So stoppen Sie einen DDoS-Angriff auf eine WordPress-Website

WordPress ist das meistgenutzte und beliebteste Content-Management-System. Das WordPress-Kernsystem ist sehr sicher und zuverlässig, und viele beliebte Websites sind darauf aufgebaut. Sein flexibles Plugin-System kann nahezu jede mögliche Funktion zum Kern erweitern. Anleitung, wie man einen DDoS-Angriff auf eine WordPress-Website stoppt Aber egal wie robust Ihre Struktur ist, es gibt Eindringlinge da draußen, die versuchen, Ihre Sites durch das Starten von DDoS-Angriffen anzugreifen. Erfahren Sie, wie Sie verhindern können, dass ein DDoS-Angriff Ihre Website lahmlegt.

Was sind DDoS-Angriffe?

Ein Distributed-Denial-of-Service-(DDoS)-Angriff ist ein Dritter, der den Traffic Ihrer Site stört, indem er mehrere überflüssige Anfragen sendet

Bereits 2017 war sogar der große Webhoster DreamHost mit einem massiven DDoS-Angriff konfrontiert. DreamHost DDoS-Angriff Egal wer Sie sind, DDoS-Angriffe können überall gezielt eingesetzt werden, wenn es eine Sicherheitslücke gibt.

Lesen Sie eine vollständige Anleitung zum Schutz Ihrer WordPress-Website vor Hackern mit erweiterten Optionen.

Hier führen wir Sie mit den kleinsten Details, um alle Bedrohungen durch DDoS-Angriffe fernzuhalten!

Was ist DDoS?

DDoS, abgekürzt für Distributed Denial of Service, ist ein Angriff auf Ihre Site, der mehrere überflüssige Anfragen aus verschiedenen Quellen an Ihre Website sendet, um das System zu überlasten. Sein Ziel ist es, die Reaktionszeiten einer Website zu verlangsamen, bis sie für legitime Anfragen nicht mehr erreichbar ist. Sobald diese Angriffe erfolgreich sind, können die Eindringlinge ein Stück Code in Ihre Site injizieren und sie schließlich hacken. Wie man einen DDoS-Angriff auf eine WordPress-Website stoppt Die Anfragen werden von anderen (WordPress-)Sites und Hosts gesendet, die mit Malware infiziert sind. Diese Sites werden als Medium für den Angriff genutzt. Es überlastet den Server Ihrer Site mit all diesen Anfragen und stoppt schließlich die Antwort an einem Punkt, was es unmöglich macht, die Site wiederherzustellen. Angriffe werden über verschiedene Geräte gezielt durchgeführt, was es ermöglicht, unbemerkt zu bleiben und den Angriff dadurch noch leichter erfolgreich zu machen. Wenn Sie denken, dass Ihre Site sicher ist, denken Sie nochmal nach, denn auch prominentere Unternehmen wie Amazon, DreamHost und PayPal waren vor vier Jahren Opfer. Stellen Sie sich den Verlust auf deren Seite vor. Deshalb ist Vorbeugung besser, als sich den Konsequenzen zu stellen.

Was sind die Gründe hinter DDoS-Angriffen?

Dies sind die verschiedenen Gründe, warum Angreifer DDoS-Angriffe starten:

  • Das Lösegeld: Geld zu sammeln, während sie Ihre Site als Geisel halten, ist einer dieser Gründe.
  • Angreifer finden Vergnügen daran und machen es aus Spaß.
  • Personen, die gerne eine bestimmte Personengruppe angreifen.
  • Konkurrenz: Der Konkurrent möchte Ihnen finanziellen Schaden zufügen, kann jemanden anheuern oder Ihre Site selbst angreifen.

Was ist der BruteForce-Angriff?

Hacker versuchen sich anzumelden, indem sie verschiedene Kombinationen aus Benutzername und Passwort erraten. Sobald sie Zugang haben, können sie bösartigen Code zu Ihrer Site hinzufügen. Denken Sie daran, BruteForce- und DDoS-Angriffe sind irgendwie unterschiedlich.

Arten von DDoS-Angriffen

Es gibt verschiedene Arten von DDoS-Angriffen, aber die weit verbreiteten sind wie folgt:

Das ist die häufigste Art von DDoS-Angriff, der bedeutet, die Site mit sinnlosen Anfragen zu überfluten, was wiederum die Website verlangsamt oder gleichzeitig zu einem vollständigen Shutdown der Website führt.

