Как защитить WordPress от DDoS-атак?

Все общедоступные веб-сайты уязвимы для DDoS-атак , и сайты на базе WordPress не являются исключением. К счастью, WordPress - очень гибкая платформа, поэтому она поддерживает эффективные меры защиты от атак.

Что такое DDoS-атака?

DDoS-атака - это скоординированное агрессивное действие, выполняемое сетью скомпрометированных компьютеров или устройств (ботнет), которая массово отправляет данные или запрашивает данные с одного сервера (цели). Поток запросов превышает возможности сервера, замедляя его работу или вызывая сбои из-за нехватки ресурсов.

Потенциальный ущерб от DDoS-атаки

Если ваш сайт станет объектом DDoS-атаки, с ним может случиться много плохого.

Например:

  • Это может отрицательно повлиять на восприятие ваших посетителей. В лучшем случае ответ сайта может стать медленным; в худшем случае весь сайт будет недоступен.
  • Если ваш веб-сайт является интернет-магазином, вы можете потерять продажи, а если он просто обслуживает контент, ваши посетители могут уйти на сайт конкурента
  • Репутация вашего веб-сайта может серьезно упасть как с точки зрения воспринимаемой репутации бренда (т. Е. Ваша компания считается несерьезной), так и с точки зрения авторитета, актуальности и доверия, которые являются столпами любой стратегии SEO .
  • Стоимость восстановления сайта будет зависеть от продолжительности атаки, и ее сложно подсчитать, потому что вы должны учитывать множество побочных эффектов, таких как усилия службы поддержки, чтобы ответить на жалобы пользователей о сбоях в обслуживании, или наем службы безопасности для очистки вашего веб-сайта.

Кто жертвы DDoS-атак?

DDoS атака

Любой веб-сайт, независимо от его размера и объема, может стать целью DDoS-атаки.

Веб-сайты с обнаруженными уязвимостями - самые простые цели, но атака может быть специально организована против любого конкретного веб-сайта. Атака может быть проведена по идеологическим причинам например, чтобы дискредитировать сайт, продвигающий определенные политические или религиозные идеи. Или шантажировать владельца сайта и требовать выкуп, это также может быть просто хобби группы технически подкованных людей, которые хотят продемонстрировать свои навыки.

Также можно купить атаку (что является противозаконным): компания платит группе хакеров за атаку именно на своих конкурентов. Какой бы ни была причина, суть в следующем: любой владелец веб-сайта должен принять меры, чтобы не допустить, чтобы DDoS-атака нанесла ущерб сайту.

Как защитить свой WordPress от DDoS-атак?

Две необходимые меры безопасности, которые нужно предпринять для защиты вашего сайта WordPress от DDoS-атак:

  • Получите хорошее решение для резервного копирования WordPress.
  • Начните использовать экономичное облачное решение для защиты от DDoS-атак.

Решение для резервного копирования - это то, что вам необходимо по многим причинам, а не только для защиты от DDoS-атак. В каталоге плагинов WordPress есть множество бесплатных и платных решений для резервного копирования, поэтому сейчас мы не будем углубляться в эту тему. Если после атаки ваш веб-сайт поврежден, его восстановление с помощью безопасной резервной копии - быстрый способ вернуть его в нормальное состояние.

Что касается решений для защиты от DDoS-атак, вы должны спросить себя, сколько душевного спокойствия вы хотите получить и сколько денег вы готовы за это заплатить. Если вы не хотите ничего платить, вам придется позаботиться о многом самостоятельно.

Сделать всё самому

Одна из замечательных особенностей WordPress заключается в том, что он имеет открытую архитектуру, которая позволяет сторонним приложениям интегрироваться и взаимодействовать с ней. Это достигается с помощью нескольких API (интерфейс прикладного программирования), доступных программистам. Проблема в том, что эти API-интерфейсы могут быть использованы с помощью DDoS-атаки для отправки потока запросов. Итак, первое, что нужно сделать: отключить уязвимый API под названием XML-RPC.

XML-RPC необходим только в том случае, если ваш веб-сайт WordPress взаимодействует с внешними сторонними приложениями, такими как приложение WordPress на мобильных устройствах. Если можно обойтись без них, то лучше отключить XML-RPC. Это можно сделать, просто отредактировав .htaccess файл вашего веб-сайта, чтобы запретить доступ программе xmlrpc.php. Или, если вы считаете, что самостоятельно изменять внутренние файлы веб-сайта небезопасно, вы можете скачать плагин, который сделает эту работу за вас.

Плагины Anti-DDoS

Есть несколько плагинов безопасности WordPress, которые исправляют другие уязвимости WordPress.

Protection Against DDoS - этот плагин решает проблемы производительности, вызванные Brute Force и DDoS-атаками. Выполняя все проверки через файл .htaccess, он останавливает вредоносные запросы на уровне веб-сервера, прежде чем они достигнут сайта WordPress.

Он также устраняет уязвимость XML-RPC, а его параметры конфигурации предлагают пользователям Cloudflare возможность отказать в доступе посетителям из определенных стран.

