WordPress ist einer der beliebtesten Website-Baukästen der Welt, weil er leistungsstarke Funktionen und eine sichere Codebasis bietet. Diese Beliebtheit macht es jedoch auch zu einem Ziel für DDoS-Angriffe.
Hacker setzen DDoS-Angriffe ein, um Websites zu verlangsamen und sie für die Nutzer unzugänglich zu machen. Diese Angriffe können sowohl auf kleine als auch auf große Websites abzielen. Die Folgen eines DDoS-Angriffs können schwerwiegend sein und zu Umsatzeinbußen, Rufschädigung und frustrierten Besuchern führen.
WPBeginner war das Ziel vieler dieser Angriffe, und wir haben gelernt, wie wir das Risiko minimieren und unsere Website sicher halten können. Sie fragen sich vielleicht, wie eine kleine Unternehmenswebsite, die WordPress verwendet, solche DDoS-Angriffe mit begrenzten Ressourcen verhindern kann.
Dieser Leitfaden zeigt Ihnen, wie Sie DDoS-Angriffe in WordPress verhindern und stoppen können, damit Sie Ihre Website wie ein Profi vor Angriffen schützen können.
Was ist ein DDoS-Angriff?
DDoS (Distributed Denial of Service) ist eine Art von Cyberangriff, bei dem kompromittierte Computer und Geräte verwendet werden, um Daten von einem WordPress-Hosting-Server zu senden oder anzufordern. Der Zweck dieser Anfragen ist es, den angegriffenen Server zu verlangsamen und schließlich zum Absturz zu bringen.
DDoS-Angriffe haben sich aus DoS-Angriffen (Denial of Service) entwickelt. Im Gegensatz zu einem DoS-Angriff nutzen sie die Vorteile vieler kompromittierter Rechner oder Server, die über verschiedene Regionen verteilt sind.
Diese kompromittierten Rechner bilden ein Netzwerk, das manchmal auch als Botnet bezeichnet wird. Jeder betroffene Rechner fungiert als Bot und startet Angriffe auf das Zielsystem oder den Server. So können sie eine Zeit lang unbemerkt bleiben und maximalen Schaden anrichten, bevor sie blockiert werden.
Selbst die größten Internetunternehmen sind anfällig für DDoS-Angriffe.
Im Jahr 2018 wurde GitHub, eine beliebte Code-Hosting-Plattform, Zeuge eines massiven DDoS-Angriffs, bei dem 1,3 Terabyte pro Sekunde an Datenverkehr auf die Server von GitHub geschickt wurden.
Vielleicht erinnern Sie sich auch an den berüchtigten Angriff auf DYN (einen DNS-Dienstanbieter) im Jahr 2016. Dieser Angriff sorgte weltweit für Schlagzeilen, da er viele beliebte Websites wie Amazon, Netflix, PayPal, Visa, Airbnb, die New York Times, Reddit und Tausende andere Websites betraf.
DDoS-FAQs
Hier finden Sie einige Antworten auf häufig gestellte Fragen zu DDoS-Angriffen.
Warum kommt es zu DDoS-Angriffen?
Es gibt verschiedene Motive für DDoS-Angriffe. Hier sind einige gängige:
- Technisch versierte Menschen, die sich einfach nur langweilen, finden es abenteuerlich
- Personen und Gruppen, die einen politischen Standpunkt vertreten
- Gruppen, die auf Websites und Dienste eines bestimmten Landes oder einer bestimmten Region abzielen
- Gezielte Angriffe auf ein bestimmtes Unternehmen oder einen Dienstleistungsanbieter, um einen finanziellen Schaden zu verursachen
- Erpressung mit dem Ziel, Lösegeld zu erpressen
Was ist der Unterschied zwischen einer Brute-Force-Attacke und einer DDoS-Attacke?
Bei Brute-Force-Angriffen wird versucht, durch das Erraten von Passwörtern oder das Ausprobieren von Zufallskombinationen unbefugten Zugang zu einem System zu erhalten.
DDoS-Angriffe dienen ausschließlich dazu, das Zielsystem zum Absturz zu bringen und es langsam oder unzugänglich zu machen.
Weitere Einzelheiten finden Sie in unserem Leitfaden zum Blockieren von Brute-Force-Angriffen auf WordPress.
Welche Schäden können durch einen DDoS-Angriff verursacht werden?
