防止攻击的 6 步 WordPress DDoS 防护计划
已发表: 2020-02-20穆斯塔菲兹 / stock.adobe.com
通常,网络流量的上升对于您的品牌来说是理想的结果。 然而,您可能没有预料到您的网站会突然被数千个同时请求淹没,导致其崩溃。 不幸的是,这正是WordPress 网站遭受分布式拒绝服务或“DDoS”攻击期间发生的情况。
幸运的是,与大多数网络安全威胁一样,您可以采取一些步骤来最大程度地减少 WordPress 网站遭受 DDoS 攻击的可能性。 实施保护计划可以帮助阻止和防止互联网犯罪分子破坏您的在线业务。
在这篇文章中,我们将解释什么是 DDoS 攻击以及它们是如何工作的。 然后,我们将为您提供一个六步 WordPress DDoS 保护计划,您可以使用它来帮助防止对您的网站的攻击。 让我们开始吧!
在本文中
- 什么是 DDoS 攻击?
- 创建 WordPress DDoS 保护计划的重要性
- 如何防止 WordPress 网站遭受 DDoS 攻击(6 个关键提示)
- 包起来
什么是 DDoS 攻击?
DDoS 攻击是指一种安全问题,其中站点在短时间内被虚假请求淹没(通常是通过使用机器人)。 这些点击来自多个来源,其目的是压垮目标网站并导致其崩溃。
瞬间可能会发生数千个请求。 以 2019 年 Imperva 遭受的 DDoS 攻击为例,其网络每秒受到 5.8 亿个数据包 (PPS) 的攻击。
这种意想不到的、虚假的交通堵塞突然激增并使网站瘫痪,使其无法使用且容易受到攻击。 这些攻击可以针对单个网站或整个网络。
最常见的 DDoS 攻击分为三类:
- 基于流量:依赖于复制大量流量峰值。
- 协议:利用服务器资源使目标站点或网络崩溃。
- 应用程序:针对 Web 应用程序的更复杂的攻击。
进行这种攻击有不同的方法和动机。 黑客可以执行 DDoS 攻击来增加 WordPress 网站的漏洞。 它可以有效分散注意力,让您更容易渗透到您的网站而不被发现。
然而,大多数情况下,其目的主要是破坏目标站点。 例如,某人可能会对竞争对手进行 DDoS 攻击。 虽然这是一种恶意且极端的措施,但并非闻所未闻,特别是当您考虑到停机可能对企业产生的负面影响时。
创建 WordPress DDoS 保护计划的重要性
DDoS 攻击的影响可能会对您的业务造成毁灭性的影响。 随之而来的许多损坏都是由于长期且意外的停机造成的。
如果您的网站长时间无法使用,您很可能会失去一些业务。 客户将无法访问您的站点,并且可能会看到502 bad gateway 错误。 这意味着您错过了电子商务销售或其他潜在客户转化。
长时间不可用还会影响您的搜索引擎优化 (SEO) 排名。 随着可见度的降低,您必须更加努力地吸引潜在客户,同时重建网站的可信度。
此外,DDoS 攻击可能会带来托管问题。 如果您采用共享计划,则尤其如此,因为这种类型的安全漏洞不仅会影响您的网站,还会影响您服务器上的其他网站。
此外,正如我们之前提到的,DDoS 事件可能会增加您的网站遭受其他类型攻击的脆弱性。 当您因试图使站点恢复在线而分心时,您的注意力就会从安全系统上转移开。 这可能会让黑客更容易在您不注意的情况下进行渗透。
从攻击中恢复可能需要大量金钱和时间。 虽然您不一定能阻止某人对您的 WordPress 网站进行 DDoS 攻击,但您可以采取措施,最大限度地减少遭受攻击时所造成的损害。
[bctt tweet=” 建立强大的 WordPress DDoS 保护计划有助于保护您的关键业务资产。 #WordPress”用户名=”thewpbuffs”]如何防止 WordPress 网站遭受 DDoS 攻击(6 个关键提示)
您可以使用多种方法来保护您的 WordPress 网站,例如使用安全插件和禁用某些功能。 通过正确的保护计划,您可以提高从 DDoS 攻击中恢复的能力。 在本节中,我们将了解预防这种情况的六个技巧。
- 在 WordPress 中禁用 XMLR RPC 和 REST API
- 在您的站点上安装 Web 应用程序防火墙 (WAF)
- 选择安全托管提供商
- 使用内容分发网络 (CDN)
- 下载 WordPress DDoS 防护插件
- 将 WordPress 维护和监控放在首位
1. 在 WordPress 中禁用 XML RPC 和 REST API
自 WordPress 3.5 版发布以来,您可以选择默认启用 XML-RPC 。 此功能对于 pingback 和 trackback 很有用。
然而,对于大多数网站来说这并不是必需的。 仅当您依靠移动应用程序来管理 WordPress 网站时才需要它。
XML-RPC 很容易受到损害,这意味着它暴露了黑客在 DDoS 攻击期间可以利用的漏洞。 因此,我们建议禁用它。
您可以通过编辑.htaccess文件来完成此操作。 通过您的托管帐户文件管理器或使用文件传输协议 (FTP) 和 FTP 客户端(例如 FileZilla)打开它。 然后粘贴以下代码片段:
# 阻止 WordPress xmlrpc.php 请求 命令拒绝、允许 所有人都否认
同样,在 WordPress 中禁用 REST API也是明智之举。 这是另一个允许第三方应用程序(以及网络犯罪分子)访问您的 WordPress 网站的渠道。
在您的网站上禁用 WordPress API 的最简单方法是使用 WP Hide & Security Enhancer。
该插件免费使用,无需配置。 安装并激活它后,您可以通过转到WP Hide > JSON API禁用 REST API:
您还可以使用此插件来禁用 XML-RPC功能。 该选项位于XML-RPC选项卡中。
2. 在您的站点上安装 WAF
如果您已经使用 WordPress 一段时间,您可能知道 WAF 是什么。 简而言之,它是一种安全软件,可以在您的网站和恶意流量之间添加一层保护。 它可以通过限制用户访问和过滤机器人来帮助防止 DDoS 攻击。
虽然有许多不同的 WAF 可供选择来帮助保护您的 WordPress 网站,但我们建议使用 Sucuri。
Sucuri 的 WAF 和入侵防御系统 (IPS) 有助于保护站点免受暴力攻击、恶意软件等的侵害。 它还可以检测恶意流量并阻止多种类型的 DDoS 攻击。
Suruci 提供多种计划可供选择。 它还为当前受到攻击的网站提供“立即帮助”。
3. 选择安全的托管提供商
高质量托管对于 WordPress 网站的重要性怎么强调都不为过。 您的服务器会影响网站的速度和性能。 然而,它在安全方面也发挥着不可或缺的作用,并影响您预防 DDoS 攻击和从 DDoS 攻击中恢复的能力。
[bctt tweet=” 您选择的托管提供商可能会让您容易受到 DDoS 攻击。 #WordPress”用户名=”thewpbuffs”]人们在选择网络托管服务商时经常关心的一大问题是成本。 然而,当谈到保护您的网站时,投资优质托管是非常有价值的。 当您考虑到选择廉价计划可能会牺牲您的关键业务资产时尤其如此。
考虑到 DDoS 攻击可能对您网站的性能和正常运行时间产生不利影响,因此选择托管提供商并制定能够检测和处理大量流量的计划至关重要。 Kinsta* 和 WP Engine* 等一些提供商具有硬件防火墙和 CDN 集成等内置功能。
希望您已经在使用优质可靠的托管提供商。 如果没有,我们建议切换到完全托管的 WordPress 托管提供商,将安全性放在首位。 这包括寻找包含免费 CDN 服务、24/7 监控和支持以及恶意软件扫描等功能的计划。
4.使用CDN
CDN 提供额外的网络服务器,通过处理大量服务器负载来帮助支持您的 WordPress 站点。 尽管该工具通常与性能优化相关,但它对于安全性也很有帮助。
基本上, CDN 可以让您的服务器更难以崩溃,从而帮助防止 DDoS 攻击。 它们还可以帮助检测异常流量模式,并在某些情况下充当反向代理。
有许多不同的 CDN 服务提供商。 但是,我们建议选择市场巨头之一,例如 Cloudfare。
Cloudfare 采用分层安全方法,有助于保护和缓解 DDoS 。 虽然它有多种高级计划可供选择,但您可以免费使用 Global CDN。 另一个好处是您可以通过相应的 WordPress 插件轻松地将其与您的网站集成。
5.下载WordPress DDoS防护插件
安全插件可以简化许多繁琐的任务,从而为您节省大量时间和精力。 有些还具有防止 WordPress 网站遭受 DDoS 攻击所必需的功能。
正如我们上面提到的,WAF 对于保护您的网站非常有用。 安装内置的安全插件是为 WordPress 安装添加保护的一种快速方法。
此外,登录尝试限制、错误 URL 和恶意 IP 地址检测以及机器人阻止等功能都有助于缓解攻击。 因此,我们建议下载 WordPress DDoS 防护插件,例如 Wordfence。
Wordfence 可以执行上述所有功能以及更多功能。 这个 WordPress 安全插件还包括用于监控实时流量和访问以及活动激增的工具。
您可以免费下载和使用许多插件功能。 然而,它还提供了高级版本,可以解锁对全套安全功能的访问,包括实时威胁防御源。
6.优先考虑 WordPress 的维护和监控
在管理网站时,有时最好的保护形式就是预防。 为了尽量减少 WordPress 网站遭受 DDoS 攻击的可能性,优先考虑定期维护和监控至关重要。
对您的网站进行定期维护将有助于使其保持最佳状态,并最终减少可供入侵者利用的漏洞数量。 例行监控可以帮助您在可疑活动造成重大损害之前发现它。
正确的维护和监控涉及许多任务,包括:
- WordPress、插件和主题的更新
- 正常运行时间监控
- 自动备份
- 速度优化
- 恶意软件扫描和删除
掌控这些任务可能是一个耗时的过程,但这是必要的。 我们建议通过注册 WordPress 护理计划(例如我们在 WP Buffs 提供的计划)来使其变得更加容易。
专业的维护让您放心,因为您知道您的网站得到了适当的维护。 此外,您还可以在自己的日程安排中腾出时间来专注于其他紧迫的业务事务。
包起来
考虑到当今存在的广泛安全威胁,掌控所有威胁可能会让人感到不知所措。 然而,随着 DDoS 攻击的频率和严重性不断增加,确保您的WordPress 网站受到适当保护比以往任何时候都更加重要。
在这篇文章中,我们讨论了可用于帮助阻止和防止 WordPress 网站上的 DDoS 攻击的六个技巧:
- 在 WordPress 中禁用 XMLR RPC 和 REST API。
- 在您的站点上安装 WAF。
- 选择安全的托管提供商。
- 使用 CDN。
- 下载 WordPress DDoS 防护插件。
- 将 WordPress 维护和监控放在首位。
如果您想优先考虑 WordPress 网站的维护和维护,但不确定是否有时间,请考虑将工作外包给我们 WP Buffs 。 我们全面的站点维护计划可以帮助您完成从安装适当的插件到进行彻底的站点安全检查的所有工作。
想提供反馈或加入对话吗? 在 Twitter 上添加您的评论。
图片来源:斯科特·韦伯。