如何防止 WordPress 中的 DDoS 攻击

随着许多国家的大流行和在线业务的爆炸式增长，数字攻击变得越来越频繁和威胁。 一些最常见和最危险的攻击是DDoS 攻击。 在本指南中，我们将向您展示如何防止对您的 WordPress 网站的 DDoS 攻击。

什么是 DDoS 攻击？

在讨论如何防止 DDoS（分布式拒绝服务）攻击之前，让我们首先了解它们是什么。 简而言之， DDoS 攻击是一种拒绝服务 (DoS) 攻击，它涉及许多连接的在线设备，黑客使用这些设备用虚假流量淹没网站的服务器。

在 DDoS 攻击中，这些连接的机器和服务器分别但同时发起攻击，让它们在被阻止之前被忽视一段时间。 通过这种策略，他们可以轻松地加剧这些攻击的影响，减慢速度并最终使他们瞄准的服务器崩溃。

关于DDoS 攻击的一件有趣的事情是它们不会尝试直接破坏和访问您的服务器。 相反，他们的目标是让网站和服务器在一段时间内崩溃，这样用户就无法访问它。 但是，DDoS 攻击可以用作破坏服务器安全的掩护。

那么，如果您是 DDoS 攻击的受害者，会发生什么？ 如果黑客成功地使您的服务器崩溃，您可能会遇到麻烦。 恢复系统可能要花费数千美元，更不用说带宽等其他费用了。 更重要的是，攻击会对您的流量、声誉和销售结果造成影响。

DDoS 攻击常见吗？

对，他们是。 事实上，DDoS 攻击正变得越来越普遍。 根据最近的研究，目前每 60 秒就有 16 次 DDoS 攻击！ 仅在 2019 年，全球就有超过 840 万次 DDoS 攻击。

为了避免所有这些问题，防止对您的 WordPress 站点的 DDoS 攻击至关重要。 在本指南中，我们将向您展示如何避免它们并确保您的网站安全。

如何防止 WordPress 中的 DDoS 攻击

这些是防止 WordPress 中的 DDoS 攻击并避免黑客影响您的网站的一些想法。

1. 阻止访问 wp-login.php
2. 激活 WAF
3. 监督网站流量
4. 限制对 wp-admin 区域的访问
5. 激活国家封锁
6. 禁用 DDoS 攻击 API
   1. XML RPC API
   2. REST API
7. 定期更新 WordPress

1.阻止访问wp-login.php

wp-login.php文件是黑客在 WordPress 中用于 DDoS 攻击的最常见路径之一。 例如，在 QuadLayers，我们每天阻止对wp-login.php文件的访问超过 250 次！

如果您使用 Cloudflare 之类的服务，您可以查看有人尝试访问您的wp-login.php文件的次数。 你会惊讶于这个数字有多高。 阻止对这些文件的访问是在 WordPress 中防止 DDoS 攻击的最佳方法之一。

大多数安全服务提供不同的选项来阻止对wp-login.php 的访问。 我们使用 Cloudflare，因此我们将向您展示如何使用此服务阻止对 wp-login.php 文件的攻击。 Cloudflare 的免费计划允许您设置最多 5 条规则，这样您就可以在不花钱的情况下做到这一点。

在仪表板中，转到防火墙 > 防火墙规则 > 创建防火墙规则。 为规则命名，并在空白处填写以下信息：

• 字段：URI 路径
• 运算符：包含
• 值：/wp-login.php

或者，您可以在“表达式预览”部分复制并粘贴以下代码：

 （http.request.uri.path 包含“/wp-login.php”）

单击“保存”按钮，一切就绪。

2.激活WAF

WAF 是 Web Application Firewall 的缩写，为您的网站提供另一层保护。 它通过使用智能算法来识别和阻止看似恶意的请求，从而保护您的站点免受危险流量的影响。 这样，它只允许您获得良好的流量。