DDoS-Angriffe können die Leistung einer Website verringern oder sie unzugänglich machen. Dies führt zu einer schlechten Nutzererfahrung, zu Geschäftseinbußen und zu Kosten für die Entschärfung des Angriffs, die Tausende von Dollar betragen können.
Hier eine Aufschlüsselung dieser Kosten:
- Geschäftseinbußen aufgrund der Unzugänglichkeit der Website
- Kosten für den Kundensupport zur Beantwortung von Fragen im Zusammenhang mit Dienstunterbrechungen
- Kosten für die Entschärfung von Angriffen durch Beauftragung von Sicherheitsdiensten oder Unterstützung
- Die größten Kosten sind die schlechte Nutzererfahrung und der schlechte Ruf der Marke.
Wie kann ich DDoS-Angriffe in WordPress stoppen und verhindern?
DDoS-Angriffe können raffiniert getarnt und schwer zu bewältigen sein. Mit einigen grundlegenden bewährten Sicherheitspraktiken können Sie jedoch verhindern, dass Ihre WordPress-Website durch DDoS-Angriffe beeinträchtigt wird, und diese einfach stoppen.
Hier sind die Schritte, die Sie unternehmen müssen, um DDoS-Angriffe auf Ihre Website zu verhindern und zu stoppen:
Vertikale DDoS-/Brute-Force-Angriffe entfernen
Das Beste an WordPress ist, dass es sehr flexibel ist. WordPress erlaubt es, Plugins und Tools von Drittanbietern in Ihre Website zu integrieren und neue Funktionen hinzuzufügen.
Zu diesem Zweck stellt WordPress Programmierern mehrere APIs zur Verfügung. Diese APIs sind Methoden, über die WordPress-Plugins und -Dienste von Drittanbietern mit WordPress interagieren können.
Einige dieser APIs können jedoch auch während eines DDoS-Angriffs ausgenutzt werden, indem sie eine große Anzahl von Anfragen senden. Sie können sie sicher deaktivieren, um diese Anfragen zu reduzieren.
XML RPC in WordPress deaktivieren
XML-RPC ermöglicht Anwendungen von Drittanbietern die Interaktion mit Ihrer WordPress-Website. Sie benötigen XML-RPC zum Beispiel, um die WordPress-App auf Ihrem mobilen Gerät zu verwenden.
Wenn Sie wie die große Mehrheit der Nutzer die mobile App nicht zum Betrieb ihrer Website verwenden, können Sie XML-RPC deaktivieren, indem Sie einfach den folgenden Code in die .htaccess-Datei Ihrer Website einfügen:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Alternative Methoden finden Sie in unserer Anleitung, wie Sie XML-RPC in WordPress einfach deaktivieren können.
REST API in WordPress deaktivieren
Die WordPress JSON REST API ermöglicht es Plugins und Tools, auf WordPress-Daten zuzugreifen, Inhalte zu aktualisieren und/oder sogar zu löschen. Hier erfahren Sie, wie Sie die REST-API in WordPress deaktivieren können.
Wir empfehlen die Verwendung des WPCode-Plugins. Dies ist das beste Plugin für Codeschnipsel, mit dem Sie die REST-API mit nur wenigen Klicks deaktivieren können.
Weitere Informationen finden Sie in unserer Anleitung zur Deaktivierung der JSON REST API in WordPress.
Alternativ dazu können Sie das Plugin Disable WP Rest API verwenden. Das Plugin funktioniert standardmäßig und deaktiviert die REST-API für alle nicht angemeldeten Benutzer.
Aktivieren Sie eine WAF (Website Application Firewall)
Die Deaktivierung von Angriffsvektoren wie REST API und XML-RPC bietet nur begrenzten Schutz vor DDoS-Angriffen. Ihre Website ist weiterhin anfällig für normale HTTP-Anfragen.
Während Sie einen kleinen DDoS-Angriff entschärfen können, indem Sie versuchen, die IPs der bösartigen Rechner abzufangen und sie manuell zu blockieren, ist dieser Ansatz weniger effektiv, wenn es um einen großen Angriff geht.
Der einfachste Weg, verdächtige Anfragen zu blockieren, ist die Aktivierung einer Website-Anwendungsfirewall.
