WordPress jest jednym z najpopularniejszych kreatorów stron internetowych na świecie, ponieważ oferuje zaawansowane funkcje i bezpieczną bazę kodu. Jednak ta popularność czyni go celem ataków DDoS.
Hakerzy wykorzystują ataki DDoS, aby spowolnić działanie stron internetowych i uniemożliwić użytkownikom dostęp do nich. Ataki te mogą być wymierzone zarówno w małe, jak i duże strony internetowe. Konsekwencje ataku DDoS mogą być poważne, powodując utratę przychodów, utratę reputacji i frustrację odwiedzających.
WPBeginner był celem wielu takich ataków i nauczyliśmy się, jak podejmować kroki w celu zminimalizowania ryzyka i zapewnienia bezpieczeństwa naszej witryny. Być może zastanawiasz się, w jaki sposób mała witryna biznesowa korzystająca z WordPressa może zapobiec takim atakom DDoS przy ograniczonych zasobach.
Ten przewodnik pokaże ci, jak zapobiegać i powstrzymywać ataki DDoS w WordPress, pozwalając ci pewnie zarządzać bezpieczeństwem witryny przed atakami jak profesjonalista.
Czym jest atak DDoS?
DDoS (Distributed Denial of Service) to rodzaj cyberataku, który wykorzystuje zainfekowane komputery i urządzenia do wysyłania lub żądania danych z serwera hostingowego WordPress. Celem tych żądań jest spowolnienie i ostatecznie uszkodzenie docelowego serwera.
Ataki DDoS wyewoluowały z ataków DoS (Denial of Service). W przeciwieństwie do ataków DoS, wykorzystują one wiele zainfekowanych maszyn lub serwerów rozmieszczonych w różnych regionach.
Te zainfekowane maszyny tworzą sieć, która czasami nazywana jest botnetem. Każda zainfekowana maszyna działa jak bot i przeprowadza ataki na docelowy system lub serwer. Pozwala im to pozostać niezauważonymi przez pewien czas i spowodować maksymalne szkody, zanim zostaną zablokowane.
Nawet największe firmy internetowe są podatne na ataki DDoS.
W 2018 r. GitHub, popularna platforma hostingu kodu, była świadkiem zmasowanego ataku DDoS, który wysyłał na jej serwery 1,3 terabajta ruchu na sekundę.
Być może pamiętasz również słynny atak na DYN (dostawcę usług DNS) z 2016 roku. Atak ten zyskał rozgłos na całym świecie, ponieważ miał wpływ na wiele popularnych witryn internetowych, takich jak Amazon, Netflix, PayPal, Visa, Airbnb, The New York Times, Reddit i tysiące innych.
Najczęściej zadawane pytania dotyczące DDoS
Oto kilka odpowiedzi na często zadawane pytania dotyczące ataków DDoS.
Dlaczego dochodzi do ataków DDoS?
Istnieje kilka motywacji stojących za atakami DDoS. Oto niektóre z nich:
- Technicznie obeznani ludzie, którzy są po prostu znudzeni, uważają to za przygodę
- Ludzie i grupy mające polityczny punkt widzenia
- Grupy kierujące reklamy na witryny internetowe i usługi z określonego kraju lub regionu
- Ukierunkowane ataki na określoną firmę lub dostawcę usług w celu wyrządzenia szkody pieniężnej
- Szantaż w celu wyłudzenia okupu
Jaka jest różnica między atakiem Brute Force a atakiem DDoS?
Ataki siłowe próbują uzyskać nieautoryzowany dostęp do systemu poprzez odgadywanie haseł lub próbowanie losowych kombinacji.
Ataki DDoS są wykorzystywane wyłącznie do awarii docelowego systemu, czyniąc go powolnym lub niedostępnym.
Więcej szczegółów można znaleźć w naszym przewodniku na temat blokowania ataków brute-force na WordPress.
Jakie szkody może spowodować atak DDoS?
Ataki DDoS mogą obniżyć wydajność witryny internetowej lub uczynić ją niedostępną. Skutkuje to złym doświadczeniem użytkownika, utratą firmy i kosztami złagodzenia ataku, które mogą wynosić tysiące dolarów.