有许多 WAF 解决方案可供选择。 在决定使用哪一个之前，请检查保护是否适合您的站点以及价格和易用性。 多年来使用了其中的几个，我们强烈推荐 Sucuri。 它有一个免费插件和几个专业计划，单个站点的起价为每年 199 美元。 Cloudflare 也是一个绝佳的选择。 它提供免费插件和专业计划，每月 20 美元可缓解 DDoS 攻击。

此外，我们建议您遵循一些安全提示，以提高您网站对所有类型恶意软件的整体防护能力。

3. 监督网站流量

流量激增并不一定意味着好消息。 尽管并非总是如此，但 DDoS 攻击通常以大量流量的形式出现。 这些容量攻击是基于网络的，有时会被误认为是新访问者。 如果您看到大量新访问者访问您的网站，请检查是新用户还是有人试图关闭您的网站。

最好的解决方案是安装监控工具，让它们检查您的日志，并在请求/访问者数量突然增加时提醒您。 这样，您将防止对您的 WordPress 网站进行 DDoS 攻击。

要区分新访问者和 DDoS 攻击，您可能需要注意：

• 流量来源：您的流量是否来自您定位的区域？ 例如，如果您针对本地客户，但从海外获得大量流量，那么就会发生一些奇怪的事情。
• 流量时间：如果您在当地时间凌晨 3:00 目睹访问量激增，那么也可能是攻击。
• 您的业​​务特征：还要考虑您的业务类型。 例如，如果您销售泳装和沙滩装，夏季游客激增是正常的。

请注意，Google 漫游器和其他搜索引擎爬虫有时会向您的网站发出可疑请求。 请注意它们之间的区别，以确保您将阻止 DDoS 攻击，而不是机器人。

4.限制对wp-admin区域的访问

您应该是唯一可以访问wp-admin区域的人，因为您可以在这里控制 WordPress 中所有最重要的活动。 但是，当限制对wp-admin区域的访问时，请确保不要包含某些文件，例如/wp-admin/admin-ajax.php和/wp-admin/theme-editor.php由插件和主题使用需要从外部访问 wp-admin 区域。 此外，您可以排除您的 IP 以及推荐人何时来自您的网站。

如果您使用的是安全服务，这应该不难配置。 在我们的例子中，这就是我们使用 Cloudflare 的方式：

在仪表板中，转到防火墙 > 防火墙规则 > 创建防火墙规则。 命名规则后，在空白处填写以下信息：

• 字段：URI 路径
• 运算符：包含
• 值：/wp-admin/

[和]

• 字段：URI 路径
• 运算符：不包含
• 值：/wp-admin/admin-ajax.php

[和]

• 字段：URI 路径
• 运算符：不包含
• 值：/wp-admin/theme-editor.php

[和]

• 字段：推荐人
• 运算符：不包含
• 价值：quadlayers.com

[和]

• 字段：IP 地址
• 运算符：不包含
• 值：182.189.59.210

否则，您只需单击编辑表达式并粘贴以下代码：

 （http.request.uri.path 包含 "/wp-admin/" 而不是 http.request.uri.path 包含 "/wp-admin/admin-ajax.php" 而不是 http.request.uri.path 包含 "/ wp-admin/theme-editor.php" 而不是 http.referer 包含 "quadlayers.com" 和 ip.src ne 182.189.59.210)

5.激活国家封锁

与网站防火墙类似，国家/地区封锁是一种地理封锁，可将您的网站受到攻击的风险降至最低。 尽管站点所有者不能仅通过国家/地区阻止来排除 DDoS 攻击的可能性，但在遵守组织策略的同时提高对攻击的保护是一种典型的做法。 由于最近有大量网络攻击来自几个国家，您可以考虑阻止它们与您的网站进行交互。

作为可以轻松进行国家/地区封锁的安全插件之一，Sucuri 是一个很好的选择。

6. 禁用 DDoS 攻击 API

这种方法的原理是禁用几个 API，使黑客无法利用它们对您的 WordPress 站点发起攻击。 通常，这些 API 是第三方插件和服务集成到网站的网关。 但是，黑客经常利用它们发起 DDoS 或暴力攻击。