Eine Website-Anwendungsfirewall fungiert als Proxy zwischen Ihrer Website und dem gesamten eingehenden Datenverkehr. Sie verwendet einen intelligenten Algorithmus, um alle verdächtigen Anfragen abzufangen und zu blockieren, bevor sie den Server Ihrer Website erreichen.
Wir empfehlen die Verwendung von Sucuri, weil es das beste WordPress-Sicherheits-Plugin und die beste Website-Firewall ist. Es läuft auf DNS-Ebene, d. h. es kann einen DDoS-Angriff abfangen, bevor er eine Anfrage an Ihre Website stellen kann.
Die Preise für Sucuri beginnen bei $199,99 pro Jahr.
Wir verwenden Sucuri auf WPBeginner. Sehen Sie in unserer Fallstudie, wie Sucuri dabei hilft, Hunderttausende von Angriffen auf unsere Website zu blockieren.
Alternativ können Sie auch Cloudflare verwenden. Der kostenlose Dienst von Cloudflare bietet jedoch nur begrenzten DDoS-Schutz. Sie müssen sich mindestens für den Business-Plan anmelden, um DDoS-Schutz auf Layer 7 zu erhalten, der etwa 200 US-Dollar pro Monat kostet.
Einen detaillierten Vergleich zwischen Sucuri und Cloudflare finden Sie in unserem Artikel Sucuri vs. Cloudflare.
Hinweis: Website Application Firewalls (WAFs), die auf der Anwendungsebene laufen, sind während eines DDoS-Angriffs weniger effektiv. Sie blockieren den Datenverkehr, wenn er Ihren Webserver bereits erreicht hat, so dass er sich immer noch auf die Gesamtleistung Ihrer Website auswirkt.
Erkennen, ob es sich um einen Brute-Force- oder DDoS-Angriff handelt
Sowohl Brute-Force- als auch DDoS-Angriffe beanspruchen intensiv Serverressourcen, so dass ihre Symptome recht ähnlich aussehen. Ihre Website wird langsamer und kann abstürzen.
Sie können leicht herausfinden, ob es sich um einen Brute-Force-Angriff oder einen DDoS-Angriff handelt, indem Sie sich die Login-Berichte des Sucuri-Plugins ansehen.
Installieren und aktivieren Sie einfach das kostenlose Sucuri-Plugin und gehen Sie dann auf die Seite Sucuri Security “ Last Logins.
Wenn Sie eine große Anzahl von zufälligen Login-Anfragen sehen, bedeutet dies, dass Ihr wp-admin einem Brute-Force-Angriff ausgesetzt ist. Um diesen zu stoppen, lesen Sie bitte unsere Anleitung, wie Sie Brute-Force-Angriffe in WordPress blockieren können.
Was ist bei einer DDoS-Attacke zu tun?
DDoS-Angriffe können selbst dann auftreten, wenn Sie eine Web Application Firewall und andere Schutzmechanismen einsetzen. Unternehmen wie CloudFlare und Sucuri sind regelmäßig mit solchen Angriffen konfrontiert, von denen Sie in der Regel nichts mitbekommen, da sie diese leicht entschärfen können.
In einigen Fällen, wenn diese Angriffe groß sind, können sie sich jedoch trotzdem auf Sie auswirken. In diesem Fall ist es am besten, darauf vorbereitet zu sein, die Probleme, die während und nach dem DDoS-Angriff auftreten können, zu entschärfen.
Im Folgenden finden Sie einige Maßnahmen, die Sie ergreifen können, um die Auswirkungen eines DDoS-Angriffs zu minimieren.
1. Warnen Sie Ihre Teammitglieder
Wenn Sie ein Team haben, müssen Sie Ihre Kollegen über das Problem informieren.
So können sie sich auf Kundenanfragen vorbereiten, auf mögliche Probleme achten und während oder nach dem Angriff helfen.
2. Informieren Sie die Kunden über die Unannehmlichkeiten
Ein DDoS-Angriff kann das Nutzererlebnis auf Ihrer Website beeinträchtigen. Wenn Sie einen WooCommerce-Shop betreiben, können Ihre Kunden möglicherweise keine Bestellung aufgeben oder sich nicht bei ihren Konten anmelden.
Sie können über Ihre Konten in den sozialen Medien ankündigen, dass es auf Ihrer Website technische Schwierigkeiten gibt und alles bald wieder normal sein wird.