Die Angreifer legen die Site nicht vollständig lahm, verlangsamen sie aber mit konstanten Angriffen.

Alle diese Angriffe erfordern Zeit und Mühe, aber dieser hier verlangt insbesondere mehr als nur Angriffe. Die Eindringlinge suchen gründlich nach den Schwachstellen, und genau hier geht alles auf Ihrer Seite zunichte. Sobald die Angreifer Ihre Schwachstellen finden, pflanzen sie ihren Code, der Ihre Site in schlechtere Zustände versetzt.

Dieser nutzt den Server vollständig aus und bringt die Site zum Absturz, wodurch sie unbrauchbar wird.

Welche besonderen Schäden können durch DDoS-Angriffe verursacht werden?

Wie oben erklärt, verlangsamen DDoS-Angriffe Ihre Site, reduzieren die Geschwindigkeitsleistung und die Gesamtladezeit. Alle Schäden, die durch DDoS-Angriffe verursacht werden, gehören letztendlich zu Ihnen, egal ob sie monetär sind oder nicht. Im Folgenden sind bestimmte Schäden aufgeführt, die durch DDoS-Angriffe verursacht werden können:

  • Sie können mehrere Bestellungen auf einer eCommerce-Site verlieren.
  • Die Folgen, nicht auf Kundenanfragen zu reagieren, kosten Sie all die harte Arbeit, die Sie bisher in Ihre Site gesteckt haben.
  • Die Belastung durch die Einstellung von Sicherheits- und Hardware-Personal. Während die Einarbeitung neuer Leute und das Erklären, wie sie die genaue Vorgehensweise sicherstellen können, Sie viel Zeit und Geld für die Rekrutierung kosten wird, ob Personen oder Geräte.
  • Am Ende wird die Benutzerzufriedenheit scheitern. Unerwartete Nichtverfügbarkeit wird Ihre SEO-(Search Engine Optimization)-Rankings verlieren, ebenso wie die Kunden, die mit Server- oder Verbindungs-Zeitüberschreitungsfehlern konfrontiert sind, was das Worst-Case-Szenario ist. Wenn Ihre Site von einem großen DDoS getroffen wird und ausfällt, könnten Ihre Benutzer eine Nachricht wie diese erhalten:

DDoS-Angriff auf WordPress-Website

Wie stoppt man einen DDoS-Angriff auf einer WordPress-Website?

WordPress erlaubt es jedem, Websites ohne technisches Wissen zu erstellen, aber dies kann dazu führen, dass die Sites diesen DDoS-Angriffen zum Opfer fallen. Als Anfänger kann es viel zu verstehen sein, was und wie DDoS-Angriffe funktionieren und wie man sie vermeiden kann, aber ein bisschen Wissen zu haben, um die Schwachstellen zu erkennen, ist immer eine gute Idee.

Tipps und Schritte zur Verhinderung von DDoS-Angriffen in WordPress

Es gibt sogar einfachere Wege, egal welchen technischen Rang Sie besitzen. Alle diese Tipps und Schritte helfen Ihnen, die besten DDoS-Angriffe zu vermeiden. Bevor Sie irgendetwas tun, empfehlen wir, ein Backup Ihrer Website zu erstellen, um im Falle eines Fehlers darauf zurückgreifen zu können.

XML RPC ermöglicht Drittanbieter-Apps die Interaktion mit Ihrer Site. Anwendungen wie WordPress für Mobile verwenden XML RPC zur Verbindung. Wenn Sie also keine dieser Anwendungen verwenden, können Sie es einfach deaktivieren, um DDoS-Angriffe zu vermeiden. Es gibt zwei Möglichkeiten, XML-RPC zu deaktivieren.

  • Über die .htaccess-Methode

Deaktivieren Sie xmlrpc.php mit .htaccess: # Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>

  • Über ein Plugin

Wenn Sie XML RPC über ein Plugin deaktivieren möchten, können Sie eines dieser Plugins verwenden, um es zu deaktivieren:

Hinweis: Es gibt mehrere andere Plugins, die XML RPC deaktivieren können.

Die JSON Rest API wird verwendet, um Daten von WordPress-Sites zuzugreifen, zu aktualisieren, zu löschen usw. Um die JSON Rest API zu deaktivieren, können Sie Disable REST API. verwenden.

