WordPress如何阻止和防止DDoS攻击

2019年10月31日15:22:48 2

WordPress 是世界上最受欢迎的网站构建者之一,它提供了强大的功能和安全代码库。但是,这并不能保证 WordPress 能免受恶意 DDoS 攻击,这些攻击在互联网上很常见。

WordPress如何阻止和防止DDoS攻击

DDoS 攻击可能会造成网站速度变慢,最终使用户无法访问网站。这些攻击可能会针对小型和大型网站。那么,对于 WordPress 的小型企业网站如何能够用有限的资源来防止此类 DDoS 攻击?

本文将介绍如何有效地阻止和防止 WordPress 上的 DDoS 攻击。

 

什么是 DDoS 攻击?

DDoS攻击是分布式拒绝服务攻击的简称,是一种网络攻击,它使用受攻击的计算机和设备从WordPress 服务器发送或请求数据。这些请求的目的是减慢并最终使目标服务器崩溃。

DDoS 攻击是 DoS(拒绝服务)攻击的一种演变形式。与 DoS 攻击不同,它们利用分布在不同区域的多台受攻击的计算机或服务器。

这些受攻击的计算机形成网络,有时称为僵尸网络。每台受影响的计算机都充当自动程序,并针对目标系统或服务器发起攻击。

这使得它们在被阻止之前暂时不被注意,并造成最大的伤害。

WordPress如何阻止和防止DDoS攻击

即使是最大的互联网公司也容易受到 DDoS 攻击。

2018 年,GitHub 目睹了大规模 DDoS 攻击,将每秒 1.3 TB 的流量发送到其服务器。

还有 2016 年对 DYN(DNS 服务提供商)的攻击。这次攻击引起了全球的新闻报道,因为它影响了许多大型网站,如亚马逊,Netflix,PayPal,Visa,AirBnB,纽约时报,Reddit,和数以千计的其他网站。

 

为什么会发生 DDoS 攻击?

DDoS 攻击背后有几个动机。以下是一些常见的:

  • 技术精湛的人只是无聊,想要挑战一些高防的网站
  • 试图提出政治观点的人和团体
  • 面向特定国家或地区的网站和服务的组
  • 针对特定企业或服务提供商进行有针对性的攻击,以给他们带来经济损失
  • 敲诈和勒索

 

暴力攻击和 DDoS 攻击之间的区别是什么?

暴力攻击通常试图通过猜测密码或尝试随机组合来破坏系统,以获得对系统的未授权访问。

DDoS 攻击完全用于使目标系统崩溃,使其无法访问或减慢速度。

WordPress如何阻止和防止DDoS攻击

有关如何防止暴力攻击的分步说明,请参考阅读《如何保护WordPress网站免受暴力攻击

 

DDoS 攻击会造成哪些损害?

DDoS 攻击会使网站无法访问或降低性能。这会导致不好的用户体验、业务损失,缓解攻击的成本可能达数千美元。

以下是这些费用的明细:

  • 网站无法访问导致业务损失
  • 客户支持成本,用于应答服务中断相关查询
  • 通过雇用安全服务或支持来缓解攻击的成本
  • 最大的代价是糟糕的用户体验和品牌声誉

 

WordPress如何阻止和防止DDoS攻击

DDoS 攻击可以巧妙地伪装,难以处理。但是,通过一些基本的安全实践,可以防止并轻松地阻止 DDoS 攻击影响 WordPress 网站。

以下是防止和阻止 WordPress 站点上的 DDoS 攻击所需的步骤。

1、删除 DDoS / 暴力攻击垂直

WordPress 非常灵活,允许第三方插件和工具集成到网站并添加新功能。

为此,WordPress 使程序员可以使用多个 API。这些 API 是第三方 WordPress 插件和服务可以与 WordPress 交互的方法。

但是,其中一些 API 也可以在 DDoS 攻击期间通过发送大量请求来利用。可以安全地禁用它们来减少这些请求。

在 WordPress 中禁用 XML RPC

XML-RPC 允许第三方应用与 WordPress 网站进行交互。例如,需要 XML-RPC 才能在移动设备上使用WordPress 应用。

如果像绝大多数不使用移动应用的用户一样,则可以通过将以下代码添加到网站的.htaccess 文件中来禁用 XML-RPC。

  1. # Block WordPress xmlrpc.php requests
  2. <Files xmlrpc.php>
  3. order deny,allow
  4. deny from all
  5. </Files>

 

