WordPress è uno dei costruttori di siti web più diffusi al mondo perché offre funzioni potenti e una base di codice sicura. Tuttavia, questa popolarità lo rende un bersaglio per gli attacchi DDoS.
Gli hacker utilizzano gli attacchi DDoS per rallentare i siti web e renderli inaccessibili agli utenti. Questi attacchi possono colpire sia siti web di piccole che di grandi dimensioni. Le conseguenze di un attacco DDoS possono essere gravi, con conseguente perdita di entrate, reputazione danneggiata e visitatori frustrati.
WPBeginner è stato il bersaglio di molti di questi attacchi e abbiamo imparato a prendere provvedimenti per minimizzare il rischio e mantenere il nostro sito web al sicuro. Vi starete chiedendo come un sito web di una piccola azienda che utilizza WordPress possa prevenire tali attacchi DDoS con risorse limitate.
Questa guida vi mostrerà come prevenire e bloccare gli attacchi DDoS in WordPress, consentendovi di gestire con sicurezza la sicurezza del vostro sito web contro gli attacchi come un vero professionista.
Che cos’è un attacco DDoS?
Il DDoS (Distributed Denial of Service) è un tipo di attacco informatico che utilizza computer e dispositivi compromessi per inviare o richiedere dati a un server di hosting WordPress. Lo scopo di queste richieste è rallentare e infine mandare in crash il server preso di mira.
Gli attacchi DDoS si sono evoluti dagli attacchi DoS (Denial of Service). A differenza di un attacco DoS, sfruttano molte macchine o server compromessi distribuiti in diverse regioni.
Queste macchine compromesse formano una rete, talvolta chiamata botnet. Ogni macchina colpita agisce come un bot e lancia attacchi al sistema o al server preso di mira. In questo modo possono passare inosservati per un po’ e causare il massimo danno prima di essere bloccati.
Anche le più grandi aziende di Internet sono vulnerabili agli attacchi DDoS.
Nel 2018, GitHub, una popolare piattaforma di hosting di codice, ha subito un massiccio attacco DDoS che ha inviato 1,3 terabyte al secondo di traffico ai suoi server.
Forse ricorderete anche il famoso attacco del 2016 a DYN (un provider di servizi DNS). Questo attacco ha avuto risonanza mondiale in quanto ha colpito molti siti web popolari come Amazon, Netflix, PayPal, Visa, Airbnb, il New York Times, Reddit e migliaia di altri siti web.
Domande frequenti sui DDoS
Ecco alcune risposte alle domande più frequenti sugli attacchi DDoS.
Perché avvengono gli attacchi DDoS?
Le motivazioni alla base degli attacchi DDoS sono molteplici. Eccone alcune comuni:
- Le persone tecnicamente esperte e semplicemente annoiate lo trovano avventuroso.
- Persone e gruppi che fanno politica
- Gruppi che si rivolgono a siti web e servizi di un particolare paese o regione
- Attacchi mirati a un’azienda o a un fornitore di servizi specifici per causare danni monetari
- Ricatto per riscuotere il denaro del riscatto
Qual è la differenza tra un attacco Brute Force e un attacco DDoS?
Gli attacchi di forza bruta cercano di ottenere un accesso non autorizzato a un sistema indovinando le password o provando combinazioni casuali.
Gli attacchi DDoS sono utilizzati esclusivamente per mandare in tilt il sistema preso di mira, rendendolo lento o inaccessibile.
Per maggiori dettagli, consultate la nostra guida su come bloccare gli attacchi brute-force su WordPress.
Quali danni possono essere causati da un attacco DDoS?
Gli attacchi DDoS possono ridurre le prestazioni di un sito web o renderlo inaccessibile. Ciò si traduce in una cattiva esperienza dell’utente, in una perdita di attività e in costi di mitigazione dell’attacco che possono essere di migliaia di dollari.
Ecco la ripartizione di questi costi:
- Perdita di attività a causa dell’inaccessibilità del sito web
- Costo dell’assistenza clienti per rispondere alle domande relative all’interruzione del servizio
- Costo della mitigazione dell’attacco tramite l’assunzione di servizi di sicurezza o di supporto
- Il costo maggiore è rappresentato dalla cattiva esperienza dell’utente e dalla reputazione del marchio.
Come si possono fermare e prevenire gli attacchi DDoS in WordPress?
Gli attacchi DDoS possono essere abilmente mascherati e difficili da affrontare. Tuttavia, con alcune buone pratiche di sicurezza di base, potete prevenire e impedire facilmente che gli attacchi DDoS colpiscano il vostro sito WordPress.
Ecco le misure da adottare per prevenire e bloccare gli attacchi DDoS sul vostro sito:
Rimuovere gli attacchi DDoS / Brute Force Verticali
La cosa migliore di WordPress è che è altamente flessibile. WordPress permette a plugin e strumenti di terze parti di integrarsi nel vostro sito web e di aggiungere nuove funzionalità.
