Как защитить сайт Wordpress от DDOS атак — остановить, предотвратить, обеспечить безопасность сайта

Как защитить WordPress от DDoS-атак

Сегодняшняя тема о безопасности сайта, а именно о защите WordPress от DDoS-атак. Забота о безопасности на этапе создания нового сайта — залог спокойствия и уверенности в будущем. Но вначале, немного о том, что такое DDoS-атака, кто ей подвержен больше всего и кому это вообще нужно.

Что такое DDoS-атака и кто ее запускает

Нередко, в день глобальной распродажи или акции, сайты интернет-магазинов работают медленно или вовсе становятся недоступны. Другой пример, с запуском новой онлайн-игры, когда массовая регистрация делает ресурс недоступным, вызывая бурю негативных эмоций.

Дело в том, что любая резкая активность на сайте сильно нагружает серверное оборудование, которое не может справиться с большим количеством запросов из-за своей пропускной способности. Грубо говоря, железо не тянет огромный наплыв людей на сайт и начинает тормозить.

Такой же механизм, используют и злоумышленники. Только увеличение нагрузки на сайт жертвы запускается искусственно, задействуя компьютеры и умные устройства по всему миру.

Ботнет-сеть

В них внедряются специальные вредоносные боты, образуя так называемую ботнет-сеть. В нужное время боты активируются, атакуя выбранный хакерами сайт и производят так называемую DDoS-атаку, парализуя ресурс, что вызывает торможение или полную остановку работоспособности.

Кому это нужно и кто готов заплатить огромные суммы для запуска атак:

  • Распространенной причиной атак на сайты считаются конфликты, недовольства и обиды на фоне бизнеса. Когда одна большая корпорация нелестно отозвалась о другой в СМИ, а та, в свою очередь, заказала профессиональную хакерскую атаку с целью «уронить» деятельность и репутацию компании-обидчика;
  • На втором месте стоит несогласие хакеров-активистов с политической деятельностью какой-либо государства. Протест выражается в виде массированных атак на гос-сайты, чтобы нарушить работу системы;
  • Вымогательство, тоже распространенная причина атак на сайты. Клиентами хакеров могут быть как крупные предприятия, так и мелкий бизнес, тут все зависит от вида атаки и аппетита злоумышленников;
  • Нередко атаками занимаются хакеры-новички для экспериментов или обычные люди, которые из-за зависти решили насолить какому-нибудь знакомому.

Иногда атака на ресурс, это всего лишь прикрытие для более серьезной угрозы. Нужно быть начеку и соблюдать меры безопасности по предотвращению подобных действий.

На кого направлена DDoS-атака и чем это грозит

Ддосят как сайты коммерческих организаций, так и госучреждения, но иногда и частные лица становятся объектом внимания злоумышленников.

Вот полный список организаций, на которых нацелена хакерская атака:

Организации подверженные DDoS-атаке

В результате таких атак интернет-магазины и сервисы, предоставляющие какие-либо платные услуги, теряют колоссальную прибыль. А новостные порталы и популярные блоги, имеющие огромную аудиторию и преданных подписчиков теряют трафик и репутацию.

Страдают также различные биржи, платежные системы, игровые сервисы, вызывая раздражение и негатив у пользователей. А самым больным местом, куда могут ударить хакеры, являются медицинские учреждения, где жизнь человека зависит от оборудования, осуществляющее обмен данными через интернет.

Как остановить или предупредить DDoS-атаку

Как известно WordPress, открыт для интеграции различных функций с помощью плагинов и сторонних приложений. Эти готовые решения несут собой и уязвимости, так как через них могут осуществляться и массированные атаки на ресурс. Их нужно отключить.

Остановка DDoS-атаки

Отключаем протокол XML RPC

С помощью этого протокола осуществляется редактирование контента без входа в административную панель сайта. Отключить его можно несколькими способами.

Добавление кода в файл functions.php

Находим и открываем файл functions.php для редактирования. Это можно сделать в редакторе темы WordPress, через встроенный файловый менеджер хостинга или с помощью подключения к FTP-серверу через FileZilla.

