防止攻擊的 6 步驟 WordPress DDoS 防護計劃
已發表: 2020-02-20穆斯塔菲茲 / stock.adobe.com
通常,網路流量的上升對於您的品牌來說是理想的結果。 然而,您可能沒有預料到您的網站會突然被數千個同時請求淹沒,導致其崩潰。 不幸的是,這正是WordPress 網站遭受分散式阻斷服務或「DDoS」攻擊期間發生的情況。
幸運的是,與大多數網路安全威脅一樣,您可以採取一些步驟來最大程度地減少 WordPress 網站遭受 DDoS 攻擊的可能性。 實施保護計劃可以幫助阻止和防止網路犯罪分子破壞您的線上業務。
在這篇文章中,我們將解釋什麼是 DDoS 攻擊以及它們是如何運作的。 然後,我們將為您提供一個六步驟 WordPress DDoS 保護計劃,您可以使用它來幫助防止對您的網站的攻擊。 讓我們開始吧!
在本文中
- 什麼是 DDoS 攻擊?
- 建立 WordPress DDoS 保護計畫的重要性
- 如何防止 WordPress 網站遭受 DDoS 攻擊(6 個關鍵提示)
- 包起來
什麼是 DDoS 攻擊?
DDoS 攻擊是指安全問題,其中網站在短時間內被虛假請求淹沒(通常是透過使用機器人)。 這些點擊來自多個來源,其目的是壓垮目標網站並導致其崩潰。
瞬間可能會發生數千個請求。 以 2019 年 Imperva 遭受的 DDoS 攻擊為例,其網路每秒受到 5.8 億個資料包 (PPS) 的攻擊。
這種意想不到的、虛假的交通堵塞突然激增並使網站癱瘓,使其無法使用且容易受到攻擊。 這些攻擊可以針對單一網站或整個網路。
最常見的 DDoS 攻擊分為三類:
- 基於流量:依賴複製大量流量峰值。
- 協定:利用伺服器資源使目標網站或網路崩潰。
- 應用程式:針對 Web 應用程式的更複雜的攻擊。
進行這種攻擊有不同的方法和動機。 駭客可以執行 DDoS 攻擊來增加 WordPress 網站的漏洞。 它可以有效分散注意力,讓您更容易滲透到您的網站而不被發現。
然而,大多數情況下,其目的主要是破壞目標網站。 例如,某人可能會對競爭對手進行 DDoS 攻擊。 雖然這是一種惡意且極端的措施,但並非聞所未聞,特別是當您考慮到停機可能對企業產生的負面影響時。
建立 WordPress DDoS 保護計畫的重要性
DDoS 攻擊的影響可能會對您的業務造成毀滅性的影響。 隨之而來的許多損壞都是由於長期且意外的停機造成的。
如果您的網站長時間無法使用,您很可能會失去一些業務。 客戶將無法存取您的站點,並且可能會看到502 bad gateway 錯誤。 這意味著您錯過了電子商務銷售或其他潛在客戶轉換。
長時間不可用也會影響您的搜尋引擎優化 (SEO) 排名。 隨著能見度的降低,您必須更加努力地吸引潛在客戶,同時重建網站的可信度。
此外,DDoS 攻擊可能會帶來託管問題。 如果您採用共享計劃,則尤其如此,因為這種類型的安全漏洞不僅會影響您的網站,還會影響您伺服器上的其他網站。
此外,正如我們之前提到的,DDoS 事件可能會增加您的網站遭受其他類型攻擊的脆弱性。 當您因試圖使網站恢復在線而分心時,您的注意力就會從安全系統上轉移開。 這可能會讓駭客更容易在您不注意的情況下進行滲透。
從攻擊中恢復可能需要大量金錢和時間。 雖然您不一定能阻止某人對您的 WordPress 網站進行 DDoS 攻擊,但您可以採取措施,最大限度地減少遭受攻擊時所造成的損害。
[bctt tweet=” 建立強大的 WordPress DDoS 保護計畫有助於保護您的關鍵業務資產。 #WordPress”用戶名=”thewpbuffs”]如何防止 WordPress 網站遭受 DDoS 攻擊(6 個關鍵提示)