Poniżej znajduje się zestawienie tych kosztów:
- Utrata działalności z powodu niedostępności witryny internetowej
- Koszt pomocy technicznej dla klientów w celu udzielenia odpowiedzi na pytania związane z zakłóceniami w świadczeniu usług.
- Koszt złagodzenia ataku poprzez wynajęcie usług zabezpieczenia lub pomocy technicznej
- Największym kosztem jest złe doświadczenie użytkownika i reputacja marki
Jak zatrzymać i zapobiec atakom DDoS w WordPress?
Ataki DDoS mogą być sprytnie zamaskowane i trudne do pokonania. Jednak dzięki kilku podstawowym najlepszym praktykom w zakresie zabezpieczeń możesz zapobiec i łatwo powstrzymać ataki DDoS, które mają wpływ na twoją witrynę internetową WordPress.
Oto kroki, które należy podjąć, aby zapobiec i powstrzymać ataki DDoS na twoją witrynę:
Usuwanie ataków DDoS / Brute Force w pionie
Najlepszą rzeczą w WordPressie jest to, że jest bardzo elastyczny. WordPress pozwala wtyczkom i narzędziom innych firm zintegrować się z twoją witryną internetową i utworzyć nowe funkcje.
W tym celu WordPress udostępnia programistom kilka interfejsów API. Te interfejsy API to metody, za pomocą których wtyczki i usługi WordPress innych firm mogą wchodzić w interakcje z WordPressem.
Jednak niektóre z tych interfejsów API można również wykorzystać podczas ataku DDoS, wysyłając mnóstwo żądań. Można je bezpiecznie wyłączyć, aby ograniczyć te żądania.
Wyłączanie XML RPC w WordPress
XML-RPC umożliwia aplikacjom innych firm interakcję z twoją witryną internetową WordPress. Na przykład, potrzebujesz XML-RPC, aby korzystać z aplikacji WordPress na twoim urządzeniu mobilnym.
Jeśli jesteś jak zdecydowana większość użytkowników, którzy nie używają aplikacji mobilnej do uruchamiania swojej witryny internetowej, możesz wyłączyć XML-RPC, po prostu dodając następujący kod do pliku .htaccess twojej witryny:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Alternatywne metody można znaleźć w naszym przewodniku na temat łatwego wyłączania XML-RPC w WordPress.
Wyłącz REST API w WordPress
WordPress JSON REST API umożliwia wtyczkom i narzędziom dostęp do danych WordPress, aktualizację treści i/lub nawet ich usunięcie. Oto jak można wyłączyć REST API w WordPress.
Zalecamy użycie wtyczki WPCode. Jest to najlepsza wtyczka do fragmentów kodu, która włącza REST API za pomocą kilku kliknięć.
Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem na temat wyłączania JSON REST API w WordPress.
Alternatywnie można użyć wtyczki Disable WP Rest API. Wtyczka działa po wyjęciu z pudełka i wyłącza REST API dla wszystkich niezalogowanych użytkowników.
Włączanie WAF (zapory aplikacji internetowej)
Wyłączenie wektorów ataku, takich jak REST API i XML-RPC, zapewnia ograniczoną ochronę przed atakami DDoS. Twoja witryna internetowa jest nadal podatna na zwykłe żądania HTTP.
Podczas gdy można złagodzić niewielki atak DDoS, próbując wyłapać złe adresy IP maszyn i blokując je ręcznie, podejście to jest mniej skuteczne w przypadku dużego ataku.
Najprostszym sposobem blokowania podejrzanych żądań jest włączanie zapory aplikacji witryny internetowej.
Zapora aplikacji internetowej działa jako serwer proxy między twoją witryną internetową a całym ruchem przychodzącym. Wykorzystuje ona inteligentny algorytm do wychwytywania wszystkich podejrzanych żądań i blokowania ich, zanim dotrą do serwera twojej witryny internetowej.
