WordPressウェブサイトでDDoS攻撃を止める方法

WordPressは最も使用されている人気のあるコンテンツ管理システムです。WordPressコアシステムは非常に安全で信頼性が高く、多くの人気のあるウェブサイトがその上に構築されています。柔軟なプラグインシステムは、ほぼすべての可能な機能をコアに拡張できます。 WordPressウェブサイトでのDDoS攻撃を止める方法 しかし、あなたの構造がどれほど堅牢であっても、DDoS攻撃を開始してサイトを攻撃しようとする侵入者がいます。 DDoS攻撃があなたのウェブサイトをダウンさせないようにする方法を学びましょう。

DDoS攻撃とは何ですか?

分散型サービス拒否(DDoS)攻撃とは、第三者が複数の余分なリクエストを送信することによってサイトトラフィックを妨害することです

2017年に、大手ウェブホスターのDreamHostでさえも大規模なDDoS攻撃に直面しました。 DreamHost DDoS攻撃 あなたが誰であっても、セキュリティに抜け穴があれば、DDoS攻撃はどこにでも狙われる可能性があります。

ハッカーからWordPressウェブサイトを保護するための完全ガイドを高度なオプションで読みましょう。

ここでは、DDoS攻撃のあらゆる脅威を遠ざけるために、最小の詳細でご案内します!

DDoSとは何ですか?

DDoSは、Distributed Denial of Serviceの略で、システムを過負荷にするために、異なるソースからあなたのウェブサイトに複数の余分なリクエストを送信するサイトへの攻撃です。その目標は、ウェブサイトの応答時間を遅くし、正当なリクエストが満たされるためにそれが到達できなくなるまで遅らせることです。 これらの攻撃が成功すると、侵入者はサイトにコードを注入し、最終的にハッキングすることができます。 WordPressウェブサイトでのDDoS攻撃を止める方法 リクエストは、マルウェアで構成された他の(WordPress)サイトとホストから送信されます。これらのサイトは攻撃の手段として使用されます。 これらのすべてのリクエストでサイトのサーバーを忙しくし、最終的にある時点で応答を停止し、サイトを回復することを不可能にします。 攻撃は異なるデバイスを通じて行われ、気づかれずに進み、攻撃を成功させることをさらに容易にします。 あなたのサイトが安全だと思うなら、もう一度考えてみてください。AmazonDreamHostPayPalなどのより目立つ企業も4年前に被害者になっています。 彼らの側の損失を想像してください。だから予防は事態を直面するよりも良いのです。

DDoS攻撃の背後にある理由は何ですか?

これらは攻撃者がDDoS攻撃を開始する複数の理由です:

  • 身代金:あなたのサイトを人質に取りながらお金を集めるのはそれらの理由の一つです。
  • 攻撃者は楽しみを見つけて、面白半分でそれを行います。
  • 特定のグループの人々を攻撃したい人。
  • 競争:競合相手があなたに金銭的損害を与えたいと思っており、誰かを雇うか、自分でサイトを攻撃することができます。

BruteForce攻撃とは何ですか?

ハッカーは、異なる組み合わせのユーザー名とパスワードを推測することによってログインしようとします。アクセスを得ると、サイトに悪意のあるコードを追加できます。 覚えておいてください、BruteForceとDDoS攻撃は何らかの形で異なります

DDoS攻撃の種類

DDoS攻撃にはさまざまな種類がありますが、広く普及しているものは次のとおりです:

これは最も一般的なタイプのDDoS攻撃で、ナンセンスなリクエストでサイトを溢れさせることを意味し、その結果、ウェブサイトを遅くするか、ウェブサイトの完全なシャットダウンを同時にもたらします。

攻撃者はサイトを完全に倒すのではなく、絶え間ない攻撃で遅くします。

これらの攻撃はすべて時間と労力を要しますが、これは特に攻撃以上のものを要求します。 侵入者は弱点を見つけるために徹底的に検索し、ここがすべて無駄になる場所です。攻撃者があなたの弱点を見つけると、コードを植え付け、サイトをより悪い状態に陥らせます。

これはサーバーを完全に悪用し、サイトをクラッシュさせ、使えなくします。

DDoS攻撃によってどのような特定の損害が発生する可能性がありますか?

上記で説明したように、DDoS攻撃はサイトを遅くし、速度パフォーマンスと全体的な読み込み時間を低下させます。DDoS攻撃によって引き起こされるすべての損害は、最終的にはあなたに属し、金銭的であるかどうかにかかわらず。以下はDDoS攻撃によって引き起こされる可能性のある特定の損害です:

  • eCommerceサイトでいくつかの注文を失う可能性があります。
  • 顧客の問い合わせに応答しない後遺症は、これまでにサイトに費やしたすべての努力を費やすことになります。
  • セキュリティとハードウェアを雇う負担。新しい人々を連れてきて、バンドワゴンが正確であることを保証する方法を説明することは、新規採用者、人または機器のために、多くの時間とお金を費やすことになります。
  • 最終的に、ユーザー満足度は失敗する予定です。予期しない非可用性は、SEO(Search Engine Optimization)ランキングを失うことになり、サーバーまたは接続タイムアウトエラーに直面する顧客は最悪のシナリオです。あなたのサイトが大きなDDoSに打撃を受けて落ちた場合、ユーザーはこのようなメッセージを受け取る可能性があります:

WordPressウェブサイトでのDDoS攻撃

WordPressウェブサイトでのDDoS攻撃を止める方法は?

