wordpress是世界上最受欢迎的网站构建器之一,因为它提供了强大的功能和安全的代码库。然而,这使其成为ddos攻击的目标。
黑客使用DDoS攻击来降低网站速度并最终导致用户无法访问。这些攻击可以针对小型和大型网站。
现在,您可能想知道使用WordPress的小型企业网站如何利用有限的资源来防止此类DDoS攻击。
在本指南中,我们将向您展示如何有效阻止和预防对WordPress的DDoS攻击。我们的目标是帮助您学习如何像专业人士一样管理您的网站安全,抵御DDoS攻击。
什么是DDoS攻击?
DDoS(分布式拒绝服务)是一种网络攻击,它使用受感染的计算机和设备向WordPress托管服务器发送或请求数据。这些请求的目的是减慢目标服务器的速度并最终使其崩溃。
DDoS攻击是从DoS(拒绝服务)攻击演变而来的。与DoS攻击不同,它们利用分布在不同区域的许多受感染的计算机或服务器。
这些受感染的机器形成一个网络,有时称为僵尸网络。每台受影响的机器都充当机器人并对目标系统或服务器发起攻击。这使得它们可以暂时不被注意,并在被阻挡之前造成最大的伤害。
即使是最大的互联网公司也容易受到DDoS攻击。
2018年,流行的代码托管平台GitHub遭受了大规模DDoS攻击,每秒向其服务器发送1.3TB的流量。
您可能还记得2016年针对DYN(DNS服务提供商)的臭名昭著的攻击。这次攻击引起了全世界的新闻报道,因为它影响了许多流行网站,如Amazon、Netflix、PayPal、Visa、Airbnb、纽约时报、Reddit和数千个其他网站。
DDoS常见问题解答
以下是有关DDoS攻击的常见问题的一些解答。
为什么会发生DDoS攻击?
DDoS攻击背后有多种动机。以下是一些常见的:
- 精通技术的人只是感到无聊,却觉得这很冒险
- 提出政治观点的人和团体
- 针对特定国家或地区的网站和服务的群组
- 针对特定企业或服务提供商的有针对性的攻击,造成金钱损失
- 勒索以收取赎金
暴力攻击和DDoS攻击有什么区别?
暴力攻击试图通过猜测密码或尝试随机组合来获得对系统的未经授权的访问。
DDoS攻击纯粹用于使目标系统崩溃,使其变慢或无法访问。
有关更多详细信息,请参阅我们有关如何阻止WordPress暴力攻击的指南。
DDoS攻击会造成什么损害?
DDoS攻击可能会降低网站的性能或使其无法访问。这会导致糟糕的用户体验、业务损失以及缓解攻击的成本可能高达数千美元。
以下是这些费用的明细:
- 由于网站无法访问而造成业务损失
- 回答与服务中断相关的查询的客户支持成本
- 通过雇用安全服务或支持来减轻攻击的成本
- 最大的成本是糟糕的用户体验和品牌声誉
如何阻止和防止WordPress中的DDoS攻击?
DDoS攻击可以巧妙地伪装并且难以应对。但是,通过一些基本的安全最佳实践,您可以防止并轻松阻止DDoS攻击影响您的WordPress网站。
以下是您需要采取的预防和阻止网站DDoS攻击的步骤:
- 消除DDoS/暴力攻击垂直领域
- 激活WAF(网站应用程序防火墙)
- 识别是暴力攻击还是DDoS攻击
- 遭受DDoS攻击时该怎么办
- 如何保证您的WordPress网站安全
消除DDoS/暴力攻击垂直领域
WordPress的最大优点是它非常灵活。WordPress允许第三方插件和工具集成到您的网站并添加新功能。
为此,WordPress为程序员提供了多个API。这些API是第三方WordPress插件和服务与WordPress交互的方法。
然而,其中一些API也可能在DDoS攻击期间通过发送大量请求而被利用。您可以安全地禁用它们以减少这些请求。
在WordPress中禁用XMLRPC
XML-RPC允许第三方应用程序与您的WordPress网站交互。例如,您需要XML-RPC才能在移动设备上使用WordPress应用程序。
如果您像绝大多数不使用移动应用程序来运行网站的用户一样,那么您只需将以下代码添加到网站的.htaccess文件即可禁用XML-RPC:
禁用RESTAPI和XML-RPC等攻击媒介只能提供有限的针对DDoS攻击的保护。您的网站仍然容易受到普通HTTP请求的影响。
