WordPress预防DDoS攻击

WordPress是世界上最受欢迎的建站程序之一,因为它具有强大的功能和安全的代码库。但是,这不能保护WordPress或任何其他软件免受Internet上常见的恶意DDoS攻击。


DDoS攻击会使网站变慢,最终使用户无法访问它们。这些攻击可以同时针对大型和小型网站。


您可能想知道使用WordPress搭建的小型企业网站如何在资源有限的情况下阻止此类DDoS攻击?


在这篇教程中,我们将向您展示如何有效地阻止和应对WordPress的DDoS攻击。我们的目标是帮助您了解如何针对DDoS攻击(如专业人士)管理网站安全。


什么是DDOS攻击?

关于DDOS攻击这里就不说了,详细看博主这篇文章《什么是DDOS攻击》

为什么会发生DDoS攻击?

DDoS攻击背后有多种动机,以下是一些常见的问题:


1.精于技术的人无聊而又喜欢冒险

2.试图提出政治观点的人和团体

3.针对特定国家或地区的网站和服务的组

4.针对特定企业或服务提供商的有针对性的攻击,对其造成金钱伤害

5.勒索并收取赎金

蛮力攻击和DDoS攻击有什么区别?

蛮力攻击通常试图通过猜测密码或尝试随机组合来侵入系统,以获得对系统的未授权访问。


DDoS攻击纯粹是用来使目标系统崩溃,使其无法访问或使其速度变慢。


DDoS攻击可能造成什么损失?

DDoS攻击会使网站无法访问或降低性能。这可能会导致不良的用户体验、业务损失,并且有效的DDoS阻止成本可能高达数万人民币。


以下是这些费用的明细:


1.网站无法访问导致业务损失

2.回答服务中断相关查询的客户支持成本

3.通过雇用安全服务或支持来减轻攻击的成本

4.最大的代价是不良的用户体验和品牌声誉

如何停止和应对WordPress的DDoS攻击

DDoS攻击可以巧妙地掩饰并且难以处理。但是,通过一些基本的安全操作,您可以防止并轻松阻止DDoS攻击影响WordPress网站。


您需要采取以下步骤来防止和阻止WordPress网站上的DDoS攻击。


(1) 删除DDoS /蛮力攻击隐患

关于WordPress的最好的事情是它具有高度的灵活性。WordPress允许第三方插件和工具集成到您的网站并添加新功能。


为此,WordPress使程序员可以使用多种API。这些API是第三方WordPress插件和服务可以与WordPress交互的方法。


但是,在DDoS攻击期间,也可以通过发送大量请求来利用其中一些API。您可以安全地禁用它们以减少这些请求。


(2)在WordPress中禁用XML RPC

XML-RPC允许第三方应用程序与您的WordPress网站进行交互。例如,您需要XML-RPC才能在移动设备上使用WordPress应用程序。


如果您像绝大多数不使用移动应用程序的用户一样,则可以通过将以下代码添加到网站的.htaccess文件中来禁用XML-RPC 。


Apache环境:

# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all </Files>

nignx环境:

location ~* /xmlrpc.php$ { allow 172.0.1.1; deny all; }

(3)在WordPress中禁用REST API

WordPress JSON REST API允许插件和工具访问WordPress数据,更新内容,甚至删除它们。如果您的网站没有使用 JSON REST API,您可以考虑禁用它。


要在WordPress中禁用REST API,您需要做的就是安装并激活Disable WP Rest API插件。该插件开箱即用,它将仅对所有未登录用户禁用REST API。


(4)激活WAF(网站应用防火墙)


禁用诸如REST API和XML-RPC之类的攻击媒介,对于DDoS攻击的保护有限。您的网站仍然容易受到普通HTTP请求的攻击。


尽管您可以通过尝试捕获不良的机器IP并手动阻止它们来缓解小型DOS攻击,但是这种方法在处理大型DDoS攻击时并不是很有效。


阻止可疑请求的最简单方法是激活网站应用程序防火墙。


网站应用程序防火墙充当您的网站和所有传入流量之间的代理。它使用智能算法捕获所有可疑请求,并在它们到达您的网站服务器之前将其阻止。

 WordPress预防DDoS攻击,22-08-55-055.jpg,分享,教程,建站,经验,技术,百度,Windows,讲解,百度DDOS,DDOS,WordPress,服务器,第1张