Auch wenn das Deaktivieren der XML RPC und REST API Ihre Site nur in begrenztem Maße schützt, ist es daher besser, eine WAF (Website Activation Firewall) zu installieren. Die Website Activation Firewall fungiert als Proxy zwischen Ihrer Website und dem Traffic. Sie blockiert alle unerwünschten Daten, bösartigen Inhalte und gefälschten IDs, die versuchen zu interagieren, und stoppt sie sogar, bevor sie den Server der Site erreichen. So funktioniert WAF auf Sucuri! WAF Es gibt zwei Arten der WAF-Implementierung

  1. Cloud-basiert (implementiert in der Hosting-Infrastruktur)
  2. Gehostet (in der Regel ein auf WordPress installiertes Plugin)

Von den beiden oben genannten empfehle ich cloud-basierte WAF, da sie Angriffe stoppt, bevor sie Ihren Server erreichen. Einige der WAF für WordPress

  1. Sucuri
  2. Wordfence
  3. Malcare
  4. Cloudflare
  5. StackPath
  6. Ninja Firewall
  7. Shield Security

Selbst wenn Sie alle Firewalls der Welt installieren oder alle Maßnahmen ergreifen, hilft es manchmal nicht. Sie müssen wissen, wie Ihre Site funktioniert, um auch die kleinsten Änderungen auf Ihrer Website zu bemerken, wenn DDoS-Angriffe gegen Ihre Site geschleudert werden.

Machen Sie es sich zur Gewohnheit, WordPress und Plugins ständig und zeitnah zu aktualisieren. Meistens kommen die WordPress-Kern-Updates und Plugins mit Sicherheitsverbesserungen, die Ihre Site sicherer machen als sie es war. Stellen Sie vor dem Aktualisieren sicher, ob das neue Update für andere Benutzer einwandfrei funktioniert. Manchmal beschädigen neue Updates einige Sites, die entweder die alte Version von PHP oder die alte Version von JQuery usw. verwenden. Zu aktualisierende Dinge:

  • WordPress-Kern
  • WordPress-Themes
  • WordPress-Plugins
  • PHP-Version
  • Apache-Server
  • Nginx-Server

Kontaktieren Sie Ihren Host und fragen Sie nach den empfohlenen Schritten, um DDoS-Angriffe zu vermeiden. Normalerweise hat jeder Host einige Richtlinien zur Verhinderung dieser Arten von Angriffen.

WordPress ist ein Segen, wenn es um Plugins geht, mit denen Sie all die Kreativität mit den Plugins ausleben können, aber gleichzeitig können sie auch eine Bedrohung für Ihre Site sein. Stattdessen kann ein Sicherheits-Plugin mit all diesen Plugins, die Ihre Site betreiben, bei den Sicherheitsaufgaben helfen. Einige Plugins halten die ständigen unbekannten Anmeldungen draußen und halten die Website sicher. Denken Sie daran, dass Sicherheits-Plugins auf WordPress installiert sind und Anfragen geprüft, blockiert werden, nachdem sie den Webserver erreicht haben. Aber der sichere Teil ist, sich mit dem Wissen darüber auseinanderzusetzen, welches Plugin wirklich authentisch und von der WordPress-Community empfohlen ist. Einige empfohlene Sicherheits-Plugins sind:

Hier ist ein Einblick in das Wordfence-Dashboard und wie es Ihre Site mit:

  • Firewall
  • Scan
Wordfence

CDN (Content Delivery Network) ist eine Gruppe von Servern, die über die ganze Welt verteilt sind, und es kann Ihnen helfen, den Überblick zu behalten und zusätzliche Sicherheitsschichten hinzuzufügen, was es zu einem sicheren Weg macht. Einige der CDNs, die DDoS-Angriffe verhindern, sind:

  1. Cloudflare
  2. Akamai
  3. StackPath

Cloudflare bietet kostenlosen Schutz vor DDoS-Angriffen. Wie man einen DDoS-Angriff auf einer WordPress-Website stoppt Obwohl diese Tipps jedes Mal hilfreich sind, müssen Sie besonders vorsichtig sein, wenn Sie ein Drittanbieter-Tool oder Plugin verwenden, um Ihre Site sicher zu halten. Das Schlimmste, was nach dem DDoS-Angriff passiert, ist der Verlust Ihres Site-Rankings und die Unfähigkeit, mit dem gleichen Tempo zu arbeiten, selbst nachdem Sie nach den Angriffen wieder Zugang zur Site erhalten haben.

Rene Hermenau

Autor: Rene Hermenau

Über den Autor: René Hermenau ist Gründer von WP STAGING. Er arbeitet an WordPress-Backups, Staging, Migrationen, Datenbankverarbeitung und sicheren Deployment-Workflows.