Wenn der Angriff groß ist, können Sie auch Ihren E-Mail-Marketingdienst nutzen, um mit den Kunden zu kommunizieren und sie aufzufordern, Ihren Updates in den sozialen Medien zu folgen.
Wenn Sie VIP-Kunden haben, möchten Sie vielleicht Ihren geschäftlichen Telefondienst nutzen, um einzelne Anrufe zu tätigen und sie über Ihre Bemühungen zur Wiederherstellung der Dienste zu informieren.
Die Kommunikation in diesen schwierigen Zeiten trägt entscheidend dazu bei, den Ruf Ihrer Marke aufrechtzuerhalten.
3. Kontakt zum Support für Hosting und Sicherheit
Setzen Sie sich mit Ihrem WordPress-Hosting-Anbieter in Verbindung. Der Angriff auf Ihre Website könnte Teil eines größeren Angriffs sein, der auf deren Systeme abzielt. In diesem Fall kann er Sie über den aktuellen Stand der Dinge informieren.
Wenden Sie sich an Ihren Firewall-Dienst und teilen Sie ihm mit, dass Ihre Website von einem DDoS-Angriff betroffen ist. Möglicherweise können sie die Situation noch schneller entschärfen und Ihnen weitere Informationen zur Verfügung stellen.
Bei Firewall-Anbietern wie Sucuri können Sie Ihre Einstellungen auch auf den „Paranoid-Modus“ einstellen, der dazu beiträgt, viele Anfragen zu blockieren und Ihre Website für normale Benutzer zugänglich zu machen.
Wie Sie Ihre WordPress-Website sicher halten
WordPress ist von Haus aus ziemlich sicher. Da es jedoch der weltweit beliebteste Website-Baukasten ist, wird es häufig von Hackern angegriffen.
Glücklicherweise gibt es viele bewährte Sicherheitsverfahren, die Sie auf Ihre Website anwenden können, um sie noch sicherer zu machen.
Wir haben einen vollständigen WordPress-Sicherheitsleitfaden für Anfänger zusammengestellt, der Schritt für Schritt erklärt, wie Sie Ihre Website am besten schützen. Er führt Sie durch die besten WordPress-Sicherheitseinstellungen, um Ihre Website und ihre Daten vor gängigen Bedrohungen zu schützen.
Vielleicht interessieren Sie sich auch für einige andere Artikel zur Verbesserung der WordPress-Sicherheit:
- Durchführung eines WordPress-Sicherheitsaudits (vollständige Checkliste)
- Die besten WordPress-Sicherheits-Plugins zum Schutz Ihrer Website (im Vergleich)
- Die besten WordPress-Sicherheitsscanner zur Erkennung von Malware und Hacks
- So scannen Sie Ihre WordPress-Website nach potenziell bösartigem Code
- Die wichtigsten Gründe, warum WordPress-Websites gehackt werden (und wie man es verhindern kann)
- Wie Sie Ihre WordPress-Website vor Brute-Force-Angriffen schützen können
- Wie man eine Hintertür in einer gehackten WordPress-Website findet und sie repariert
- Überwachung der Benutzeraktivität in WordPress mit Security Audit Logs
- Hinzufügen von HTTP-Sicherheits-Headern in WordPress (Anleitung für Anfänger)
Wir hoffen, dass dieser Artikel Ihnen geholfen hat zu lernen, wie man einen DDoS-Angriff auf WordPress blockiert und verhindert. Vielleicht interessieren Sie sich auch für unseren Leitfaden zur Verhinderung von WordPress-SQL-Injection-Angriffen und unsere Checkliste mit wichtigen WordPress-Wartungsaufgaben, die Sie regelmäßig durchführen sollten.
Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.
Jiří Vaněk
Currently, I dare to say that an excellent and free protection against DDoS attacks is Cloudflare. The DNS A record is hidden behind a proxy DNS, so the attack is mostly directed not at the target server but at the Cloudflare server. Cloudflare then effectively filters out the DDoS attack. For me, currently one of the best solutions available.
Prabuddh
Disable XML RPC in WordPress Code is wrong,
The code ends with but you ended with which gives an error, Please solve this.
Thanks
WPBeginner Support
We di bit see your recommendations in your comment but we did find a typo and it should be fixed
Admin
Mohamad EL-Wakeel
great articles, but would you make one as comparison between
DDoS Attack & Brute Force Attack, and how to detect both.
Thanks.