เชื่อมต่อเหล่านี้จะเปิดการโจมตีแยกกัน แต่ในขณะเดียวกัน ทำให้พวกเขาถูกมองข้ามไปชั่วระยะเวลาหนึ่งก่อนที่จะถูกบล็อก ด้วยกลยุทธ์นี้ พวกเขาสามารถเพิ่มผลกระทบของการโจมตีเหล่านี้ได้อย่างง่ายดาย ทำให้ช้าลงและทำให้เซิร์ฟเวอร์เป้าหมายล้มเหลวในที่สุด

สิ่งที่น่าสนใจอย่างหนึ่งเกี่ยวกับ การโจมตี DDoS คือพวกเขา จะไม่พยายามละเมิดและเข้าถึงเซิร์ฟเวอร์ของคุณโดยตรง แต่มีเป้าหมายที่จะทำให้เว็บไซต์และเซิร์ฟเวอร์หยุดทำงานในช่วงเวลาหนึ่ง ผู้ใช้จึงไม่สามารถเข้าถึงได้ อย่างไรก็ตาม การโจมตี DDoS สามารถใช้เป็นที่กำบังในการละเมิดความปลอดภัยของเซิร์ฟเวอร์ได้

จะเกิดอะไรขึ้นหากคุณตกเป็นเหยื่อของการโจมตี DDoS? หากแฮกเกอร์ทำให้เซิร์ฟเวอร์ของคุณล่มได้สำเร็จ คุณอาจประสบปัญหา อาจต้องใช้เงินหลายพันดอลลาร์ในการกู้คืนระบบของคุณ ไม่ต้องพูดถึงค่าใช้จ่ายอื่นๆ เช่น แบนด์วิดท์ ที่สำคัญกว่านั้น การโจมตีจะส่งผลเสียต่อการเข้าชม ชื่อเสียง และผลการขายของคุณ

การโจมตี DDoS เป็นเรื่องปกติหรือไม่?

ใช่พวกเขาเป็น อันที่จริง การโจมตี DDoS กำลังเกิดขึ้นบ่อยขึ้นเรื่อยๆ จากการศึกษาเมื่อเร็ว ๆ นี้ ปัจจุบันมี การโจมตี DDoS 16 ครั้งทุกๆ 60 วินาที ! และในปี 2019 เพียงปีเดียว มีการโจมตี DDoS มากกว่า 8.4 ล้านครั้งทั่วโลก

เพื่อหลีกเลี่ยงปัญหาเหล่านี้ การ ป้องกันการโจมตี DDoS บนไซต์ WordPress ของคุณ เป็นสิ่งสำคัญที่สุด ในคู่มือนี้ เราจะแสดงให้คุณเห็นว่าต้องทำอย่างไรเพื่อหลีกเลี่ยงและดูแลเว็บไซต์ของคุณให้ปลอดภัย

วิธีป้องกันการโจมตี DDoS บน WordPress

นี่คือ แนวคิดบางประการในการป้องกันการโจมตี DDoS ใน WordPress และหลีกเลี่ยงแฮกเกอร์ที่ส่งผลต่อไซต์ของคุณ

  1. บล็อกการเข้าถึง wp-login.php
  2. เปิดใช้งาน WAF
  3. ดูแลการเข้าชมเว็บไซต์
  4. จำกัดการเข้าถึงพื้นที่ wp-admin
  5. เปิดใช้งานการปิดกั้นประเทศ
  6. ปิดใช้งาน DDoS Attack API
    1. XML RPC API
    2. REST API
  7. อัพเดท WordPress เป็นประจำ

1. บล็อกการเข้าถึง wp-login.php

ไฟล์ wp-login.php เป็นหนึ่งในเส้นทางทั่วไปที่แฮกเกอร์ใช้สำหรับการโจมตี DDoS ใน WordPress ตัวอย่างเช่น ที่ QuadLayers เราบล็อกการเข้าถึง ไฟล์ wp-login.php มากกว่า 250 ครั้งต่อวัน!