A tal fine, WordPress mette a disposizione dei programmatori diverse API. Queste API sono metodi con cui i plugin e i servizi WordPress di terze parti possono interagire con WordPress.
Tuttavia, alcune di queste API possono essere sfruttate anche durante un attacco DDoS, inviando una tonnellata di richieste. È possibile disabilitarle in modo sicuro per ridurre tali richieste.
Disabilitare XML RPC in WordPress
XML-RPC consente alle applicazioni di terze parti di interagire con il vostro sito web WordPress. Ad esempio, avete bisogno di XML-RPC per utilizzare l’app WordPress sul vostro dispositivo mobile.
Se siete come la stragrande maggioranza degli utenti che non utilizzano l’applicazione mobile per gestire il proprio sito web, potete disabilitare XML-RPC semplicemente aggiungendo il seguente codice al file .htaccess del vostro sito:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Per metodi alternativi, consultate la nostra guida su come disabilitare facilmente XML-RPC in WordPress.
Disattivare l’API REST in WordPress
L’API JSON REST di WordPress consente a plugin e strumenti di accedere ai dati di WordPress, di aggiornare i contenuti e/o persino di cancellarli. Ecco come disattivare l’API REST in WordPress.
Si consiglia di utilizzare il plugin WPCode. Si tratta del miglior plugin per gli snippet di codice che vi permetterà di disabilitare l’API REST in pochi clic.
Per ulteriori informazioni, consultare la nostra guida su come disabilitare JSON REST API in WordPress.
In alternativa, è possibile utilizzare il plugin Disable WP Rest API. Il plugin funziona subito e disabilita l’API REST per tutti gli utenti non loggati.
Attivare un WAF (Website Application Firewall)
La disabilitazione di vettori di attacco come REST API e XML-RPC offre una protezione limitata contro gli attacchi DDoS. Il vostro sito web è ancora vulnerabile alle normali richieste HTTP.
Sebbene sia possibile mitigare un piccolo attacco DDoS cercando di individuare gli IP delle macchine dannose e bloccandoli manualmente, questo approccio è meno efficace quando si tratta di un attacco di grandi dimensioni.
Il modo più semplice per bloccare le richieste sospette è attivare un firewall per applicazioni web.
Un firewall per applicazioni web funge da proxy tra il vostro sito web e tutto il traffico in entrata. Utilizza un algoritmo intelligente per catturare tutte le richieste sospette e bloccarle prima che raggiungano il server del sito web.
Consigliamo di utilizzare Sucuri perché è il miglior plugin di sicurezza per WordPress e firewall per siti web. Funziona a livello di DNS, il che significa che può intercettare un attacco DDoS prima che possa fare una richiesta al vostro sito web.
I prezzi di Sucuri partono da 199,99 dollari all’anno.
Su WPBeginner utilizziamo Sucuri. Consultate il nostro caso di studio su come ci hanno aiutato a bloccare centinaia di migliaia di attacchi al nostro sito web.
In alternativa, è possibile utilizzare Cloudflare. Tuttavia, il servizio gratuito di Cloudflare offre solo una protezione DDoS limitata. Per ottenere una protezione DDoS di livello 7 è necessario sottoscrivere almeno il piano business, che costa circa 200 dollari al mese.
Per un confronto dettagliato, vedere il nostro articolo su Sucuri vs. Cloudflare.
Nota: i firewall per applicazioni web (WAF) che funzionano a livello di applicazione sono meno efficaci durante un attacco DDoS. Bloccano il traffico una volta che ha già raggiunto il server web, quindi influiscono comunque sulle prestazioni complessive del sito.
Identificare se si tratta di un attacco di forza bruta o di un attacco DDoS
Sia gli attacchi brute force che quelli DDoS utilizzano intensamente le risorse del server, per cui i loro sintomi sono piuttosto simili. Il vostro sito web diventerà più lento e potrebbe bloccarsi.
È possibile scoprire facilmente se si tratta di un attacco di forza bruta o di un attacco DDoS esaminando i rapporti di accesso del plugin Sucuri.
È sufficiente installare e attivare il plugin gratuito di Sucuri e poi andare alla pagina Sucuri Security ” Last Logins.
Se vedete un gran numero di richieste di accesso casuali, significa che il vostro wp-admin è sottoposto a un attacco di forza bruta. Per fermarlo, potete consultare la nostra guida su come bloccare gli attacchi di forza bruta in WordPress.
Cosa fare durante un attacco DDoS
Gli attacchi DDoS possono verificarsi anche se si dispone di un firewall per applicazioni web e di altre protezioni. Aziende come CloudFlare e Sucuri si occupano regolarmente di questi attacchi e, nella maggior parte dei casi, non se ne sente parlare perché possono facilmente mitigarli.