您应该考虑禁用两个 API：

6.1) XML RPC API

此 API 可帮助第三方应用程序与您的网站进行交互，尤其是在您的手机上使用 WordPress 应用程序时。 坏消息是它是最常见的 DDoS 攻击目标之一。 因此，如果您的大多数用户不使用移动版 WordPress，您可以考虑禁用此 API 以防止 DDoS 攻击。

要停用 XML RPC API 并阻止其所有请求，只需将以下代码添加到您网站的.htaccess文件中。

 # 阻止所有 WordPress xmlrpc.php 请求
<文件 xmlrpc.php>
命令拒绝，允许
否认一切
</文件>

6.2) REST API

另一个可以禁用以防止 WordPress 中的 DDoS 攻击的 API 是 REST API。 此 API 允许第三方插件和工具访问 WordPress 数据以及修改和删除内容。 禁用此 API 的最简单方法是下载 Disable WP Rest API 免费插件。

下载后，激活它，一切就绪。 该工具将立即工作并为所有未登录用户禁用 REST API，无需任何进一步配置。

7. 定期更新 WordPress

定期更新 WordPress 不仅可以防止 DDoS 攻击，还可以保护您的网站免受许多其他类型的攻击和黑客攻击。 这就是为什么您必须定期更新：

1. WordPress 安装、主题和插件
2. 服务器上的 PHP 版本
3. Apache、MySQL 和操作系统
4. 任何其他脚本和软件

如果您在 WordPress 中受到 DDoS 攻击该怎么办？

即使您可以提前做好准备并尝试在 WordPress 中防止 DDoS 攻击，但如果您受到攻击，您应该怎么做？ 这些是您在 DDoS 攻击期间应立即执行的响应：

1. 通知你的团队

当危机来袭时，齐心协力会给你最大的力量。 当受到 DDoS 攻击时，请务必提醒您的团队成员，以便他们了解发生的情况并帮助您采取对策。

2. 通知您的客户

如果受到攻击的网站是 WooCommerce 商店，这一点尤其重要，因为在此期间客户将无法登录他们的帐户或购买产品。 在如此关键的时刻不发表任何声明和解释可能会损害您的声誉。 因此，我们建议您通过电子邮件或社交媒体让他们知道您的网站正在发生技术错误，并且很快就会重新上线。

3. 联系您的托管和安全提供商

提醒同事和客户后，也请联系您的 WordPress 托管服务提供商。 由于攻击者可能以他们的系统为目标，因此最好让他们了解它，他们甚至可以帮助您解决这种情况。 最重要的是，此时与您的安全提供商联系至关重要。 由于处理攻击属于他们的专业，他们可以帮助您制定更好更快的对策。

4. 实施响应

如果您准备好部署任何对策，这就是他们来救援的时候。 通常，一旦攻击发生，反制措施就会立即生效。 最好提前准备好这个。 但是，如果您还没有准备任何专门的安全解决方案，请询问您的安全提供商，因为他们中的大多数都提供紧急响应。

5. 评估对策性能

不要忘记评估正在发生的对策性能！ 它们有效吗？ 还是攻击者获胜？ 这样，如果有任何其他攻击出现在您的面前，您就可以调整您的反应。 让我们希望它不会是这样，但预防胜于治疗。

结论

总而言之，现在 DDoS 攻击非常频繁。 您的 WordPress 网站发展得越多，它对黑客的吸引力就越大。 但是，您可以通过实施先发制人的措施来预防和准备这些攻击。 上述步骤不仅可以帮助您防止 WordPress 中的 DDoS 攻击，而且还有助于保护您的网站免受一般攻击。

但是，如果您已经受到攻击怎么办？ 不要惊慌。 按照上面提到的建议尝试减少问题并尽快让您的网站启动和运行。 想要进一步提高您网站的安全性？ 查看我们的安全提示！

您还有其他有用的策略来防止 DDoS 攻击吗？ 请在下面的评论部分与我们分享！