หากคุณใช้บริการเช่น Cloudflare คุณสามารถตรวจสอบจำนวนครั้งที่มีคนพยายามเข้าถึง ไฟล์ wp-login.php ของคุณ และคุณจะแปลกใจว่าตัวเลขนั้นสูงแค่ไหน การบล็อกการเข้าถึงไฟล์เหล่านั้นเป็นวิธีที่ดีที่สุดวิธีหนึ่งในการป้องกันการโจมตี DDoS ใน WordPress

บริการความปลอดภัยส่วนใหญ่มีตัวเลือกต่าง ๆ เพื่อบล็อกการเข้าถึง wp-login.php เราใช้ Cloudflare ดังนั้นเราจะแสดงวิธีบล็อกการโจมตีไฟล์ wp-login.php ด้วยบริการนี้ แผนบริการฟรีของ Cloudflare ให้คุณตั้งกฎได้มากถึง 5 กฎ เพื่อให้คุณทำได้โดยไม่ต้องเสียเงิน

ในแดชบอร์ด ไปที่ Firewall > Firewall Rules > Create a Firewall rule ตั้งชื่อกฎ และกรอกข้อมูลในช่องว่างด้วยข้อมูลต่อไปนี้:

วิธีป้องกันการโจมตี DDoS ใน WordPress - Wp-admin.php

  • สนาม : URI Path
  • โอเปอเรเตอร์ : ประกอบด้วย
  • ค่า : /wp-login.php

หรือคุณสามารถคัดลอกและวางโค้ดต่อไปนี้ในส่วนการแสดงตัวอย่างนิพจน์:

 (http.request.uri.path มี "/wp-login.php")

คลิกปุ่ม บันทึก และคุณพร้อมแล้ว

2. เปิดใช้งาน WAF

WAF ย่อมาจาก Web Application Firewall และทำหน้าที่เป็นชั้นป้องกันอีกชั้นหนึ่งสำหรับเว็บไซต์ของคุณ ปกป้องไซต์ของคุณจากการรับส่งข้อมูลที่เป็นอันตรายโดยใช้อัลกอริธึมอัจฉริยะเพื่อระบุและบล็อกคำขอที่ดูเหมือนเป็นอันตราย วิธีนี้จะช่วยให้คุณได้รับปริมาณข้อมูลที่ดีเท่านั้น

มีโซลูชั่น WAF ให้เลือกมากมาย ก่อนตัดสินใจว่าจะใช้อันใด ให้ตรวจสอบว่าการป้องกันนั้นเหมาะสมกับไซต์ของคุณหรือไม่ ตลอดจนราคาและความสะดวกในการใช้งาน หลังจากใช้ผลิตภัณฑ์เหล่านี้มาสองสามตัวในช่วงหลายปีที่ผ่านมา เราขอแนะนำ Sucuri เป็นอย่างยิ่ง มีปลั๊กอินฟรีและแผนโปรสองสามแผนซึ่งเริ่มต้นที่ 199 USD ต่อปีสำหรับไซต์เดียว Cloudflare เป็นตัวเลือกที่ยอดเยี่ยมเช่นกัน มีปลั๊กอินฟรีและแผนโปรพร้อมการลดการโจมตี DDoS ในราคา 20 USD ต่อเดือน

นอกจากนี้ เราขอแนะนำให้คุณปฏิบัติตามคำแนะนำด้านความปลอดภัยเพื่อปรับปรุงการป้องกันโดยรวมของไซต์ของคุณจากมัลแวร์ทุกประเภท