Zalecamy korzystanie z Sucuri, ponieważ jest to najlepsza wtyczka zabezpieczająca WordPress i zapora witryny internetowej. Działa ona na poziomie DNS, co oznacza, że może przechwycić atak DDoS, zanim zdąży on wysłać żądanie do twojej witryny internetowej.
Ceny Sucuri zaczynają się od 199,99 USD rocznie.
Używamy Sucuri na WPBeginner. Zobacz nasze studium przypadku o tym, jak pomagają blokować setki tysięcy ataków na naszą witrynę internetową.
Alternatywnie można skorzystać z Cloudflare. Jednak bezpłatna usługa Cloudflare zapewnia jedynie ograniczoną ochronę DDoS. Aby uzyskać ochronę DDoS warstwy 7, należy zarejestrować się przynajmniej w planie biznesowym, który kosztuje około 200 USD miesięcznie.
Zobacz nasz artykuł na temat Sucuri vs. Cloudflare, aby uzyskać szczegółowe porównanie.
Uwaga: Zapory aplikacji internetowych (WAF), które działają na poziomie aplikacji, są mniej skuteczne podczas ataku DDoS. Blokują one ruch, gdy dotarł on już do twojego serwera WWW, więc nadal ma on wpływ na ogólną wydajność witryny internetowej.
Określenie, czy jest to atak Brute Force czy DDoS
Zarówno ataki brute force, jak i DDoS intensywnie wykorzystują zasoby serwera, co oznacza, że ich objawy wyglądają dość podobnie. Twoja witryna internetowa będzie działać wolniej i może ulec awarii.
Możesz łatwo dowiedzieć się, czy jest to atak brute force, czy atak DDoS, przeglądając raporty logowania wtyczki Sucuri.
Wystarczy zainstalować i włączyć darmową wtyczkę Sucuri, a następnie przejść do strony Sucuri Security ” Last Logins.
Jeśli widzisz dużą liczbę losowych żądań logowania, oznacza to, że twój wp-admin jest narażony na atak brute-force. Aby go powstrzymać, możesz zapoznać się z naszym przewodnikiem na temat blokowania ataków brute force w WordPress.
Co robić podczas ataku DDoS
Ataki DDoS mogą się zdarzyć, nawet jeśli masz zaporę aplikacji internetowej i inne zabezpieczone zabezpieczenia. Firmy takie jak CloudFlare i Sucuri regularnie radzą sobie z takimi atakami, a przez większość czasu nigdy o nich nie usłyszysz, ponieważ mogą je łatwo złagodzić.
Jednak w niektórych przypadkach, gdy ataki te są duże, nadal mogą mieć wpływ na użytkownika. W takim przypadku najlepiej jest być przygotowanym na złagodzenie problemów, które mogą pojawić się w trakcie i po ataku DDoS.
Poniżej znajduje się kilka rzeczy, które można zrobić, aby zminimalizować wpływ ataku DDoS.
1. Ostrzeż członków twojego zespołu
Jeśli masz zespół, musisz poinformować współpracowników o problemie.
Pomoże im to przygotować się do obsługi zapytań klientów, zwrócić uwagę na możliwe problemy i pomóc w trakcie lub po ataku.
2. Poinformuj klientów o niedogodnościach.
Atak DDoS może mieć wpływ na komfort korzystania z Twojej witryny internetowej. Jeśli prowadzisz sklep WooCommerce, twoi klienci mogą nie być w stanie złożyć zamówienia lub logować się na swoje konta.
Możesz ogłosić za pośrednictwem swoich kont w mediach społecznościowych, że Twoja witryna internetowa ma problemy techniczne i wkrótce wszystko wróci do normy.
Jeśli atak jest duży, możesz również skorzystać z usługi e-mail marketingu, aby komunikować się z klientami i poprosić ich o śledzenie aktualizacji w mediach społecznościowych.
Jeśli masz klientów VIP, możesz skorzystać z Twojej usługi telefonii biznesowej, aby wykonać indywidualne połączenia telefoniczne i poinformować ich, jak pracujesz nad przywróceniem usług.
Komunikacja w tych trudnych czasach ma ogromny wpływ na reputację Twojej marki.
