如何保护WordPress免受DDoS攻击?
如果您不采取任何措施保护您的wordpress网站免受ddos攻击,您在该网站上付出的所有辛勤工作可能会在一秒钟内消失。
所有公开访问的网站都容易受到ddos攻击的威胁,基于wordpress的网站也不例外。幸运的是,wordpress是一个非常灵活的平台,因此它支持有效的防护措施来抵御攻击。这只是一个预防的问题:要么抵御攻击,要么减轻其影响;您必须在攻击发生之前采取行动。
什么是ddos攻击?
ddos攻击是分布式拒绝服务的缩写,是通过一组受损计算机或设备(僵尸网络)协同进行的一种激进行动,该行动会向一个服务器(目标)大量发送数据或请求数据。请求的洪水会超过服务器的容量,导致服务器因资源不足而变慢或崩溃。
ddos攻击的潜在损害
如果您的网站成为ddos攻击的目标,许多不好的事情可能会发生。
例如:
- 您的访问者的体验可能受到不利影响。最好的情况是,网站的响应速度变慢;最糟糕的情况是,整个网站将无法访问。
- 如果您的网站是一个在线商店,您可能会损失销售额;如果只是提供内容,您的访问者可能会去其他地方找到他们想要的东西。
- 您的网站声誉可能会严重下降,无论是在感知的品牌声誉方面(即您的公司被认为不严肃),还是在权威性、相关性和信任度方面,这些是任何seo战略的支柱。
- 修复损害将需要花费您的成本。成本将取决于攻击的持续时间,而且很难计算,因为您必须考虑到许多副作用,例如客户支持努力回答用户关于服务中断的投诉,或者雇用安全服务来清理您的网站。
谁是ddos攻击的受害者?
任何网站,无论其规模和规模如何,都可能成为ddos攻击的目标。
具有暴露的漏洞的网站是最容易受到攻击的目标,但攻击也可以针对任何特定的网站进行策划。攻击可能出于意识形态原因(一种被称为“网络活动主义”的做法)进行,例如抹黑宣传特定政治或宗教观点的网站。或者进行勒索并向网站所有者索要赎金。或者它可能只是一群精通技术的人想炫耀自己的技能的爱好。
攻击也可能是被雇佣的:一家公司支付一群黑客来专门攻击其竞争对手。无论原因如何,底线是:任何网站所有者都必须采取预防措施,以防止ddos攻击损坏他或她的网站。这并不困难或昂贵,因此没有真正理由不这样做。
如何保护您的wordpress免受ddos攻击?
保护您的wordpress网站免受ddos攻击所需的两项必要安全措施:
- 获取一个好的wordpress备份解决方案。
- 开始使用一种经济实惠的基于云的反ddos安全解决方案。
备份解决方案是您必须具备的东西,原因不仅仅是为了防止ddos攻击。wordpress插件目录中有大量的免费和付费备份解决方案,所以我们暂时不深入探讨这个主题。在遭受攻击后,如果您的网站受到损坏,使用安全备份来恢复它是一个快速恢复正常的方法。
在反ddos安全解决方案方面,您应该问问自己,您想要多大程度的安心感,以及您愿意为此付出多少钱。如果您不想支付任何费用,那么您将不得不自己处理很多事情。
自助🧰方法
wordpress的一个伟大之处在于它具有开放的架构,允许第三方应用程序与之集成和交互。这是通过几个可供程序员使用的api(应用程序编程接口)实现的。问题是,这些api可能会被ddos攻击利用来发送大量请求。所以,要做的第一件事:禁用一个易受攻击的api,叫做xml-rpc。
只有当您的wordpress网站与外部第三方应用程序(例如移动设备上的wordpress应用程序)进行交互时,您才需要xml-rpc。如果您可以不使用它们,那么最好禁用xml-rpc。这可以通过编辑您网站的.htaccess
文件来简单地实现,以拒绝对xmlrpc.php程序的访问。或者,如果您认为自己更改网站的内部文件不安全,您可以获取一个可以为您完成工作的插件。
反ddos插件
有一些wordpress安全插件可以修复其他wordpress漏洞。
防御ddos攻击 – 该插件解决了由暴力破解和ddos攻击引起的性能问题。通过在.htaccess文件中进行所有检查,它在达到wordpress站点之前就停止了恶意请求。
它还修复了xml-rpc漏洞,并且其配置选项为cloudflare用户提供了拒绝来自特定国家访问者的能力。
禁用wp rest api – wordpress rest api是受欢迎cms的另一个可利用的漏洞。幸运的是,这个漏洞可以通过这个超轻量级的插件轻松修复。它只使用了22行代码 – 少于2kb – 并且通过为未登录wordpress的访问者禁用wp rest api来工作。安装和激活后,如果未登录的访问者向您的网站发出json / rest请求,他们将收到一条消息,告诉他们rest api仅限于经过身份验证的用户。
禁用xml-rpc pingback – 安装超过80,000次,评分为4.5星的这个插件从xml-rpc接口中消除了所有可利用的方法。它还从http标头中删除了x-pingback,这样可以阻止机器人访问xmlrpc.php文件。
安全套件
如果您想完全忘记ddos和其他安全问题,将所有精力投入到业务中,那么您需要一个涵盖所有基础的解决方案。
这样的解决方案必须包括:
- 一个网络应用防火墙。防火墙位于您的网站和互联网之间,可以检测到恶意流量并进行阻止。
- 一个网站杀毒软件包。它应该定期自动扫描您的网站,检测到任何恶意软件的痕迹并将其删除。
- 服务器扫描以检测非感染性黑客攻击,例如来自未知网站的广告横幅。
- 站点审核/监控以检测任何可疑活动,例如文件更改、新文章、新用户、登录尝试失败等。
让我们来了解以下提供全面的wordpress网站安全解决方案。
sucuri
sucuri是一家在wordpress网站方面拥有丰富经验的知名网络安全公司。
一旦您在网站上启用sucuri,他们就会在您的网站和互联网之间安装一个云代理防火墙,过滤所有指向您托管服务器的流量。该防火墙只允许合法的访问者访问您的wordpress网站。作为副作用,由于sucuri云的作用,您的网站响应速度将更快,并且通过减少服务器需要处理的流量量,您可以节省托管费用。
完整的sucuri解决方案还添加了一个杀毒软件包,定期扫描和监视您的网站,以确保其不受任何恶意软件的影响:恶意javascript片段、可疑的重定向、代码注入等。
它还会检查您的网站是否被声誉评估服务列入了黑名单。通过浏览站点审核日志,您将了解到发生在您的wordpress网站上的所有事情,包括新用户、登录尝试失败、文件更改等。
sucuri的定价计划从每年199美元起,提供基本服务-虽然它并不那么基本,因为它只缺少一些面向企业的好处。包含的功能完全可以证明这个价格的合理性,但如果这些还不足以说服您,那么请考虑他们还提供恶意软件清理服务以及黑名单移除。
如果您的网站受到保护,那么您很少需要这项服务,但请考虑一下,一个安全专家可以轻松收取您每小时250美元的费用,从您的网站中清除恶意软件感染。
astra security
astra security是领先的wordpress安全解决方案之一。astra的智能终端防火墙可以无缝安装在您的网站上,并提供实时保护免受第7层ddos攻击和其他100多种类型的攻击。这个装备有机器学习智能的防火墙可以识别已知的攻击、机器人行为和恶意请求,并随着每一种新的攻击类型进行演进。astra防火墙全天候活跃,始终保护您的网站。
此外,astra防火墙在您自己的服务器上也能很好地工作,无需进行任何dns更改。
但这还不是全部。astra security套餐还提供了更多特色。每个安全套餐都包含了web应用防火墙、恶意软件扫描器、国家和ip阻止器以及其他几个有用的功能。
开始使用astra security非常简单,整个过程只需不到15分钟。具体步骤如下:
- 从wordpress存储库安装astra security插件
- 创建一个帐户,选择一个计划并注册
- 最后,从wp后台点击“连接到astra”
这将把您的wp后台连接到astra仪表板,大致如下:
cloudflare
cloudflare利用其庞大的cdn(内容分发网络)保护您的wordpress网站免受ddos攻击,使您的网站更快,并增强其安全性。cdn在全球范围内分布了200多个数据中心,足够大以吸收和抵御最强大的攻击,因此您不需要担心其缓解能力过载。
积极的缓解方法使cloudflare能够通过利用对超过2000万个网站的行为分析的共享智能来预防攻击。该保护措施在边缘检测和阻止3、4和7层攻击,阻止它们达到您的网站。
此外,通过使用spectrum将流量通过cloudflare的数据中心进行代理,您的基础架构中的所有tcp端口都得到保护。
该服务对个人和小型(非业务关键)网站免费。免费计划包括ddos攻击缓解,全球cdn和通过电子邮件提供的支持。付费计划从每月20美元起,增加了web应用程序防火墙、缓存分析、移动优化等其他优势。
对于业务关键型网站,企业计划还增加了7×24小时在线聊天/电话支持、100%正常运行时间sla、解决方案工程师支持等其他优势。
stackpath
全球网络总容量达到65tbps,使得stackpath的解决方案能够抵御最大和最复杂的ddos攻击,针对包括http、syn和udp洪泛在内的所有攻击方法进行处理。stackpath的平台收集和分析关于ddos攻击的情报,并在其边缘位置上阻止所有恶意尝试,无论其来源如何。
为了保护您的wordpress网站在网络层上,stackpath全球网络采用网络设备在设备上保护免受3层和4层ddos攻击的影响。与此同时,智能的web应用程序防火墙通过使用独特的javascript验证技术来检测和阻止自动化机器人,并提供高级工具来配置ddos阈值以满足您的特定需求,从而在不到一秒的时间内缓解复杂的7层ddos攻击。
stackpath的ddos防护是一个以每月20美元起步的边缘服务套件的一部分,包括cdn、waf(web应用程序防火墙)、dns和监控服务。这四项服务可以单独租用,每月每项费用为10美元。价格根据使用量进行缩放;例如,如果您需要每月100tb的cdn和每月5000万次的请求waf,您将需要支付每月2000美元。
没有借口!
如果您的网站崩溃、被列入黑名单或失去声誉,不要找借口。您可以在指尖上获得所有资源,以防止灾难破坏您心爱的wordpress网站。如果您还没有这样做,请采取行动并在为时已晚之前采取一些措施。