WordPress 是世界上最受欢迎的网站构建器之一,因为它提供了强大的功能和安全的代码库。但是,这并不能保护 WordPress 或任何其他软件免受 Internet 上常见的恶意 DDoS 攻击。
DDoS 攻击会减慢网站速度,最终使用户无法访问它们。这些攻击可以针对小型和大型网站。
现在,您可能想知道使用 WordPress 的小型企业网站如何在资源有限的情况下防止此类 DDoS 攻击?
在本指南中,我们将向您展示如何有效阻止和防止对 WordPress 的 DDoS 攻击。我们的目标是帮助您学习如何像专业人士一样管理您的网站安全以抵御 DDoS 攻击。
什么是 DDoS 攻击?
DDoS 攻击是分布式拒绝服务攻击的缩写,是一种网络攻击,它使用受感染的计算机和设备从WordPress 托管服务器发送或请求数据。这些请求的目的是减慢并最终使目标服务器崩溃。
DDoS 攻击是 DoS(拒绝服务)攻击的一种演变形式。与 DoS 攻击不同,它们利用分布在不同区域的多台受感染机器或服务器。
这些受感染的机器形成了一个网络,有时称为僵尸网络。每台受影响的机器都充当机器人并对目标系统或服务器发起攻击。
这使他们可以在一段时间内被忽视,并在被阻挡之前造成最大的伤害。
即使是最大的互联网公司也容易受到 DDoS 攻击。
2018 年,流行的代码托管平台 GitHub 见证了一次大规模的 DDoS 攻击,每秒向其服务器发送 1.3 TB 的流量。
您可能还记得臭名昭著的 2016 年对 DYN(DNS 服务提供商)的攻击。这次攻击获得了全球新闻报道,因为它影响了亚马逊、Netflix、PayPal、Visa、AirBnB、纽约时报、Reddit 和数千个其他网站等许多流行网站。
为什么会发生 DDoS 攻击?
DDoS 攻击背后有几个动机。以下是一些常见的:
技术娴熟的人,他们只是觉得无聊并喜欢冒险
试图提出政治观点的人和团体
针对特定国家或地区的网站和服务的群组
对特定业务或服务提供商进行有针对性的攻击,以对其造成金钱损失
勒索和收取赎金
蛮力攻击和 DDoS 攻击有什么区别?
蛮力攻击通常试图通过猜测密码或尝试随机组合来闯入系统以获得对系统的未经授权的访问。
DDoS 攻击纯粹用于简单地使目标系统崩溃,使其无法访问或减慢速度。
有关详细信息,请参阅我们的指南,了解如何通过分步说明阻止对 WordPress 的暴力攻击。
DDoS 攻击会造成哪些损害?
DDoS 攻击可以使网站无法访问或降低性能。这可能会导致糟糕的用户体验、业务损失,并且缓解攻击的成本可能高达数千美元。
以下是这些费用的明细:
由于网站无法访问而导致业务损失
回答服务中断相关查询的客户支持成本
通过雇用安全服务或支持来减轻攻击的成本
最大的代价是糟糕的用户体验和品牌声誉
如何阻止和防止对 WordPress 的 DDoS 攻击
DDoS 攻击可以巧妙地伪装并且难以应对。但是,通过一些基本的安全最佳实践,您可以防止并轻松阻止 DDoS 攻击影响您的 WordPress 网站。
以下是您需要采取的步骤来防止和阻止对您的 WordPress 网站的 DDoS 攻击。
删除 DDoS /蛮力攻击垂直
WordPress 最好的一点是它非常灵活。WordPress 允许第三方插件和工具集成到您的网站并添加新功能。
为此,WordPress 为程序员提供了几个 API。这些 API 是第三方 WordPress 插件和服务可以与 WordPress 交互的方法。
但是,其中一些 API 也可以通过发送大量请求在 DDoS 攻击期间被利用。您可以安全地禁用它们以减少这些请求。
在 WordPress 中禁用 XML RPC
XML-RPC 允许第三方应用程序与您的 WordPress 网站进行交互。例如,您需要 XML-RPC 才能在移动设备上使用WordPress 应用程序。
如果您像绝大多数不使用移动应用程序的用户一样,那么您只需将以下代码添加到您网站的.htaccess 文件中即可禁用 XML-RPC 。
# Block WordPress xmlrpc.php requests
有关替代方法,请参阅我们的指南,了解如何在 WordPress 中轻松禁用 XML-RPC。
在 WordPress 中禁用 REST API
WordPress JSON REST API 允许插件和工具访问 WordPress 数据、更新内容和/或什至删除它。这是在 WordPress 中禁用 REST API 的方法。
