如何防止和應對WordPress的DDoS攻擊

WordPress是世界上最受歡迎的建站程序之一,因為它具有強大的功能和安全的代碼庫。但是,這不能保護WordPress或任何其他軟件免受Internet上常見的惡意DDoS攻擊

DDoS攻擊會使網站變慢,最終使用戶無法訪問它們。這些攻擊可以同時針對大型和小型網站。

您可能想知道使用WordPress搭建的小型企業網站如何在資源有限的情況下阻止此類DDoS攻擊?

在這篇教程中,我們將向您展示如何有效地阻止和應對WordPress的DDoS攻擊。我們的目標是幫助您了解如何針對DDoS攻擊(如專業人士)管理網站安全。

什么是DDoS攻擊?

DDoS攻擊是分布式拒絕服務攻擊的縮寫,是一種網絡攻擊,它使用受感染的計算機和設備從WordPress托管服務器發送或請求數據。這些請求的目的是減慢目標服務器的速度,并最終使其崩潰。

DDoS攻擊是DoS(拒絕服務)攻擊的演變形式。與DoS攻擊不同,它們利用分布在不同區域的多個受感染的計算機或服務器。

這些受感染的計算機形成一個網絡,稱為僵尸網絡。每臺受影響的機器都充當機器人,并對目標系統或服務器上發起攻擊。

這樣一來,他們就可以在一段時間內不被注意,并在被阻止之前造成最大的損害。

即使是最大的互聯網公司也容易受到DDoS攻擊。

在2018年,流行的代碼托管平臺GitHub見證了大規模的DDoS攻擊,每秒向其服務器發送1.3 TB的流量。

您可能還記得2016年臭名昭著的DYN(DNS服務提供商)攻擊。該攻擊影響了許多流行的網站,例如亞馬遜、Netflix、PayPal、Visa、AirBnB、《紐約時報》、Reddit和數千個其他網站,因此受到了全球新聞的報道。

為什么會發生DDoS攻擊?

DDoS攻擊背后有多種動機。以下是一些常見的問題:

  • 精于技術的人無聊而又喜歡冒險
  • 試圖提出政治觀點的人和團體
  • 針對特定國家或地區的網站和服務的組
  • 針對特定企業或服務提供商的有針對性的攻擊,對其造成金錢傷害
  • 勒索并收取贖金

蠻力攻擊和DDoS攻擊有什么區別?

蠻力攻擊通常試圖通過猜測密碼或嘗試隨機組合來侵入系統,以獲得對系統的未授權訪問。

DDoS攻擊純粹是用來使目標系統崩潰,使其無法訪問或使其速度變慢。

您還可以閱讀以下我們之前的文章《保護您的WordPress網站免受蠻力攻擊

DDoS攻擊可能造成什么損失?

DDoS攻擊會使網站無法訪問或降低性能。這可能會導致不良的用戶體驗、業務損失,并且有效的DDoS阻止成本可能高達數萬人民幣。

以下是這些費用的明細:

  • 網站無法訪問導致業務損失
  • 回答服務中斷相關查詢的客戶支持成本
  • 通過雇用安全服務或支持來減輕攻擊的成本
  • 最大的代價是不良的用戶體驗和品牌聲譽

如何停止和應對WordPress的DDoS攻擊

DDoS攻擊可以巧妙地掩飾并且難以處理。但是,通過一些基本的安全操作,您可以防止并輕松阻止DDoS攻擊影響WordPress網站。

您需要采取以下步驟來防止和阻止WordPress網站上的DDoS攻擊。

刪除DDoS /蠻力攻擊隱患

關于WordPress的最好的事情是它具有高度的靈活性。WordPress允許第三方插件和工具集成到您的網站并添加新功能。

為此,WordPress使程序員可以使用多種API。這些API是第三方WordPress插件和服務可以與WordPress交互的方法。

但是,在DDoS攻擊期間,也可以通過發送大量請求來利用其中一些API。您可以安全地禁用它們以減少這些請求。

在WordPress中禁用XML RPC

XML-RPC允許第三方應用程序與您的WordPress網站進行交互。例如,您需要XML-RPC才能在移動設備上使用WordPress應用程序。

如果您像絕大多數不使用移動應用程序的用戶一樣,則可以通過將以下代碼添加到網站的.htaccess文件中來禁用XML-RPC?。

Apache環境:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Nginx環境:

location ~* /xmlrpc.php$ {
    allow 172.0.1.1;
    deny all;
}

更多安全手段請見:

在WordPress中禁用REST API

WordPress JSON REST API允許插件和工具訪問WordPress數據,更新內容,甚至刪除它們。如果您的網站沒有使用 JSON REST API,您可以考慮禁用它。

要在WordPress中禁用REST API,您需要做的就是安裝并激活Disable WP Rest API插件。該插件開箱即用,它將僅對所有未登錄用戶禁用REST API

激活WAF(網站應用防火墻)