3. ดูแลการเข้าชมเว็บไซต์

ปริมาณการใช้ข้อมูลที่เพิ่มขึ้นอย่างมากไม่ได้หมายความว่าข่าวดีเสมอไป แม้ว่าจะไม่เสมอไป แต่การโจมตี DDoS มักจะอยู่ในรูปแบบของการรับส่งข้อมูลจำนวนมาก การโจมตีเชิงปริมาตรเหล่านี้ใช้เครือข่ายและบางครั้งมักถูกเข้าใจผิดว่าเป็นผู้เข้าชมใหม่ หากคุณพบผู้เยี่ยมชมใหม่จำนวนมากมาที่เว็บไซต์ของคุณ ให้ตรวจสอบว่าเป็นผู้ใช้ใหม่หรือผู้ที่พยายามจะทำลายเว็บไซต์ของคุณ

ทางออกที่ดีที่สุดสำหรับสิ่งนี้คือการติดตั้งเครื่องมือตรวจสอบและให้พวกเขาตรวจสอบบันทึกของคุณและแจ้งเตือนคุณหากจำนวนคำขอ/ผู้เยี่ยมชมเพิ่มขึ้นอย่างกะทันหัน ด้วยวิธีนี้ คุณจะป้องกันการโจมตี DDoS บนไซต์ WordPress ของคุณ

หากต้องการแยกความแตกต่างระหว่างผู้เยี่ยมชมรายใหม่และการโจมตี DDoS คุณอาจต้องการให้ความสนใจกับ:

  • แหล่งที่มาของการเข้าชม: การเข้า ชมของคุณมาจากภูมิภาคที่คุณกำหนดเป้าหมายหรือไม่ ตัวอย่างเช่น หากคุณกำหนดเป้าหมายลูกค้าในพื้นที่ แต่ได้รับการเข้าชมจำนวนมากจากต่างประเทศ ก็มีสิ่งแปลก ๆ เกิดขึ้น
  • เวลาของการจราจร: หากคุณเห็นการเข้าชมที่เพิ่มขึ้นในเวลา 03:00 น. ตามเวลาท้องถิ่น อาจเป็นเพราะการโจมตีเช่นกัน
  • ลักษณะธุรกิจของคุณ: คำนึงถึงประเภทธุรกิจของคุณด้วย ตัวอย่างเช่น หากคุณขายชุดว่ายน้ำและชุดชายหาด จำนวนผู้เข้าชมในช่วงฤดูร้อนเป็นเรื่องปกติ

โปรดทราบว่าบางครั้งบอทของ Google และโปรแกรมรวบรวมข้อมูลของเครื่องมือค้นหาอื่นๆ จะส่งคำขอที่น่าสงสัยมายังเว็บไซต์ของคุณ คำนึงถึงความแตกต่างระหว่างสิ่งเหล่านี้เพื่อให้แน่ใจว่าคุณจะบล็อกการโจมตี DDoS ไม่ใช่บอท

4. จำกัดการเข้าถึงพื้นที่ wp-admin

คุณควรเป็นคนเดียวที่สามารถเข้าถึงพื้นที่ ผู้ดูแลระบบ wp เนื่องจากเป็นที่ที่คุณควบคุมกิจกรรมที่สำคัญที่สุดทั้งหมดใน WordPress อย่างไรก็ตาม เมื่อจำกัดการเข้าถึงพื้นที่ wp-admin ตรวจสอบให้แน่ใจว่าไม่ได้รวมไฟล์บางไฟล์ เช่น /wp-admin/admin-ajax.php และ /wp-admin/theme-editor.php ที่ใช้โดยปลั๊กอินและธีมที่ ต้องเข้าถึงพื้นที่ wp-admin จากภายนอก นอกจากนี้ คุณสามารถยกเว้น IP ของคุณและเมื่อผู้อ้างอิงมาจากเว็บไซต์ของคุณ

หากคุณกำลังใช้บริการรักษาความปลอดภัย การกำหนดค่านี้ไม่น่าจะยาก ในกรณีของเรา นี่คือวิธีที่เราทำโดยใช้ Cloudflare:

ในแดชบอร์ด ไปที่ Firewall > Firewall Rules > Create a Firewall rule หลังจากตั้งชื่อกฎแล้ว ให้กรอกข้อมูลในช่องว่างดังนี้:

วิธีป้องกันการโจมตี DDoS ใน WordPress - พื้นที่ผู้ดูแลระบบ WP

  • สนาม: URI Path
  • โอเปอเรเตอร์: ประกอบด้วย
  • ค่า: /wp-admin/

[และ]

  • สนาม: URI Path
  • โอเปอเรเตอร์: ไม่มี
  • ค่า: /wp-admin/admin-ajax.php

[และ]

  • สนาม: URI Path
  • โอเปอเรเตอร์: ไม่มี
  • ค่า: /wp-admin/theme-editor.php

[และ]

  • สนาม: ผู้อ้างอิง
  • โอเปอเรเตอร์: ไม่มี
  • ราคา: quadlayers.com

[และ]

  • ฟิลด์: ที่อยู่ IP
  • โอเปอเรเตอร์: ไม่มี
  • มูลค่า: 182.189.59.210

มิฉะนั้น คุณสามารถคลิก แก้ไขนิพจน์ แล้ววางโค้ดต่อไปนี้:

 (http.request.uri.path มี "/wp-admin/" และไม่ใช่ http.request.uri.path มี "/wp-admin/admin-ajax.php" และไม่ใช่ http.request.uri.path มี "/ wp-admin/theme-editor.php" และไม่ใช่ http.referer มี "quadlayers.com" และ ip.src ne 182.189.59.210)

5. เปิดใช้งานการปิดกั้นประเทศ

คล้ายกับไฟร์วอลล์ของเว็บไซต์ การบล็อกประเทศคือการบล็อกทางภูมิศาสตร์ประเภทหนึ่งที่ช่วยลดความเสี่ยงที่เว็บไซต์ของคุณจะถูกโจมตี แม้ว่าเจ้าของไซต์จะไม่สามารถแยกแยะความเป็นไปได้ของการโจมตี DDoS โดยการบล็อกประเทศเพียงอย่างเดียว แต่เป็นเรื่องปกติที่จะเพิ่มระดับการป้องกันการโจมตีในขณะที่ปฏิบัติตามนโยบายขององค์กร เนื่องจากมีการโจมตีทางไซเบอร์จำนวนมากมาจากบางประเทศในช่วงไม่นานนี้ คุณจึงอาจพิจารณาบล็อกไม่ให้พวกเขาโต้ตอบกับเว็บไซต์ของคุณ

ในฐานะหนึ่งในปลั๊กอินความปลอดภัยที่ช่วยให้บล็อกประเทศได้ง่าย Sucuri เป็นตัวเลือกที่ยอดเยี่ยมสำหรับสิ่งนี้

6. ปิดใช้งาน DDoS Attack APIs

หลักการของวิธีนี้คือการปิดใช้งาน API หลายตัวเพื่อให้แฮกเกอร์ไม่สามารถใช้เพื่อโจมตีไซต์ WordPress ของคุณได้ โดยปกติ API เหล่านี้เป็นเกตเวย์สำหรับปลั๊กอินและบริการของบุคคลที่สามเพื่อรวมเข้ากับเว็บไซต์ อย่างไรก็ตาม แฮกเกอร์มักจะใช้ประโยชน์จากพวกเขาเพื่อเปิดตัว DDoS หรือการโจมตีแบบเดรัจฉาน

มี API สองรายการที่คุณควรพิจารณาปิดใช้งาน:

6.1) XML RPC API

API นี้ช่วยให้แอปของบุคคลที่สามโต้ตอบกับไซต์ของคุณ โดยเฉพาะอย่างยิ่งสำหรับการใช้แอป WordPress บนโทรศัพท์มือถือของคุณ ข่าวร้ายก็คือมันเป็น หนึ่งในเป้าหมายการโจมตี DDoS ที่พบบ่อยที่สุด ดังนั้น หากผู้ใช้ส่วนใหญ่ของคุณไม่ได้ใช้ WordPress รุ่นมือถือ คุณอาจพิจารณาปิดการใช้งาน API นี้เพื่อป้องกันการโจมตี DDoS