虽然您可以通过尝试捕获不良计算机IP并手动阻止它们来缓解小型DDoS攻击,但这种方法在处理大型攻击时效果较差。
阻止可疑请求的最简单方法是激活网站应用程序防火墙。
网站应用程序防火墙充当您的网站和所有传入流量之间的代理。它使用智能算法来捕获所有可疑请求并在它们到达您的网站服务器之前阻止它们。
我们推荐使用Sucuri,因为它是最好的WordPress安全插件和网站防火墙。它在DNS级别上运行,这意味着它可以在向您的网站发出请求之前捕获DDoS攻击。
Sucuri的定价为每年199.99美元起。
我们在WPBeginner上使用Sucuri。请参阅我们的案例研究,了解它们如何帮助阻止我们网站上的数十万次攻击。
或者,您可以使用Cloudflare。然而,Cloudflare的免费服务仅提供有限的DDoS保护。您至少需要注册他们的第7层DDoS保护业务计划,每月费用约为200美元。
请参阅我们关于Sucuri与Cloudflare的文章,了解详细的并排比较。
注意:在应用程序级别运行的网站应用程序防火墙(WAF)在DDoS攻击期间效果较差。一旦流量到达您的网络服务器,它们就会阻止流量,因此它仍然会影响您的整体网站性能。
识别是暴力攻击还是DDoS攻击
暴力破解和DDoS攻击都会大量使用服务器资源,这意味着它们的症状看起来非常相似。您的网站会变慢并且可能崩溃。
通过查看Sucuri插件的登录报告,您可以轻松判断是暴力攻击还是DDoS攻击。
只需安装并激活免费的Sucuri插件,然后转到Sucuri安全»上次登录页面。
如果您看到大量随机登录请求,那么这意味着您的wp-admin受到了暴力攻击。要阻止它,您可以参阅我们有关如何阻止WordPress中的暴力攻击的指南。
遭受DDoS攻击时该怎么办
即使您有Web应用程序防火墙和其他保护措施,DDoS攻击也可能发生。CloudFlare和Sucuri等公司会定期处理这些攻击,大多数时候,您永远不会听说它们,因为它们可以轻松缓解这些攻击。
然而,在某些情况下,当这些攻击规模较大时,它们仍然会对您产生影响。在这种情况下,最好做好准备,缓解DDoS攻击期间和之后可能出现的问题。
以下是您可以采取的一些措施,以最大限度地减少DDoS攻击的影响。
1.提醒你的团队成员
如果您有团队,那么您需要将该问题告知同事。
这将帮助他们为客户支持查询做好准备,查找可能的问题,并在攻击期间或之后提供帮助。
2.告知客户不便之处
DDoS攻击可能会影响您网站上的用户体验。如果您经营WooCommerce商店,那么您的客户可能无法下订单或登录他们的帐户。
您可以通过社交媒体帐户宣布您的网站遇到技术困难,一切很快就会恢复正常。
如果攻击规模较大,那么您还可以使用电子邮件营销服务与客户沟通,并要求他们关注您的社交媒体更新。
如果您有VIP客户,那么您可能需要使用商务电话服务拨打个人电话,让他们知道您正在如何努力恢复服务。
在这些困难时期的沟通对于保持品牌的良好声誉有着巨大的作用。
3.联系托管和安全支持
与您的WordPress托管提供商联系。对您网站的攻击可能是针对其系统的更大规模攻击的一部分。在这种情况下,他们将能够向您提供有关情况的最新更新。
联系您的防火墙服务并让他们知道您的网站受到DDoS攻击。他们也许能够更快地缓解情况并为您提供更多信息。
使用Sucuri等防火墙提供商,您还可以将设置设置为“偏执模式”,这有助于阻止大量请求并使普通用户可以访问您的网站。
如何保证您的WordPress网站安全
WordPress开箱即用非常安全。然而,作为世界上最受欢迎的网站建设者,它经常成为黑客的攻击目标。
幸运的是,您可以将许多安全最佳实践应用于您的网站,以使其更加安全。
我们为初学者编写了完整的分步WordPress安全指南。它将引导您完成最佳的WordPress安全设置,以保护您的网站及其数据免受常见威胁。
我们希望本文能帮助您了解如何阻止和防止WordPress上的DDoS攻击。您可能还想查看我们关于如何修复最常见WordPress错误的指南以及我们专家精选的最佳WordPress托管提供商。