您可以使用多種方法來保護您的 WordPress 網站,例如使用安全性外掛程式和停用某些功能。 透過正確的保護計劃,您可以提高從 DDoS 攻擊中恢復的能力。 在本節中,我們將了解預防這種情況的六個技巧。
- 在 WordPress 中停用 XMLR RPC 和 REST API
- 在您的網站上安裝 Web 應用程式防火牆 (WAF)
- 選擇安全託管提供者
- 使用內容傳遞網路 (CDN)
- 下載 WordPress DDoS 防護插件
- 將 WordPress 維護和監控放在首位
1. 在 WordPress 中停用 XML RPC 和 REST API
自 WordPress 3.5 版發布以來,您可以選擇預設啟用 XML-RPC 。 此功能對於 pingback 和 trackback 很有用。
然而,對於大多數網站來說這並不是必需的。 只有當您依靠行動應用程式來管理 WordPress 網站時才需要它。
XML-RPC 很容易受到損害,這意味著它暴露了駭客在 DDoS 攻擊期間可以利用的漏洞。 因此,我們建議禁用它。
您可以透過編輯.htaccess檔案來完成此操作。 透過您的託管帳戶檔案管理器或使用檔案傳輸協定 (FTP) 和 FTP 用戶端(例如 FileZilla)開啟它。 然後貼上以下程式碼片段:
# 封鎖 WordPress xmlrpc.php 請求 命令拒絕、允許 所有人都否認
同樣,在 WordPress 中停用 REST API也是明智之舉。 這是另一個允許第三方應用程式(以及網路犯罪分子)訪問您的 WordPress 網站的管道。
在您的網站上停用 WordPress API 的最簡單方法是使用 WP Hide & Security Enhancer。
該插件免費使用,無需配置。 安裝並啟動它後,您可以透過前往WP Hide > JSON API停用 REST API:
您也可以使用此外掛程式來停用 XML-RPC功能。 此選項位於XML-RPC選項卡中。
2. 在您的網站上安裝 WAF
如果您已經使用 WordPress 一段時間,您可能知道 WAF 是什麼。 簡而言之,它是一種安全軟體,可以在您的網站和惡意流量之間添加一層保護。 它可以透過限制用戶存取和過濾機器人來幫助防止 DDoS 攻擊。
雖然有許多不同的 WAF 可供選擇來幫助保護您的 WordPress 網站,但我們建議使用 Sucuri。
Sucuri 的 WAF 和入侵防禦系統 (IPS) 有助於保護網站免受暴力攻擊、惡意軟體等的侵害。 它還可以偵測惡意流量並阻止多種類型的 DDoS 攻擊。
Suruci 提供多種方案可供選擇。 它還為當前受到攻擊的網站提供“立即幫助”。
3. 選擇安全的託管提供者
高品質託管對於 WordPress 網站的重要性怎麼強調都不為過。 您的伺服器會影響網站的速度和效能。 然而,它在安全方面也發揮著不可或缺的作用,並影響您預防 DDoS 攻擊和從 DDoS 攻擊中恢復的能力。
[bctt tweet=” 您選擇的託管提供者可能會讓您容易受到 DDoS 攻擊。 #WordPress”用戶名=”thewpbuffs”]人們在選擇網站託管服務商時經常關心的一大問題是成本。 然而,當涉及保護您的網站時,投資優質託管是非常有價值的。 當您考慮到選擇廉價計劃可能會犧牲您的關鍵業務資產時尤其如此。
考慮到 DDoS 攻擊可能對您網站的效能和正常運行時間產生不利影響,因此選擇託管提供者並制定能夠偵測和處理大量流量的計劃至關重要。 Kinsta* 和 WP Engine* 等一些提供者俱有硬體防火牆和 CDN 整合等內建功能。