WordPressは技術的な知識なしに誰もがウェブサイトを構築できるようにしますが、これによりこれらのDDoS攻撃にサイトを失う可能性があります。 初心者として、DDoS攻撃が何であり、どのように機能し、どのように避けることができるかを消化して理解するのは多くのことかもしれませんが、弱い部分を認識するための知識を少し持つことは常に良い考えです。

WordPressでDDoS攻撃を防ぐためのヒントと手順

あなたが持っている技術性のランクに関係なく、さらに簡単な方法があります。これらすべてのヒントと手順は、DDoS攻撃の最高のものを避けるのに役立ちます。 何かをする前に、間違いがあった場合に戻るために、あなたのウェブサイトのバックアップを取ることをお勧めします。

XML RPCはサードパーティのアプリがサイトと対話することを可能にします。モバイル用のWordPressのようなアプリケーションは接続にXML RPCを使用します。したがって、これらのアプリケーションのいずれも使用していない場合は、簡単に無効にしてDDoS攻撃を回避できます。 XML-RPCを無効にする方法は2つあります。

  • .htaccess方法経由

.htaccessを使用してxmlrpc.phpを無効にします: # Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>

  • プラグイン経由

プラグインを介してXML RPCを無効にしたい場合は、これらのプラグインのいずれかを使用して無効にすることができます:

注:XML RPCを無効にできる他のいくつかのプラグインがあります。

JSON Rest APIは、WordPressサイトからデータにアクセスしたり、更新したり、削除したりするために使用されます。JSON Rest APIを無効にするには、Disable REST API.を使用できます。

XML RPCREST APIを無効にすることで、サイトは限定的なレベルで保護されますが、WAF(Website Activation Firewall)をインストールする方が良いです。 Website Activation Firewallは、ウェブサイトとトラフィックの間のプロキシとして機能します。すべての不要なデータ、悪意のあるコンテンツ、対話を試みる偽のIDをブロックし、サイトのサーバーに到達する前に停止します。 SucuriでのWAFの動作はこちらです! waf WAFの実装には2種類あります

  1. クラウドベース(ホスティングインフラストラクチャに実装)
  2. ホスト型(通常、WordPressにインストールされているプラグイン)

上記の2つの中で、サーバーに到達する前に攻撃を停止するため、クラウドベースのWAFをお勧めします。 WordPress用のWAFの一部

  1. Sucuri
  2. Wordfence
  3. Malcare
  4. Cloudflare
  5. StackPath
  6. Ninja Firewall
  7. Shield Security

世界中のすべてのファイアウォールをインストールしたり、すべての対策を講じたりしても、時には役立たないことがあります。 DDoS攻撃がサイトに対して投げかけられている時に、ウェブサイトの少しの変化に気づくために、サイトの動作方法を知る必要があります。

WordPressとプラグインを継続的かつ迅速にアップデートする習慣をつけましょう。ほとんどの場合、WordPressコアアップデートとプラグインには、サイトを以前よりも安全にするセキュリティ強化が含まれています。 アップデートする前に、新しいアップデートが他のユーザーに対して問題なく動作しているかを確認してください。時には新しいアップデートが、古いバージョンのPHPまたは古いバージョンのJQueryなどを使用している一部のサイトを破壊することがあります。 アップデートするもの:

  • WordPressコア
  • WordPressテーマ
  • WordPressプラグイン
  • PHPバージョン
  • Apacheサーバー
  • Nginxサーバー

ホストに連絡し、DDoS攻撃を避けるために推奨される手順を尋ねてください。通常、各ホストにはこれらの種類の攻撃を防ぐためのガイドラインがあります。

WordPressはプラグインに関しては祝福であり、プラグインですべての創造性を発揮することを可能にしますが、同時にサイトへの脅威となる可能性があります。 代わりに、サイトを実行しているすべてのプラグインで、セキュリティプラグインを持つことはセキュリティの問題に役立つことがあります。一部のプラグインは、常に未知のログインを締め出し、ウェブサイトを安全に保ちます。 覚えておいてください、セキュリティプラグインはWordPressにインストールされており、リクエストはチェックされ、ウェブサーバーに到達した後にブロックされます。 しかし、安全な部分は、どのプラグインが本当に本物でWordPressコミュニティによって推奨されているかについての知識を保つことです。 いくつかの推奨されるセキュリティプラグインは:

Wordfenceダッシュボードのちょっとした概観と、それがサイトを保護する方法は次のとおりです:

  • Firewall
  • Scan
wordfence

CDN(Content Delivery Network)は世界中に分散したサーバーのグループであり、追跡を維持し、追加のセキュリティレイヤーを追加して安全なフロー経路にするのに役立ちます。 DDoS攻撃を防ぐCDNの一部は次のとおりです:

  1. Cloudflare
  2. Akamai
  3. StackPath

CloudflareはDDoS攻撃に対する無料保護を提供します。 WordPressウェブサイトでのDDoS攻撃を止める方法 これらのヒントが毎回役立つとはいえ、サイトを安全に保つために、サードパーティのツールやプラグインを使用するときは、特に注意する必要があります。 DDoS攻撃の後に起こる最悪のことは、サイトのランキングを失い、攻撃後にサイトへのアクセスを取り戻した後でも、同じペースで作業できなくなることです。

Rene Hermenau

著者: Rene Hermenau

著者について: René Hermenau は WP STAGING の創設者です。WordPress のバックアップ、ステージング、移行、データベース処理、安全なデプロイメントワークフローに取り組んでいます。