Protection Against DDoS

Disable WP REST API - WordPress REST API - еще одна уязвимость популярной CMS, которую можно использовать. К счастью, эту уязвимость можно легко исправить с помощью этого сверхлегкого плагина. Он использует всего 22 строки кода - менее 2 КБ - и работает, отключая WP REST API для посетителей, не вошедших в WordPress. После его установки и активации, если вышедшие из системы посетители будут отправлять запросы JSON / REST на ваш сайт, они получат сообщение о том, что REST API ограничен для аутентифицированных пользователей.

Disable XML-RPC Pingback - более 80 000 установок и рейтинг 4,5 звезды; этот плагин исключает все используемые методы из интерфейса XML-RPC. Кроме того, он удаляет X-Pingback из заголовков HTTP, что не позволяет ботам достигать файла xmlrpc.php.

Меры безопасности

Если вы хотите полностью забыть о DDoS и других проблемах безопасности, чтобы вложить все свои усилия в свой бизнес, тогда вам нужно решение, которое охватывает все аспекты.

Такое решение должно включать:

  • Брандмауэр веб-приложения. Брандмауэр стоит между вашим сайтом и Интернетом, обнаруживая враждебный трафик и блокируя его.
  • Антивирусный пакет для веб-сайтов. Он должен периодически и автоматически сканировать ваш веб-сайт, чтобы обнаружить любые следы вредоносных программ и удалить их.
  • Сканирование сервера на предмет неинфекционных взломов, например баннерной рекламы с неизвестных сайтов.
  • Аудит / мониторинг сайта для обнаружения любой подозрительной активности, такой как изменения файлов, новые сообщения, новые пользователи, неудачные попытки входа в систему и многое другое.

Давайте рассмотрим следующие решения, которые обеспечивают комплексную безопасность сайта WordPress.

1. Sucuri

Sucuri - известная компания в области веб-безопасности с большим опытом работы с веб-сайтами WordPress.

Sucuri

В тот момент, когда вы активируете Sucuri на своем сайте, они устанавливают брандмауэр облачного прокси между вашим сайтом и Интернетом, фильтруя весь трафик, направляемый на ваш хостинг-сервер.

Брандмауэр позволяет только законным посетителям попасть на ваш сайт WordPress. В качестве побочного эффекта ваш веб-сайт будет иметь более быстрый отклик благодаря облаку Sucuri, и вы можете сэкономить деньги на хостинге, уменьшив объем трафика, который требуется вашему серверу.

Тарифные планы Sucuri начинаются примерно с 199 долларов в год за базовую услугу, что не так уж и просто, поскольку в нем отсутствует всего пара корпоративных преимуществ. Включенные функции более чем оправдывают цену, но если этого недостаточно, чтобы вас убедить, учтите, что они также предлагают услугу очистки от вредоносных программ вместе с удалением из черного списка.

2. Cloudflare

Cloudflare использует свою огромную CDN (сеть распространения контента) для защиты вашего веб-сайта WordPress от DDoS-атак, что, помимо защиты, делает ваш сайт быстрее. Сеть CDN с более чем 200 центрами обработки данных, распределенными по всему миру, достаточно велика, чтобы поглощать и отражать даже самые мощные атаки, поэтому вам не нужно беспокоиться о том, что ее возможности по смягчению будут чрезмерно переполнены.

Cloudflare

Услуга бесплатна для физических лиц и небольших (не важных для бизнеса) веб-сайтов. В бесплатный план входит защита от DDoS-атак, глобальный CDN и поддержка по электронной почте. Платные планы начинаются с 20 долларов в месяц, включая брандмауэр веб-приложений, аналитику кеширования, мобильную оптимизацию и другие преимущества.

3. StackPath

Глобальная сеть с общей пропускной способностью 65 Тбит/с позволяет решению StackPath противостоять самым крупным и изощренным DDoS-атакам, охватывая весь спектр методов атак, включая HTTP, SYN и UDP-флуд. Платформа StackPath собирает и анализирует информацию о DDoS-атаках на всех своих периферийных участках, что позволяет блокировать все злонамеренные попытки, независимо от того, откуда они исходят.

StackPath

Защита StackPath от DDoS-атак является частью пакета, стоимость которого начинается от 20 долларов в месяц и включает CDN, WAF (брандмауэр веб-приложений), DNS и службы мониторинга. Эти четыре услуги можно купить индивидуально по цене 10 долларов в месяц каждая. Цены масштабируются в зависимости от объема; Например, если вам требуется CDN 100 ТБ / мес и WAF запрашивает 50 Мб / мес, вам придется платить 2000 долларов в месяц.

Заключение

Если ваш веб-сайт выходит из строя, попадает в черный список или теряет репутацию, не ищите оправдания. У вас под рукой есть все ресурсы, чтобы предотвратить разрушение вашего любимого сайта WordPress в результате катастрофы. Если вы еще этого не сделали, примите меры и сделайте что-нибудь, пока не стало слишком поздно.