wordpress 是世界上最受歡迎的網站構建器之一,因為它提供了強大的功能和安全的代碼庫。然而,這使其成為 ddos 攻擊的目標。
黑客使用 DDoS 攻擊來降低網站速度并最終導致用戶無法訪問。這些攻擊可以針對小型和大型網站。
現在,您可能想知道使用 WordPress 的小型企業網站如何利用有限的資源來防止此類 DDoS 攻擊。
在本指南中,我們將向您展示如何有效阻止和預防對 WordPress 的 DDoS 攻擊。我們的目標是幫助您學習如何像專業人士一樣管理您的網站安全,抵御 DDoS 攻擊。
什么是 DDoS 攻擊?
DDoS(分布式拒絕服務)是一種網絡攻擊,它使用受感染的計算機和設備向WordPress 托管服務器發送或請求數據。這些請求的目的是減慢目標服務器的速度并最終使其崩潰。
DDoS 攻擊是從 DoS(拒絕服務)攻擊演變而來的。與 DoS 攻擊不同,它們利用分布在不同區域的許多受感染的計算機或服務器。
這些受感染的機器形成一個網絡,有時稱為僵尸網絡。每臺受影響的機器都充當機器人并對目標系統或服務器發起攻擊。這使得它們可以暫時不被注意,并在被阻擋之前造成最大的傷害。
即使是最大的互聯網公司也容易受到 DDoS 攻擊。
2018 年,流行的代碼托管平臺 gitHub 遭受了大規模 DDoS 攻擊,每秒向其服務器發送 1.3 TB 的流量。
您可能還記得 2016 年針對 DYN(DNS 服務提供商)的臭名昭著的攻擊。這次攻擊引起了全世界的新聞報道,因為它影響了許多流行網站,如 Amazon、Netflix、PayPal、Visa、airbnb、紐約時報、reddit 和數千個其他網站。
DDoS 常見問題解答
以下是有關 DDoS 攻擊的常見問題的一些解答。
為什么會發生 DDoS 攻擊?
DDoS 攻擊背后有多種動機。以下是一些常見的:
- 精通技術的人只是感到無聊,卻覺得這很冒險
- 提出政治觀點的人和團體
- 針對特定國家或地區的網站和服務的群組
- 針對特定企業或服務提供商的有針對性的攻擊,造成金錢損失
- 勒索以收取贖金
暴力攻擊和 DDoS 攻擊有什么區別?
暴力攻擊試圖通過猜測密碼或嘗試隨機組合來獲得對系統的未經授權的訪問。
DDoS 攻擊純粹用于使目標系統崩潰,使其變慢或無法訪問。
有關更多詳細信息,請參閱我們有關如何阻止 WordPress 暴力攻擊的指南。
DDoS 攻擊會造成什么損害?
DDoS 攻擊可能會降低網站的性能或使其無法訪問。這會導致糟糕的用戶體驗、業務損失以及緩解攻擊的成本可能高達數千美元。
以下是這些費用的明細:
- 由于網站無法訪問而造成業務損失
- 回答與服務中斷相關的查詢的客戶支持成本
- 通過雇用安全服務或支持來減輕攻擊的成本
- 最大的成本是糟糕的用戶體驗和品牌聲譽
如何阻止和防止 WordPress 中的 DDoS 攻擊?
DDoS 攻擊可以巧妙地偽裝并且難以應對。但是,通過一些基本的安全最佳實踐,您可以防止并輕松阻止 DDoS 攻擊影響您的WordPress 網站。
以下是您需要采取的預防和阻止網站 DDoS 攻擊的步驟:
- 消除 DDoS/暴力攻擊垂直領域
- 激活WAF(網站應用程序防火墻)
- 識別是暴力攻擊還是 DDoS 攻擊
- 遭受 DDoS 攻擊時該怎么辦
- 如何保證您的 WordPress 網站安全
消除 DDoS/暴力攻擊垂直領域
WordPress 的最大優點是它非常靈活。WordPress 允許第三方插件和工具集成到您的網站并添加新功能。
為此,WordPress 為程序員提供了多個 API。這些 API 是第三方 WordPress 插件和服務與 WordPress 交互的方法。
然而,其中一些 API 也可能在 DDoS 攻擊期間通過發送大量請求而被利用。您可以安全地禁用它們以減少這些請求。
XML-RPC 允許第三方應用程序與您的 WordPress 網站交互。例如,您需要 XML-RPC 才能在移動設備上使用WordPress 應用程序。
如果您像絕大多數不使用移動應用程序來運行網站的用戶一樣,那么您只需將以下代碼添加到網站的.htaccess 文件即可禁用 XML-RPC :
禁用 REST API 和 XML-RPC 等攻擊媒介只能提供有限的針對 DDoS 攻擊的保護。您的網站仍然容易受到普通 http 請求的影響。