如果是外贸网站,我们建议使用Sucuri,因为它是最好的WordPress安全插件和网站防火墙之一。它在DNS级别上运行,这意味着他们可以在向您的网站发出请求之前捕获DDoS攻击。 Sucuri的价格从每月20美元起(每年支付)。


或者,您也可以使用Cloudflare。但是,Cloudflare的免费服务仅提供有限的DDoS保护。您至少需要注册他们的业务计划才能获得第7层DDoS防护,每月费用约为200美元。


如果是国内网站,适当地采用国内CDN服务,也是可以一定程度上减轻对服务器的影响。如果网站业务比较大,DDoS攻击严重掉影响了网站的访问和收益,那您可以考虑采用高防服务器或者高防IP服务,国内大厂的比如阿里云、腾讯云等都提供这方面的服务,不过费用比较高。


注意:在DDoS攻击期间,在应用程序级别运行的网站应用程序防火墙(WAF)的效率较低。一旦流量到达您的Web服务器,它们就会阻止流量,因此它仍然会影响您的整体网站性能。所以,通常我们需要通过服务器端的防火墙或高防IP应对。

找出是蛮力攻击还是DDoS攻击

蛮力攻击和DDoS攻击都大量使用服务器资源,这意味着它们的症状看起来非常相似。您的网站会变慢,并且可能会崩溃。


您只需查看Sucuri插件的登录报告,就可以轻松找到是蛮力攻击还是DDoS攻击。


只需安装并激活免费的Sucuri插件,然后转到Sucuri安全性»上次登录页面。


如果看到大量随机登录请求,则表明您的wp-admin受到了蛮力攻击。为了缓解这种情况,您可以查看有关如何阻止WordPress中的暴力攻击的指南。


DDoS攻击期间要做的事情

即使您具有Web应用程序防火墙和其他保护措施,也可能发生DDoS攻击。诸如CloudFlare和Sucuri之类的公司会定期处理这些攻击,并且大多数时候您永远不会听说它,因为它们可以轻松地缓解它。


但是,在某些情况下,当这些攻击很大时,它仍然会影响您。在这种情况下,最好做好准备,以减轻DDoS攻击期间和之后可能出现的问题。


您可以采取以下措施来最大程度地减少DDoS攻击的影响。


1.提醒您的团队成员


如果您有团队,则需要将此问题告知同事。这将帮助他们为客户支持查询做准备,寻找可能的问题,并在攻击期间或之后提供帮助。


2.告知客户不便之处


DDoS攻击可能会影响您网站上的用户体验。如果您经营WooCommerce商店,那么您的客户可能无法下订单或登录其帐户。


您可以通过社交媒体帐户宣布您的网站存在技术问题,并且一切将很快恢复正常。


如果攻击很大,那么您还可以使用电子邮件营销服务与客户进行交流,并要求他们关注您的社交媒体更新。


如果您有VIP客户,那么您可能希望使用商务电话服务拨打单个电话,并让他们知道您如何恢复服务。


在艰难时期的沟通对保持品牌声誉具有重大影响。


3.联系托管和安全支持


与您的WordPress托管提供商联系。您可能正在目睹的攻击可能是针对他们的系统的较大攻击的一部分。在这种情况下,他们将能够为您提供有关情况的最新更新。


请与您的防火墙服务联系,并让他们知道您的网站受到DDoS攻击。他们也许能够更快地缓解这种情况,并可以为您提供更多信息。


在Sucuri之类的防火墙提供程序中,您还可以将设置设置为严格模式,这有助于阻止许多请求并使普通用户可以访问您的网站。


确保您的WordPress网站安全

WordPress开箱即用非常安全。但是,作为世界上最受欢迎的建站程序,它经常成为黑客的目标。


幸运的是,您可以在网站上应用许多最佳安全实践,以使其更加安全。


我们希望本文能帮助您学习如何防止和阻止对WordPress的DDoS攻击。

相关文章

您需要 登录账户 后才能发表评论

发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注