WordPress jest najczęściej używanym i najpopularniejszym Systemem Zarządzania Treścią. Główny system WordPress jest bardzo bezpieczny i niezawodny, a wiele popularnych witryn jest na nim zbudowanych. Jego elastyczny system wtyczek może rozszerzyć niemal każdą możliwą funkcję do rdzenia.
Ale nieważne, jak solidna jest twoja struktura, są intruzi, którzy próbują atakować twoje witryny, rozpoczynając ataki DDoS.
Naucz się, jak powstrzymać atak DDoS przed obaleniem twojej witryny.
Czym są ataki DDoS?
Atak distributed denial-of-service (DDoS) to osoba trzecia zakłócająca ruch w twojej witrynie, wysyłając wiele zbędnych żądań
Contents
Nieważne, kim jesteś, ataki DDoS mogą być wycelowane wszędzie, gdzie jest luka w zabezpieczeniach.
Przeczytaj kompletny przewodnik, jak zabezpieczyć swoją witrynę WordPress przed hakerami za pomocą zaawansowanych opcji.
Tutaj poprowadzimy cię z najmniejszymi szczegółami, aby utrzymać wszystkie zagrożenia atakami DDoS z daleka!
Co to jest DDoS?
DDoS, skrót od Distributed Denial of Service, to atak na twoją witrynę, który wysyła wiele zbędnych żądań do twojej witryny z różnych źródeł, aby przeciążyć system. Jego celem jest spowolnienie czasów odpowiedzi witryny, aż nie będzie ona już dostępna dla legalnych żądań do realizacji.
Gdy te ataki są skuteczne, intruzi mogą wstrzyknąć kawałek kodu do twojej witryny i ostatecznie ją zhakować.
Żądania są wysyłane z innych witryn (WordPress) i hostów, które zostały skompromitowane przez złośliwe oprogramowanie. Te witryny są używane jako medium do ataku.
Sprawia to, że serwer twojej witryny jest zajęty wszystkimi tymi żądaniami i ostatecznie przestaje odpowiadać w pewnym momencie, uniemożliwiając ci odzyskanie witryny.
Ataki są wycelowane przez różne urządzenia, co sprawia, że pozostają niezauważone, co czyni atak jeszcze łatwiejszym do udanego przeprowadzenia.
Jeśli myślisz, że twoja witryna jest bezpieczna, pomyśl jeszcze raz, ponieważ bardziej wybitne firmy, takie jak Amazon, DreamHost i PayPal, również były ofiarami cztery lata temu.
Wyobraź sobie stratę po ich stronie. Dlatego zapobieganie jest lepsze niż mierzenie się z konsekwencjami.
Jakie są powody stojące za atakami DDoS?
Są to liczne powody, dla których atakujący rozpoczynają ataki DDoS:
- Okup: zbieranie pieniędzy podczas trzymania twojej witryny jako zakładnika to jeden z tych powodów.
- Atakujący znajdują przyjemność i robią to dla zabawy.
- Ludzie, którzy lubią atakować konkretną grupę osób.
- Konkurencja: Konkurent chce wyrządzić ci szkody finansowe, może wynająć kogoś lub sam zaatakować twoją witrynę.
Co to jest atak BruteForce?
Hakerzy próbują się zalogować, zgadując różne kombinacje nazwy użytkownika i hasła. Gdy uzyskają dostęp, mogą dodać złośliwy kod do twojej witryny. Pamiętaj, ataki BruteForce i DDoS są w pewien sposób różne.
Rodzaje ataków DDoS
Istnieje wiele rodzajów ataków DDoS, ale najbardziej rozpowszechnione są następujące:
To najczęstszy typ ataku DDoS, który oznacza zalanie witryny bezsensownymi żądaniami, co z kolei spowalnia witrynę lub jednocześnie skutkuje całkowitym wyłączeniem witryny.
Atakujący nie usuwają witryny całkowicie, ale spowalniają ją stałymi atakami.
Wszystkie te ataki wymagają czasu i wysiłku, ale ten szczególnie wymaga więcej niż tylko ataków. Intruzi dokładnie szukają, aby znaleźć słabe punkty, i tutaj wszystko idzie na marne z twojej strony. Gdy atakujący znajdą twoje słabe miejsca, sadzą swój kawałek kodu, który sprawia, że twoja witryna kończy w gorszych warunkach.
Ten całkowicie wykorzystuje serwer i powoduje awarię witryny, pozostawiając ją bezużyteczną.
Jakie szczególne szkody mogą być spowodowane atakami DDoS?
Jak wyjaśniono powyżej, ataki DDoS kończą się spowolnieniem twojej witryny, zmniejszeniem wydajności prędkości i ogólnego czasu ładowania. Wszystkie szkody spowodowane atakami DDoS należą ostatecznie do ciebie, czy są one pieniężne, czy nie. Poniżej znajdują się pewne szkody, które mogą być spowodowane atakami DDoS:
- Możesz stracić kilka zamówień na witrynie eCommerce.
- Skutki nieodpowiadania na pytania klientów, kosztujące cię całą ciężką pracę, którą włożyłeś w swoją witrynę do tej pory
- Ciężar wynajęcia bezpieczeństwa i sprzętu. Podczas gdy sprowadzanie nowych ludzi i wyjaśnianie im, jak zapewnić dokładność procesu, będzie cię kosztować mnóstwo czasu i pieniędzy dla rekrutów, niezależnie od tego, czy są to ludzie, czy urządzenia.
- W końcu satysfakcja użytkownika ma zawieść. Niespodziewana niedostępność skończy się utratą twoich rankingów SEO (Search Engine Optimization), a także klienci napotykający na błąd przekroczenia limitu czasu serwera lub połączenia to najgorszy scenariusz. Jeśli twoja witryna zostanie trafiona dużym DDoS i upadnie, twoi użytkownicy mogą otrzymać taką wiadomość:
Jak powstrzymać atak DDoS na witrynie WordPress?
WordPress pozwala każdemu budować witryny bez żadnej wiedzy technicznej, ale może to spowodować utratę witryn na rzecz tych ataków DDoS. Jako początkujący, może to być wiele do strawienia i zrozumienia, co i jak działają ataki DDoS i jak możesz ich uniknąć, ale posiadanie odrobiny wiedzy, aby rozpoznać słabe części, jest zawsze dobrym pomysłem.
Wskazówki i kroki, aby zapobiec atakom DDoS w WordPress
Istnieją jeszcze łatwiejsze sposoby bez względu na to, jaki poziom techniczny posiadasz. Wszystkie te wskazówki i kroki pomogą ci uniknąć najlepszych ataków DDoS. Zanim cokolwiek zrobisz, polecamy wykonanie kopii zapasowej twojej witryny aby cofnąć w przypadku jakiegokolwiek błędu.
XML RPC pozwala aplikacjom innych firm na interakcję z twoją witryną. Aplikacje takie jak WordPress dla urządzeń mobilnych używają XML RPC do połączenia. Tak więc, jeśli nie używasz żadnej z tych aplikacji, możesz łatwo je wyłączyć, aby uniknąć ataków DDoS. Istnieją dwa sposoby wyłączenia XML-RPC.
- Metoda za pomocą .htaccess
Wyłącz xmlrpc.php za pomocą .htaccess:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
- Za pomocą wtyczki
Jeśli chcesz wyłączyć XML RPC za pomocą wtyczki, możesz użyć jednej z tych wtyczek, aby ją wyłączyć:
Uwaga: Istnieje kilka innych dostępnych wtyczek, które mogą wyłączyć XML RPC.
JSON Rest API jest używane do uzyskiwania dostępu, aktualizowania, usuwania itp. danych z witryn WordPress. Aby wyłączyć JSON Rest API, możesz użyć Disable REST API.
Mimo że wyłączenie XML RPC i REST API sprawia, że twoja witryna jest chroniona na ograniczonym poziomie, lepiej jest zainstalować WAF (Website Activation Firewall).