在 WordPress 中禁用 REST API

WordPress JSON REST API 允许插件和工具访问 WordPress 数据、更新内容和/甚至删除它。以下是如何在 WordPress 中禁用 REST API。

安装并激活 Disable Wp Rest Api 插件。该插件开箱即用,它只需禁用所有未登录用户的REST API即可。

 

2、激活 WAF(网站应用程序防火墙)

禁用攻击媒介(如 REST API 和 XML-RPC)提供了针对 DDoS 攻击的有限保护。您的网站仍然容易受到正常 HTTP 请求的影响。

WordPress如何阻止和防止DDoS攻击

虽然可以通过捕获不良计算机 IP 并手动屏蔽它们来缓解小型 DOS 攻击,但处理大型 DDoS 攻击时,此方法并不十分有效。

阻止可疑请求的最简单方法是激活网站应用程序防火墙。

网站应用程序防火墙充当网站和所有传入流量之间的代理。它使用智能算法捕获所有可疑请求,并在它们到达网站服务器之前将其阻止。

可以使用cloudflare.com。但是,Cloudflare 的免费服务仅提供有限的 DDoS 保护。需要至少注册第 7 层 DDoS 保护的业务计划,每月费用约为 200 美元。

WordPress如何阻止和防止DDoS攻击

注意:在应用程序级别运行的网站应用程序防火墙 (WAF) 在 DDoS 攻击期间效果较差。它们会阻止流量,一旦流量已到达 Web 服务器,因此仍会影响网站整体性能。

 

找出是暴力还是DDoS攻击

暴力攻击和 DDoS 攻击都密集使用服务器资源,他们的症状非常相似,都会导致网站变慢,或者崩溃。

只需查看 Sucuri 插件的登录报告,即可轻松发现这是暴力攻击还是 DDoS 攻击。

简单地说,安装并激活免费的苏库里插件,然后转到sucuri安全 + 上次登录页面。

WordPress如何阻止和防止DDoS攻击

如果看到大量的随机登录请求,则这意味着您的 wp 管理员受到暴力攻击。要缓解它,你可以看到我们的指南《如何保护WordPress网站免受暴力攻击》。

 

DDoS 攻击期间要做的事情

即使安装了 Web 应用程序防火墙和其他保护,也可能发生 DDoS 攻击。像 CloudFlare 和 Sucuri 这样的公司会定期处理这些攻击。但是,在某些情况下,当这些攻击很大时,它仍会影响网站。在这种情况下,最好做好准备,来缓解 DDoS 攻击期间和之后可能出现的问题。

以下是可以执行的一些操作,尽量减少 DDoS 攻击的影响。

1. 提醒团队成员

如果你有一个团队,那么你需要通知同事这个问题。有助于他们准备客户支持查询,查找可能出现的问题,并在攻击期间或之后提供帮助。

2. 告知客户不协调

DDoS 攻击可能会影响网站上的用户体验。如果运行了WooCommerce商店,则客户可能无法下订单或登录到其帐户。

可以通过社交媒体帐户宣布网站遇到技术难题,一切将很快恢复正常。

如果攻击规模较大,也可以使用电子邮件营销服务与客户沟通,并要求他们关注社交媒体更新。

如果有 VIP 客户,则可能需要使用商务电话服务拨打个人电话,并让他们知道是如何恢复服务。

在这些困难时期,沟通对保持品牌声誉的强势产生了巨大影响。

3. 联系托管和安全支持

联系 WordPress 服务器供应商。您可能目睹的攻击可能是针对其系统的较大攻击的一部分。在这种情况下,他们将能够为您提供有关情况的最新更新。

与防火墙服务联系,让他们知道您的网站受到 DDoS 攻击。他们也许能够更快地缓解这种情况,并为您提供更多信息。

 

保护 WordPress 网站安全

WordPress 开箱即用相当安全。然而,作为世界上最受欢迎的网站建设者,它经常成为黑客攻击的目标。幸运的是,有许多安全最佳实践,你可以应用到您的网站,使其更加安全。

里维斯社为初学者整理了WordPress 安全指南,它将引导完成 WordPress 安全设置,来保护网站及其数据免受常见威胁。

©里维斯社,本站推荐使用的主机:阿里云腾讯云;本站推荐使用的WP主题:WordPress主题

晨会游戏

发表评论取消回复

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:2   其中:访客  2   博主  0

    • avatar MAY的SEO博客 4

      这收录速度杠杠滴啊

      • avatar 奶爸建网站笔记 6

        关机保平安。