Tuttavia, in alcuni casi, quando questi attacchi sono di grandi dimensioni, possono comunque avere un impatto sull’azienda. In questo caso, è meglio essere preparati a mitigare i problemi che possono sorgere durante e dopo l’attacco DDoS.
Di seguito sono riportate alcune cose che potete fare per ridurre al minimo l’impatto di un attacco DDoS.
1. Avvisare i membri del team
Se avete un team, dovete informare i colleghi del problema.
Questo li aiuterà a prepararsi alle richieste di assistenza clienti, a individuare eventuali problemi e ad aiutare durante o dopo l’attacco.
2. Informare i clienti dell’inconveniente
Un attacco DDoS può compromettere l’esperienza dell’utente sul vostro sito web. Se gestite un negozio WooCommerce, i vostri clienti potrebbero non essere in grado di effettuare un ordine o di accedere ai loro account.
Potete annunciare attraverso i vostri account sui social media che il vostro sito web sta avendo problemi tecnici e che tutto tornerà presto alla normalità.
Se l’attacco è di grandi dimensioni, potete anche utilizzare il vostro servizio di email marketing per comunicare con i clienti e chiedere loro di seguire i vostri aggiornamenti sui social media.
Se avete clienti VIP, potreste utilizzare il vostro servizio telefonico aziendale per effettuare telefonate individuali e informarli di come state lavorando per ripristinare i servizi.
La comunicazione in questi momenti difficili fa una grande differenza nel mantenere forte la reputazione del vostro marchio.
3. Contattare l’assistenza per l’hosting e la sicurezza
Contattate il vostro provider di hosting WordPress. L’attacco al vostro sito potrebbe far parte di un attacco più ampio che ha come obiettivo i loro sistemi. In questo caso, saranno in grado di fornirvi gli ultimi aggiornamenti sulla situazione.
Contattate il vostro servizio firewall e informatelo che il vostro sito web è sotto attacco DDoS. Potrebbero essere in grado di mitigare la situazione ancora più velocemente e di fornirvi maggiori informazioni.
Con i fornitori di firewall come Sucuri, potete anche impostare le vostre impostazioni in “modalità paranoica”, che aiuta a bloccare molte richieste e a rendere il vostro sito web accessibile agli utenti normali.
Come mantenere sicuro il vostro sito web WordPress
WordPress è abbastanza sicuro fin dall’inizio. Tuttavia, essendo il costruttore di siti web più diffuso al mondo, è spesso preso di mira dagli hacker.
Fortunatamente, ci sono molte best practice di sicurezza che potete applicare al vostro sito web per renderlo ancora più sicuro.
Abbiamo compilato una guida completa alla sicurezza di WordPress passo dopo passo per i principianti. Vi guiderà attraverso le migliori impostazioni di sicurezza di WordPress per proteggere il vostro sito web e i suoi dati dalle minacce più comuni.
Potreste anche leggere altri articoli relativi al miglioramento della sicurezza di WordPress:
- Come eseguire un controllo di sicurezza di WordPress (lista di controllo completa)
- I migliori plugin di sicurezza per WordPress per proteggere il vostro sito (a confronto)
- I migliori scanner per la sicurezza di WordPress per rilevare malware e hacker
- Come scansionare il vostro sito WordPress alla ricerca di codice potenzialmente dannoso
- I motivi principali per cui i siti WordPress vengono hackerati (e come prevenirli)
- Come proteggere il vostro sito WordPress dagli attacchi Brute Force
- Come trovare una backdoor in un sito WordPress violato e ripararlo
- Come monitorare l’attività degli utenti in WordPress con i registri di controllo della sicurezza
- Come aggiungere intestazioni di sicurezza HTTP in WordPress (guida per principianti)
Speriamo che questo articolo vi abbia aiutato a capire come bloccare e prevenire un attacco DDoS su WordPress. Potreste anche voler consultare la nostra guida su come prevenire gli attacchi SQL injection su WordPress e la nostra lista di controllo essenziale delle attività di manutenzione di WordPress da eseguire regolarmente.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Jiří Vaněk
Currently, I dare to say that an excellent and free protection against DDoS attacks is Cloudflare. The DNS A record is hidden behind a proxy DNS, so the attack is mostly directed not at the target server but at the Cloudflare server. Cloudflare then effectively filters out the DDoS attack. For me, currently one of the best solutions available.
Prabuddh
Disable XML RPC in WordPress Code is wrong,
The code ends with but you ended with which gives an error, Please solve this.
Thanks
WPBeginner Support
We di bit see your recommendations in your comment but we did find a typo and it should be fixed
Admin
Mohamad EL-Wakeel
great articles, but would you make one as comparison between
DDoS Attack & Brute Force Attack, and how to detect both.
Thanks.