หากต้องการปิดใช้งาน XML RPC API และบล็อกคำขอทั้งหมด เพียงเพิ่มโค้ดต่อไปนี้ในไฟล์ . htaccess ของเว็บไซต์ของคุณ

 # บล็อกคำขอ WordPress xmlrpc.php ทั้งหมด
<ไฟล์ xmlrpc.php>
คำสั่ง ปฏิเสธ อนุญาต
ปฏิเสธจากทั้งหมด
</Files>

6.2) REST API

API อื่นที่สามารถปิดการใช้งานเพื่อป้องกันการโจมตี DDoS ใน WordPress คือ REST API API นี้อนุญาตให้ปลั๊กอินและเครื่องมือของบุคคลที่สามเข้าถึงข้อมูล WordPress รวมถึงแก้ไขและลบเนื้อหา วิธีที่ง่ายที่สุดในการปิดใช้งาน API นี้คือการดาวน์โหลดปลั๊กอิน Disable WP Rest API ฟรี

หลังจากดาวน์โหลดแล้ว ให้เปิดใช้งาน และคุณพร้อมแล้ว เครื่องมือจะทำงานทันทีและปิดใช้งาน REST API สำหรับผู้ใช้ที่ไม่ได้ลงชื่อเข้าใช้ทั้งหมดโดยไม่ต้องกำหนดค่าเพิ่มเติม

7. อัปเดต WordPress เป็นประจำ

การอัปเดต WordPress เป็นประจำไม่เพียงป้องกันการโจมตี DDoS เท่านั้น แต่ยังปกป้องเว็บไซต์ของคุณจากการโจมตีและการแฮ็กประเภทอื่นๆ นั่นเป็นเหตุผลที่คุณต้องอัปเดตเป็นประจำ:

  1. การติดตั้ง WordPress ธีมและปลั๊กอิน
  2. เวอร์ชัน PHP บนเซิร์ฟเวอร์
  3. Apache, MySQL และ OS
  4. สคริปต์และซอฟต์แวร์อื่นๆ

จะทำอย่างไรถ้าคุณอยู่ภายใต้การโจมตี DDoS บน WordPress?

แม้ว่าคุณจะสามารถเตรียมตัวล่วงหน้าและพยายามป้องกันการโจมตี DDoS บน WordPress ได้ คุณควรทำอย่างไรหากถูกโจมตี นี่คือการตอบสนองทันทีที่คุณควรดำเนินการระหว่างการโจมตี DDoS:

1. แจ้งทีมงานของคุณ

การทำงานร่วมกันเมื่อเกิดวิกฤติจะทำให้คุณมีพลังสูงสุด เมื่ออยู่ภายใต้การโจมตี DDoS อย่าลืมเตือนสมาชิกในทีมของคุณเพื่อให้พวกเขารู้ว่าจะเกิดอะไรขึ้นและสามารถช่วยคุณได้เกี่ยวกับมาตรการรับมือ

2. แจ้งลูกค้าของคุณ

นี่เป็นสิ่งสำคัญอย่างยิ่งหากเว็บไซต์ที่ถูกโจมตีเป็นร้านค้า WooCommerce เนื่องจากลูกค้าจะไม่สามารถเข้าสู่บัญชีของตนหรือซื้อผลิตภัณฑ์ในช่วงเวลานั้นได้ การไม่ประกาศและคำอธิบายในช่วงเวลาที่สำคัญเช่นนี้อาจสร้างความเสียหายต่อชื่อเสียงของคุณได้ ดังนั้น เราขอแนะนำให้คุณแจ้งให้พวกเขาทราบทางอีเมลหรือโซเชียลมีเดียว่าไซต์ของคุณมีข้อผิดพลาดทางเทคนิค และจะกลับมาออนไลน์ในไม่ช้า