Website Activation Firewall działa jako proxy między twoją witryną a ruchem. Blokuje wszystkie niechciane dane, złośliwe treści i fałszywe ID, które próbują wchodzić w interakcję, zatrzymując je nawet przed dotarciem do serwera witryny.
Oto jak WAF działa na Sucuri!
Istnieją dwa rodzaje implementacji WAF
- Oparte na chmurze (zaimplementowane w infrastrukturze hostingu)
- Hostowane (zwykle wtyczka zainstalowana na WordPress)
Spośród dwóch powyższych polecam WAF oparte na chmurze, ponieważ zatrzymują ataki, zanim dotrą do twojego serwera. Niektóre z WAF dla WordPress
Nawet zainstalowanie wszystkich firewalli świata lub podjęcie wszystkich środków czasami ci nie pomoże. Musisz wiedzieć, jak działa twoja witryna, aby zauważyć jakiekolwiek nieznaczne zmiany w swojej witrynie, gdy ataki DDoS są wymierzone w twoją witrynę.
Zrób z tego nawyk, aby stale i niezwłocznie aktualizować swoje WordPress i wtyczki. Przez większość czasu aktualizacje rdzenia WordPress i wtyczek przychodzą z ulepszeniami bezpieczeństwa, które czynią twoją witrynę bezpieczniejszą niż była. Przed aktualizacją upewnij się, że nowa aktualizacja działa dobrze dla innych użytkowników. Czasami nowe aktualizacje psują niektóre witryny, które używają starej wersji PHP lub starej wersji JQuery itp. Rzeczy do aktualizacji:
- Rdzeń WordPress
- Motywy WordPress
- Wtyczki WordPress
- Wersja PHP
- Serwer Apache
- Serwer Nginx
Skontaktuj się ze swoim hostem i zapytaj o zalecane kroki, aby uniknąć ataków DDoS. Zwykle każdy host ma pewne wytyczne dotyczące zapobiegania tego typu atakom.
WordPress jest błogosławieństwem, jeśli chodzi o wtyczki, pozwalające na całą kreatywność z wtyczkami, ale jednocześnie mogą one stanowić zagrożenie dla twojej witryny. Zamiast tego, ze wszystkimi tymi wtyczkami działającymi na twojej witrynie, posiadanie wtyczki bezpieczeństwa może pomóc w kwestiach bezpieczeństwa. Niektóre wtyczki trzymają z dala stałe nieznane logowania i utrzymują witrynę bezpieczną. Pamiętaj, wtyczki bezpieczeństwa są zainstalowane na WordPress, a żądania są sprawdzane, blokowane po dotarciu do serwera sieciowego. Ale bezpieczna część to utrzymywanie wiedzy o tym, która wtyczka jest naprawdę autentyczna i polecana przez społeczność WordPress. Niektóre zalecane wtyczki bezpieczeństwa to:
- Wordfence Security – Firewall & Malware Scan
- iThemes Security (formerly Better WP Security)
- Shield Security: Protection with Smarter Automation
Oto rzut oka na pulpit nawigacyjny Wordfence i jak chroni twoją witrynę za pomocą:
- Firewall
- Scan
CDN (Content Delivery Network) to grupa serwerów rozmieszczonych na całym świecie i może pomóc ci śledzić i dodać dodatkowe warstwy bezpieczeństwa, czyniąc go bezpieczną ścieżką do przepływu. Niektóre z CDN, które zapobiegają atakom DDoS to:
Cloudflare zapewnia bezpłatną ochronę przed atakami DDoS.
Mimo że te wskazówki są przydatne za każdym razem, musisz być bardzo ostrożny, używając jakiegokolwiek narzędzia lub wtyczki strony trzeciej, aby utrzymać swoją witrynę w bezpieczeństwie.
Najgorsze, co dzieje się po ataku DDoS, to utrata twojego rankingu witryny i niemożność pracy w tym samym tempie nawet po odzyskaniu dostępu do witryny po atakach.
