DDoSとは、Distributed Denial of Serviceの略。オンライン攻撃の一種で、あなたのサイトに大量の偽の訪問者を送り込みます。その目的は、本当の訪問者がアクセスできなくなるまで、ウェブサイトの速度を低下させることです。
他の100人と同じ時間に店を訪れたことがあるだろうか?店員は圧倒され、接客を受けるのに長時間待たされ、在庫がなくなり始めるかもしれない。誰もが嫌な経験をしている。
これがDDoS攻撃の仕組みです。あなたのサイトは、一度に限られた数の訪問者しか処理できません。訪問者が多すぎると、その店と同じように反応しなくなります。
DDoS攻撃とは何か?
DDoS攻撃者は、危険なコンピューターや端末を使用して、WordPressホスティングサービスサーバーにデータを送信または要求します。これらのリクエストの目的は、標的となるサーバーの速度を低下させ、最終的にはクラッシュさせることです。
これらの侵害されたマシンはネットワークを形成し、ボットネットと呼ばれることもある。感染した各マシンはボットとして動作し、標的となるシステムやサーバーに攻撃を仕掛けます。
DDoS攻撃はますます一般的になっているのか?
DDoS攻撃の数は年々増加している。
ラドウェアの調査によると、DDoS攻撃は2021年から2022年にかけて150%増加し、この数字はアメリカ大陸では220%にのぼる。サイバーセキュリティ企業のNetscoutによると、2022年には1300万件以上のDDoS攻撃が記録された。
WordPressのサイトを持っているなら、それは問題だ。
なぜ大幅に増えたのか?その理由のひとつは、リソースが増えたからだ。攻撃に利用できる帯域幅が増え、ボット化できる端末が増えた。
これには、パッチの適用されていないオペレーティングシステムを実行している古いPC、危険なスマートフォン、スマートテレビ、冷蔵庫、電球などの「モノのインターネット」端末の増加が含まれる。
もうひとつの理由は、DDoS攻撃が簡単に実行できることだ。YouTubeのチュートリアルではボットネットの作り方が学べるし、マルウェアツールも簡単に手に入る。DDoSのスキルを持つ人が、お金を払うカスタマイザーに自分を雇うことさえある。
DDoS攻撃は1日、1週間、またはそれ以上続くことがあります。これは、サイトやアプリケーションのオンラインプレゼンスを破壊するには十分な長さです。
人気のあるプラットフォームは攻撃の標的になりやすく、WordPressはその中でも最も人気があります。だからこそ、手遅れになる前にWordPressサイトを安全に保ち、DDoS攻撃から身を守る対策を講じることが非常に重要なのです。
なぜ私のサイトを攻撃するのか?
自分のサイトは小さいし、親切な人だから攻撃から安全だと思うかもしれない。いずれにせよ、誰かがあなたのサイトを攻撃する可能性はある。
金銭を脅し取るためかもしれない。彼らはあなたに連絡し、あなたが彼らにお金を支払った後、攻撃を停止することを約束するかもしれません。
政治的な動機かもしれない。単にあなたのビジネスが所在する国や地域という理由で標的にされるかもしれません。あるいは、あなたのコンテンツによって引き起こされたものかもしれません。
それはビジネスに関連しているかもしれない。競合他社が優位に立とうとしているのかもしれない。あるいは、不満を持つカスタマイザーがあなたに危害を加えようとしているかもしれません。
あるいは、単に退屈しのぎかもしれない。技術的なスキルのある人がボットネットで遊ぶのは、他にすることがないからかもしれない。
DDoS攻撃の種類
これらのDDoS攻撃者は、あなたのサイトをクラッシュさせるためにいくつかの方法を使用することができます。彼らが使っている方法を特定できれば、WordPress サイトをよりよく守ることができるかもしれません。
DDoS攻撃にはいくつかの種類があります:
- ボリュメトリックDDoS攻撃は最も一般的なタイプです。大量の偽のトラフィックをサイトに送り、利用可能な帯域幅を使い果たします。帯域幅がいっぱいになると、サイトがクラッシュするか、エラーが表示されます。
- アプリケーションDDoS攻撃は、サイト全体ではなく、特定のアプリケーションを標的とします。アプリケーションは、本物の訪問者からのリクエストを処理できないほど忙しくなり、最終的にはサーバーがクラッシュします。
- プロトコルDDoS攻撃は、サイト全体ではなくネットワーク端末を標的とする。ファイアウォールやルーターの接続テーブルを埋め尽くすことで攻撃する。パケットが処理しきれないほど多くなると、サーバーはクラッシュする。
DDoS攻撃に対する防御方法
さて、WordPressを使用している中小企業のサイトが、その限られたリソースでどのようにDDoS攻撃と戦ったり、防いだりできるのか、不思議に思われるかもしれません。
攻撃を受ける前に、今こそ行動を起こすべき時です。最も簡単な方法は、サイト・アプリケーション・ファイアウォールを有効化することです。
ファイアウォールは、サイトに到達する前にすべてのトラフィックをチェックし、本物の訪問者のみを通過させます。スマートなアルゴリズムを使用して、疑わしいリクエストをすべてキャッチしてブロックします。
用心棒を雇うようなものだ。ファイアウォールアプリケーションは、攻撃者に倒されることなく立ち向かえるほど強力であり、あなたのサイトの正面玄関に到達する前にあらゆる脅威を処理します。
Sucuriをお勧めする理由は、WordPressのセキュリティプラグインおよびサイトファイアウォールとして最高だからです。SucuriはDNSレベルで動作するため、DDoS攻撃がサイトにリクエストする前にキャッチすることができます。
Sucuriのおかげで、3ヶ月で450,000件のWordPress攻撃をブロックすることができました。
別の選択肢としてCloudflareがあるが、無料サービスを利用する場合、限定的なDDoS防御しか受けられない。
ウェブサイトがすでに攻撃を受けている場合は、DDoS攻撃中に悪用される可能性のあるWordPress APIも無効化する必要があります。WordPressへのDDoS攻撃を阻止・防止する方法については、ステップバイステップのガイドをご覧ください。
この投稿がDDoS攻撃についてより詳しく知っていただく一助となれば幸いです。また、WordPress の便利なヒントやトリック、アイデアに関する関連投稿については、以下の「追加読み物」リストをご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