3. ติดต่อผู้ให้บริการโฮสต์และความปลอดภัยของคุณ

หลังจากแจ้งเตือนเพื่อนร่วมงานและลูกค้าแล้ว ให้ติดต่อผู้ให้บริการโฮสติ้ง WordPress ของคุณด้วย เนื่องจากผู้โจมตีสามารถกำหนดเป้าหมายระบบของตนได้ จึงเป็นการดีกว่าที่พวกเขารู้เกี่ยวกับมันและอาจช่วยคุณได้ในสถานการณ์นั้น ยิ่งไปกว่านั้น การติดต่อกับผู้ให้บริการความปลอดภัยของคุณ ณ จุดนี้เป็นสิ่งสำคัญ เนื่องจากการจัดการกับการโจมตีอยู่ในอาชีพของพวกเขา พวกเขาจึงสามารถช่วยคุณกำหนดมาตรการรับมือที่ดีขึ้นและเร็วขึ้นได้

4. ดำเนินการตอบสนอง

หากคุณมีมาตรการรับมือใดๆ ที่พร้อมจะนำไปใช้ นี่คือเวลาที่พวกเขาเข้ามาช่วยเหลือ โดยปกติ มาตรการตอบโต้จะทำงานทันทีที่การโจมตีเกิดขึ้น จะดีกว่าถ้าคุณเตรียมสิ่งนี้ไว้ล่วงหน้า อย่างไรก็ตาม หากคุณไม่ได้เตรียมโซลูชันการรักษาความปลอดภัยแบบพิเศษใดๆ ไว้ ให้สอบถามผู้ให้บริการความปลอดภัยของคุณ เนื่องจากผู้ให้บริการส่วนใหญ่มีการตอบสนองฉุกเฉิน

5. ประเมินผลการปฏิบัติงาน

อย่าลืมประเมินผลการปฏิบัติงานในขณะที่กำลังดำเนินการอยู่ด้วย! พวกเขามีประสิทธิภาพหรือไม่? หรือฝ่ายรุกเป็นฝ่ายชนะ? ด้วยวิธีนี้ คุณจะปรับเปลี่ยนการตอบสนองได้หากมีการโจมตีอื่นๆ หวังว่าจะไม่เป็นเช่นนั้น แต่การป้องกันดีกว่าการรักษา

บทสรุป

โดยรวมแล้ว การโจมตี DDoS เกิดขึ้นบ่อยมากในปัจจุบัน ยิ่งเว็บไซต์ WordPress ของคุณเติบโตมากเท่าไร แฮกเกอร์ก็ยิ่งน่าสนใจมากขึ้นเท่านั้น อย่างไรก็ตาม คุณสามารถป้องกันและเตรียมพร้อมสำหรับการโจมตีเหล่านั้นได้โดยใช้มาตรการป้องกันไว้ก่อน ขั้นตอนที่กล่าวข้างต้นไม่เพียงแต่จะช่วยป้องกันการโจมตี DDoS ใน WordPress เท่านั้น แต่ยังช่วยให้เว็บไซต์ของคุณปลอดภัยจากการโจมตีโดยทั่วไปอีกด้วย

แต่ถ้าคุณถูกโจมตีอยู่แล้วล่ะ? อย่าตกใจ ทำตามคำแนะนำที่กล่าวถึงข้างต้นเพื่อพยายามลดปัญหาและทำให้ไซต์ของคุณพร้อมใช้งานโดยเร็วที่สุด ต้องการเพิ่มความปลอดภัยให้กับเว็บไซต์ของคุณอีกหรือไม่ ดูเคล็ดลับความปลอดภัยของเรา!

คุณมีกลวิธีที่เป็นประโยชน์อื่น ๆ ในการป้องกันการโจมตี DDoS หรือไม่? กรุณาแบ่งปันกับเราในส่วนความคิดเห็นด้านล่าง!