您需要做的第一件事是安装并激活禁用 WP Rest API插件。有关更多详细信息,请参阅我们关于如何安装 WordPress 插件的分步指南。
该插件开箱即用,它只会为所有未登录的用户禁用 REST API 。
激活 WAF(网站应用防火墙)
禁用 REST API 和 XML-RPC 等攻击向量只能提供有限的 DDoS 攻击保护。您的网站仍然容易受到正常 HTTP 请求的攻击。
虽然您可以通过尝试捕获不良机器 IP 并手动阻止它们来缓解小型 DOS 攻击,但这种方法在处理大型 DDoS 攻击时并不是很有效。
阻止可疑请求的最简单方法是激活网站应用程序防火墙。
网站应用程序防火墙充当您的网站和所有传入流量之间的代理。它使用智能算法来捕获所有可疑请求并在它们到达您的网站服务器之前将其阻止。
我们推荐使用Sucuri,因为它是最好的 WordPress 安全插件和网站防火墙。它在 DNS 级别上运行,这意味着他们可以在向您的网站发出请求之前捕获 DDoS 攻击。
Sucuri 的起价为每月 20 美元(每年支付)。
我们在 WPBeginner 上使用 Sucuri。请参阅我们的案例研究,了解它们如何帮助阻止对我们网站的数十万次攻击。
或者,您也可以使用Cloudflare。但是,Cloudflare 的免费服务仅提供有限的 DDoS 保护。您至少需要注册他们的第 7 层 DDoS 保护商业计划,每月费用约为 200 美元。
有关详细的并排比较,请参阅我们关于Sucuri 与 Cloudflare的文章。
注意:在应用程序级别运行的网站应用程序防火墙 (WAF) 在 DDoS 攻击期间效果较差。一旦流量已经到达您的网络服务器,它们就会阻止流量,因此它仍然会影响您的整体网站性能。
找出是暴力破解还是 DDoS 攻击
蛮力攻击和 DDoS 攻击都大量使用服务器资源,这意味着它们的症状看起来非常相似。您的网站会变慢并可能崩溃。
只需查看Sucuri插件的登录报告,您就可以轻松找出是暴力攻击还是 DDoS 攻击。
只需安装并激活免费的Sucuri插件,然后转到Sucuri 安全»上次登录页面。
如果您看到大量随机登录请求,那么这意味着您的 wp-admin 正受到暴力攻击。为了减轻它,您可以查看我们关于如何阻止 WordPress 中的暴力攻击的指南。
DDoS 攻击期间要做的事情
即使您有 Web 应用程序防火墙和其他保护措施,DDoS 攻击也可能发生。CloudFlare 和 Sucuri 等公司会定期处理这些攻击,而且大多数时候你永远不会听说它,因为它们可以轻松缓解它。
但是在某些情况下,当这些攻击很大时,它仍然会影响您。在这种情况下,最好准备好缓解 DDoS 攻击期间和之后可能出现的问题。
以下是您可以采取的一些措施来最大程度地减少 DDoS 攻击的影响。
1. 提醒你的团队成员
如果你有一个团队,那么你需要通知同事这个问题。这将帮助他们为客户支持查询做好准备,寻找可能的问题,并在攻击期间或之后提供帮助。
2.告知客户不便之处
DDoS 攻击可能会影响您网站上的用户体验。如果您经营WooCommerce商店,那么您的客户可能无法下订单或登录他们的帐户。
您可以通过您的社交媒体帐户宣布您的网站存在技术问题,一切都会很快恢复正常。
如果攻击规模很大,那么您还可以使用您的电子邮件营销服务与客户沟通,并要求他们关注您的社交媒体更新。
如果您有 VIP 客户,那么您可能希望使用您的商务电话服务拨打个人电话,并让他们知道您正在如何恢复服务。
在这些艰难时期,沟通对保持品牌声誉的影响很大。
3. 联系托管和安全支持
与您的 WordPress 托管服务提供商联系。您可能目睹的攻击可能是针对其系统的更大攻击的一部分。在这种情况下,他们将能够为您提供有关情况的最新更新。
联系您的防火墙服务,让他们知道您的网站受到 DDoS 攻击。他们可能能够更快地缓解这种情况,并可以为您提供更多信息。
在像Sucuri这样的防火墙提供商中,您还可以将设置设置为偏执模式,这有助于阻止大量请求并使普通用户可以访问您的网站。
保持您的 WordPress 网站安全
WordPress 开箱即用非常安全。然而,作为世界上最受欢迎的网站建设者,它经常成为黑客的目标。
幸运的是,您可以在您的网站上应用许多安全最佳实践,以使其更加安全。
我们为初学者编写了完整的分步 WordPress 安全指南。它将引导您完成最佳 WordPress 安全设置,以保护您的网站及其数据免受常见威胁。
我们希望本文能帮助您了解如何阻止和防止对 WordPress 的 DDoS 攻击。您可能还想查看我们关于最常见的 WordPress 错误以及如何修复它们的指南。