禁用諸如REST API和XML-RPC之類的攻擊媒介,對于DDoS攻擊的保護有限。您的網站仍然容易受到普通HTTP請求的攻擊。

盡管您可以通過嘗試捕獲不良的機器IP并手動阻止它們來緩解小型DOS攻擊,但是這種方法在處理大型DDoS攻擊時并不是很有效。

阻止可疑請求的最簡單方法是激活網站應用程序防火墻。

網站應用程序防火墻充當您的網站和所有傳入流量之間的代理。它使用智能算法捕獲所有可疑請求,并在它們到達您的網站服務器之前將其阻止。

如果是外貿網站,我們建議使用Sucuri,因為它是最好的WordPress安全插件和網站防火墻之一。它在DNS級別上運行,這意味著他們可以在向您的網站發出請求之前捕獲DDoS攻擊。 Sucuri的價格從每月20美元起(每年支付)。

或者,您也可以使用Cloudflare。但是,Cloudflare的免費服務僅提供有限的DDoS保護。您至少需要注冊他們的業務計劃才能獲得第7層DDoS防護,每月費用約為200美元。

如果是國內網站,適當地采用國內CDN服務,也是可以一定程度上減輕對服務器的影響。如果網站業務比較大,DDoS攻擊嚴重掉影響了網站的訪問和收益,那您可以考慮采用高防服務器或者高防IP服務,國內大廠的比如阿里云、騰訊云等都提供這方面的服務,不過費用比較高。

注意:在DDoS攻擊期間,在應用程序級別運行的網站應用程序防火墻(WAF)的效率較低。一旦流量到達您的Web服務器,它們就會阻止流量,因此它仍然會影響您的整體網站性能。所以,通常我們需要通過服務器端的防火墻或高防IP應對。

找出是蠻力攻擊還是DDoS攻擊

蠻力攻擊和DDoS攻擊都大量使用服務器資源,這意味著它們的癥狀看起來非常相似。您的網站會變慢,并且可能會崩潰。

您只需查看Sucuri插件的登錄報告,就可以輕松找到是蠻力攻擊還是DDoS攻擊。

只需安裝并激活免費的Sucuri插件,然后轉到Sucuri安全性?上次登錄頁面。

如果看到大量隨機登錄請求,則表明您的wp-admin受到了蠻力攻擊。為了緩解這種情況,您可以查看有關如何阻止WordPress中的暴力攻擊的指南。

DDoS攻擊期間要做的事情

即使您具有Web應用程序防火墻和其他保護措施,也可能發生DDoS攻擊。諸如CloudFlare和Sucuri之類的公司會定期處理這些攻擊,并且大多數時候您永遠不會聽說它,因為它們可以輕松地緩解它。

但是,在某些情況下,當這些攻擊很大時,它仍然會影響您。在這種情況下,最好做好準備,以減輕DDoS攻擊期間和之后可能出現的問題。

您可以采取以下措施來最大程度地減少DDoS攻擊的影響。

1.提醒您的團隊成員

如果您有團隊,則需要將此問題告知同事。這將幫助他們為客戶支持查詢做準備,尋找可能的問題,并在攻擊期間或之后提供幫助。

2.告知客戶不便之處

DDoS攻擊可能會影響您網站上的用戶體驗。如果您經營WooCommerce商店,那么您的客戶可能無法下訂單或登錄其帳戶。

您可以通過社交媒體帳戶宣布您的網站存在技術問題,并且一切將很快恢復正常。

如果攻擊很大,那么您還可以使用電子郵件營銷服務與客戶進行交流,并要求他們關注您的社交媒體更新。

如果您有VIP客戶,那么您可能希望使用商務電話服務撥打單個電話,并讓他們知道您如何恢復服務。

在艱難時期的溝通對保持品牌聲譽具有重大影響。

3.聯系托管和安全支持

與您的WordPress托管提供商聯系。您可能正在目睹的攻擊可能是針對他們的系統的較大攻擊的一部分。在這種情況下,他們將能夠為您提供有關情況的最新更新。

請與您的防火墻服務聯系,并讓他們知道您的網站受到DDoS攻擊。他們也許能夠更快地緩解這種情況,并可以為您提供更多信息。

在Sucuri之類的防火墻提供程序中,您還可以將設置設置為嚴格模式,這有助于阻止許多請求并使普通用戶可以訪問您的網站。

確保您的WordPress網站安全

WordPress開箱即用非常安全。但是,作為世界上最受歡迎的建站程序,它經常成為黑客的目標。

幸運的是,您可以在網站上應用許多最佳安全實踐,以使其更加安全。

我們希望本文能幫助您學習如何防止和阻止對WordPress的DDoS攻擊。

聲明:原文出自 https://www.wpbeginner.com/wp-tutorials/how-to-stop-and-prevent-a-ddos-attack-on-wordpress/ ,由 WordPress大學 翻譯整理,轉載請保留該聲明。

倡萌

一個文科IT宅男,喜歡折騰WordPress和被它折騰 ^_^

暫無評論

發表評論