希望您已經在使用優質可靠的託管提供者。 如果沒有,我們建議切換到完全託管的 WordPress 託管提供者,將安全性放在首位。 這包括尋找包含免費 CDN 服務、24/7 監控和支援以及惡意軟體掃描等功能的計劃。
4.使用CDN
CDN 提供額外的網頁伺服器,透過處理大量伺服器負載來幫助支援您的 WordPress 網站。 儘管該工具通常與效能優化相關,但它對於安全性也很有幫助。
基本上, CDN 可以讓您的伺服器更難以崩潰,從而幫助防止 DDoS 攻擊。 它們還可以幫助檢測異常流量模式,並在某些情況下充當反向代理。
有許多不同的 CDN 服務提供者。 但是,我們建議選擇市場巨頭之一,例如 Cloudfare。
Cloudfare 採用分層安全方法,有助於保護和緩解 DDoS 。 雖然它有多種高級計劃可供選擇,但您可以免費使用 Global CDN。 另一個好處是您可以透過相應的 WordPress 外掛輕鬆地將其與您的網站整合。
5.下載WordPress DDoS防護插件
安全插件可以簡化許多繁瑣的任務,為您節省大量時間和精力。 有些還具有防止 WordPress 網站遭受 DDoS 攻擊所需的功能。
正如我們上面提到的,WAF 對於保護您的網站非常有用。 安裝內建的安全外掛是為 WordPress 安裝添加保護的快速方法。
此外,登入嘗試限制、錯誤 URL 和惡意 IP 位址偵測以及機器人封鎖等功能都有助於緩解攻擊。 因此,我們建議下載 WordPress DDoS 防護插件,例如 Wordfence。
Wordfence 可以執行上述所有功能以及更多功能。 這個 WordPress 安全性外掛程式還包括用於監控即時流量和訪問以及活動激增的工具。
您可以免費下載和使用許多插件功能。 然而,它還提供了高級版本,可以解鎖對全套安全功能的訪問,包括即時威脅防禦來源。
6.優先考慮 WordPress 的維護和監控
在管理網站時,有時最好的保護形式就是預防。 為了盡量減少 WordPress 網站遭受 DDoS 攻擊的可能性,優先考慮定期維護和監控至關重要。
對您的網站進行定期維護將有助於使其保持最佳狀態,並最終減少可供入侵者利用的漏洞數量。 例行監控可以幫助您在可疑活動造成重大損害之前發現它。
正確的維護和監控涉及許多任務,包括:
- WordPress、外掛和主題的更新
- 正常運作時間監控
- 自動備份
- 速度優化
- 惡意軟體掃描與移除
掌控這些任務可能是一個耗時的過程,但這是必要的。 我們建議透過註冊 WordPress 護理計劃(例如我們在 WP Buffs 提供的計劃)來使其變得更加容易。
專業的維護讓您放心,因為您知道您的網站得到了適當的維護。 此外,您還可以在自己的日程安排中騰出時間來專注於其他緊迫的業務事務。
包起來
考慮到當今存在的廣泛安全威脅,掌控所有威脅可能會讓人感到不知所措。 然而,隨著 DDoS 攻擊的頻率和嚴重性不斷增加,確保您的WordPress 網站受到適當保護比以往任何時候都更加重要。
在這篇文章中,我們討論了可用於幫助阻止和防止 WordPress 網站上的 DDoS 攻擊的六個技巧:
- 在 WordPress 中停用 XMLR RPC 和 REST API。
- 在您的網站上安裝 WAF。
- 選擇安全的託管提供者。
- 使用 CDN。
- 下載 WordPress DDoS 防護外掛。
- 將 WordPress 維護和監控放在首位。
如果您想優先考慮 WordPress 網站的維護和維護,但不確定是否有時間,請考慮將工作外包給我們 WP Buffs 。 我們全面的站點維護計劃可以幫助您完成從安裝適當的插件到進行徹底的站點安全檢查的所有工作。
想提供回饋或加入對話嗎? 在 Twitter 上新增您的評論。
圖片來源:斯科特·韋伯。