3. Kontakt z pomocą techniczną w zakresie hostingu i zabezpieczeń
Skontaktuj się ze swoim dostawcą hostingu WordPress. Atak na twoją witrynę może być częścią większego ataku wymierzonego w ich systemy. W takim przypadku będą oni w stanie zapewnić ci najnowsze aktualizacje dotyczące sytuacji.
Skontaktuj się z usługą zapory i poinformuj ich, że twoja witryna internetowa jest atakowana przez DDoS. Mogą oni być w stanie złagodzić sytuację jeszcze szybciej i dostarczyć więcej informacji.
Dzięki dostawcom zapór, takim jak Sucuri, możesz również ustawić swoje ustawienia w „trybie paranoicznym”, który pomaga blokować wiele żądań i sprawia, że twoja witryna internetowa jest dostępna dla zwykłych użytkowników.
Jak zabezpieczyć twoją witrynę internetową WordPress
WordPress jest dość bezpieczny po wyjęciu z pudełka. Jednak jako najpopularniejszy na świecie kreator witryn internetowych jest często celem ataków hakerów.
Na szczęście istnieje wiele najlepszych praktyk w zakresie zabezpieczeń, które możesz zastosować w swojej witrynie internetowej, aby uczynić ją jeszcze bardziej bezpieczną.
Przygotowaliśmy kompletny przewodnik po zabezpieczeniach WordPress krok po kroku dla początkujących. Przeprowadzi cię on przez najlepsze ustawienia zabezpieczeń WordPress, aby zabezpieczyć twoją witrynę internetową i jej dane przed typowymi zagrożeniami.
Być może spodoba ci się również kilka innych artykułów związanych z poprawą twojego zabezpieczenia WordPress:
- Jak przeprowadzić audyt zabezpieczeń WordPress (kompletna lista kontrolna)
- Najlepsze wtyczki WordPress do zabezpieczenia twojej witryny (porównanie)
- Najlepsze skanery zabezpieczeń WordPress do wykrywania złośliwego oprogramowania i hacków
- Jak przeskanować twoją witrynę WordPress pod kątem potencjalnie złośliwego kodu?
- Główne powody, dla których witryny WordPress są hakowane (i jak temu zapobiec)
- Jak zabezpieczyć twoją witrynę WordPress przed atakami Brute Force?
- Jak znaleźć backdoora w zhakowanej witrynie WordPress i go naprawić?
- Jak monitorować włączanie się użytkowników w WordPressie za pomocą dzienników audytu zabezpieczeń?
- Jak dodać nagłówki zabezpieczeń HTTP w WordPress (przewodnik dla początkujących)
Mamy nadzieję, że ten artykuł pomógł ci dowiedzieć się, jak blokować i zapobiegać atakom DDoS na WordPress. Zachęcamy również do zapoznania się z naszym przewodnikiem na temat zapobiegania atakom typu SQL injection w WordPressie oraz naszą niezbędną listą kontrolną kluczowych zadań konserwacyjnych WordPressa, które należy regularnie wykonywać.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Mrteesurez
Helpful article, I have learnt and understood what DDoS attack is and how to stop and prevent them on website but how can a some say whether it’s a brutal force or DDoS attack when he has not been using any firewall plugin ?
WPBeginner Support
Your hosting provider can help narrow down what type of attack was affecting your site.
Administrator
Jiří Vaněk
Currently, I dare to say that an excellent and free protection against DDoS attacks is Cloudflare. The DNS A record is hidden behind a proxy DNS, so the attack is mostly directed not at the target server but at the Cloudflare server. Cloudflare then effectively filters out the DDoS attack. For me, currently one of the best solutions available.
Prabuddh
Disable XML RPC in WordPress Code is wrong,
The code ends with but you ended with which gives an error, Please solve this.
Thanks
WPBeginner Support
We di bit see your recommendations in your comment but we did find a typo and it should be fixed
Administrator
Mohamad EL-Wakeel
great articles, but would you make one as comparison between
DDoS Attack & Brute Force Attack, and how to detect both.
Thanks.