雖然您可以通過嘗試捕獲不良計算機 IP 并手動阻止它們來緩解小型 DDoS 攻擊,但這種方法在處理大型攻擊時效果較差。
阻止可疑請求的最簡單方法是激活網站應用程序防火墻。
網站應用程序防火墻充當您的網站和所有傳入流量之間的代理。它使用智能算法來捕獲所有可疑請求并在它們到達您的網站服務器之前阻止它們。
我們推薦使用Sucuri,因為它是最好的 WordPress 安全插件和網站防火墻。它在 DNS 級別上運行,這意味著它可以在向您的網站發出請求之前捕獲 DDoS 攻擊。
Sucuri 的定價為每年 199.99 美元起。
我們在 WPBeginner 上使用 Sucuri。請參閱我們的案例研究,了解它們如何幫助阻止我們網站上的數十萬次攻擊。
或者,您可以使用Cloudflare。然而,Cloudflare 的免費服務僅提供有限的 DDoS 保護。您至少需要注冊他們的第 7 層 DDoS 保護業務計劃,每月費用約為 200 美元。
請參閱我們關于Sucuri 與 Cloudflare 的文章,了解詳細的并排比較。
注意:在應用程序級別運行的網站應用程序防火墻 (WAF) 在 DDoS 攻擊期間效果較差。一旦流量到達您的網絡服務器,它們就會阻止流量,因此它仍然會影響您的整體網站性能。
識別是暴力攻擊還是 DDoS 攻擊
暴力破解和 DDoS 攻擊都會大量使用服務器資源,這意味著它們的癥狀看起來非常相似。您的網站會變慢并且可能崩潰。
通過查看 Sucuri 插件的登錄報告,您可以輕松判斷是暴力攻擊還是 DDoS 攻擊。
只需安裝并激活免費的Sucuri插件,然后轉到Sucuri安全 ? 上次登錄頁面。
如果您看到大量隨機登錄請求,那么這意味著您的 wp-admin 受到了暴力攻擊。要阻止它,您可以參閱我們有關如何阻止 WordPress 中的暴力攻擊的指南。
遭受 DDoS 攻擊時該怎么辦
即使您有 Web 應用程序防火墻和其他保護措施,DDoS 攻擊也可能發生。CloudFlare 和 Sucuri 等公司會定期處理這些攻擊,大多數時候,您永遠不會聽說它們,因為它們可以輕松緩解這些攻擊。
然而,在某些情況下,當這些攻擊規模較大時,它們仍然會對您產生影響。在這種情況下,最好做好準備,緩解 DDoS 攻擊期間和之后可能出現的問題。
以下是您可以采取的一些措施,以最大限度地減少 DDoS 攻擊的影響。
1.提醒你的團隊成員
如果您有團隊,那么您需要將該問題告知同事。
這將幫助他們為客戶支持查詢做好準備,查找可能的問題,并在攻擊期間或之后提供幫助。
2. 告知客戶不便之處
DDoS 攻擊可能會影響您網站上的用戶體驗。如果您經營 WooCommerce 商店,那么您的客戶可能無法下訂單或登錄他們的帳戶。
您可以通過社交媒體帳戶宣布您的網站遇到技術困難,一切很快就會恢復正常。
如果攻擊規模較大,那么您還可以使用電子郵件營銷服務與客戶溝通,并要求他們關注您的社交媒體更新。
如果您有 VIP 客戶,那么您可能需要使用商務電話服務撥打個人電話,讓他??們知道您正在如何努力恢復服務。
在這些困難時期的溝通對于保持品牌的良好聲譽有著巨大的作用。
3.聯系托管和安全支持
與您的 WordPress 托管提供商聯系。對您網站的攻擊可能是針對其系統的更大規模攻擊的一部分。在這種情況下,他們將能夠向您提供有關情況的最新更新。
聯系您的防火墻服務并讓他們知道您的網站受到 DDoS 攻擊。他們也許能夠更快地緩解情況并為您提供更多信息。
使用Sucuri等防火墻提供商,您還可以將設置設置為“偏執模式”,這有助于阻止大量請求并使普通用戶可以訪問您的網站。
如何保證您的 WordPress 網站安全
WordPress 開箱即用非常安全。然而,作為世界上最受歡迎的網站建設者,它經常成為黑客的攻擊目標。
幸運的是,您可以將許多安全最佳實踐應用于您的網站,以使其更加安全。
我們為初學者編寫了完整的分步WordPress 安全指南。它將引導您完成最佳的 WordPress 安全設置,以保護您的網站及其數據免受常見威脅。
我們希望本文能幫助您了解如何阻止和防止 WordPress 上的 DDoS 攻擊。您可能還想查看我們關于如何修復最常見 WordPress 錯誤的指南以及我們專家精選的最佳WordPress 托管提供商。