Итак, в файле прописываем следующий код:

function wpschool_remove_pingback_header( $headers ) {
    unset( $headers['X-Pingback'] );
    return $headers;
}

function wpschool_remove_x_pingback_headers( $headers ) {
    if ( function_exists( 'header_remove' ) ) {
        header_remove( 'X-Pingback' );
        header_remove( 'Server' );
    }
}

function wpschool_block_xmlrpc_attacks( $methods ) {
    unset( $methods['pingback.ping'] );
    unset( $methods['pingback.extensions.getPingbacks'] );
    return $methods;
}

add_filter( 'wp_headers', 'wpschool_remove_pingback_header' );
add_filter( 'template_redirect', 'wpschool_remove_x_pingback_headers' );
add_filter( 'xmlrpc_methods', 'wpschool_block_xmlrpc_attacks' );
add_filter( 'xmlrpc_enabled','__return_false' );

Сохраняем файл. Все, протокол отключен.

Изменение файла .htaccess

Открываем файл конфигурации .htaccess любым из вышеописанных способов и вставляем небольшой код:

# Block requests WordPress xmlrpc.php
<files xmlrpc.php>
Order allow,deny
Deny from all
</files>

# Block requests WordPress xmlrpc.php – пояснение кода блокировки запросов.

Отключение протокола плагином

Если вы новичок и по понятным причинам не хотите лезть в системные файлы движка — есть решение в виде установки Disable XML-RPC. Это бесплатный плагин, который запускается в автоматическом режиме сразу после активации.

Плагины отключения протокола XML RPC

Существенным его минусом является, то, что плагин не обновлялся очень долго. Тем самым дав возможность показать себя молодому плагину Disable XML-RPC-API, который имеет неплохие отзывы, достаточно большое количество установок и главное — частые обновления.

Удаляем ссылки X-Pingback

По умолчанию WordPress создает URL-ссылки в шапке сайта, которые выполняют функцию уведомления активности пользователей на сайте, например, размещении ссылки. Такие уведомления могут использоваться и злоумышленники.

Отключать их будем с помощью плагинов:

  • Disable XML-RPC Pingback — начинает работать сразу после активации, без каких-либо дополнительных настроек (давно не обновлялся);
  • No Self Pings — неплохое решение с очень частыми обновлениями. Плагин заточен на одну-единственную функцию удаления ссылки уведомления;
  • Третьим вариантом будет включение опции удаления в известном плагине Clearfy Pro.
Отключение xmlrpc.php в Clearfy Pro

В разделе защиты просто активируйте чекбокс в активное положение и функция включится.

Отключаем Rest API

Интерфейс Rest API открывает доступ к данным сайта, в результате чего содержимое может быть изменено или вовсе удалено. Чтобы закрыть эту уязвимость, воспользуемся двумя плагинами: Disable REST API и Disable WP Rest API.

Первый имеет чуть меньше скачиваний и долго не обновлялся. Второй обновляется не так часто, но регулярно. Выбор за вами. В каких-либо дополнительных настройках они не нуждаются и работают сразу после активации.

Устанавливаем плагин с файрволом

Во всех плагинах есть функция базовой защиты от DDoS-атак, но, чтобы воспользоваться полноценной защитой придется заплатить.

Плагин Cloudflare и Wordfence

Рассмотрим 2 плагина, которые хоть немного предоставляют защиту от DDoS с бесплатной функцией брандмауэра:

  • Cloudflare — в бесплатной версии плагина есть функция защиты от DDoS, но, только до определенного уровня. Чтобы защита работала полноценно и устраняла мощные DDoS-атаки – нужно приобрести бизнес-аккаунт;
  • Wordfence — файрвол в бесплатной версии есть, но работает на базе, которая обновляется раз в месяц после занесения в нее новой угрозы. А чтобы защита работала полноценно — нужно покупать премиум подписку.

Что делать, если DDoS-атака уже идет

Паниковать и отключать от сети устройства подключенные к интернету во время DDoS-атаки не нужно, но своевременные меры при обнаружении ненормальной работы сайта предпринять необходимо.

Вот стандарт действий на случай DDoS-атаки:

  1. Обратиться в службу поддержки хостинга, с подробным описанием ситуации;
  2. Если работаешь не один, то сообщить об атаке свой команде, для кооперации действий и совместного решения проблемы;
  3. Предупредить клиентов о сбое в работе сайта: входе в личный кабинет, регистрации или совершении покупки.

Как видите, чтобы защита от DDoS-атак работала эффективно и своевременно — нужен комплекс мер в виде установки плагинов и корректировки системных файлов CMS. Только так мы существенно снизим процент атак на свой ресурс.

Пилипенко Сергей/ автор статьи

Автор блога

Понравилась статья? Поделиться с друзьями:
WP-PROGRESS.RU
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: