如何防止和應對WordPress的DDoS攻擊

WordPress是世界上最受歡迎的建站程序之一，因為它具有強大的功能和安全的代碼庫。但是，這不能保護WordPress或任何其他軟件免受Internet上常見的惡意DDoS攻擊。

DDoS攻擊會使網(wǎng)站變慢，最終使用戶無法訪問它們。這些攻擊可以同時針對大型和小型網(wǎng)站。

您可能想知道使用WordPress搭建的小型企業(yè)網(wǎng)站如何在資源有限的情況下阻止此類DDoS攻擊？

在這篇教程中，我們將向您展示如何有效地阻止和應對WordPress的DDoS攻擊。我們的目標是幫助您了解如何針對DDoS攻擊（如專業(yè)人士）管理網(wǎng)站安全。

什么是DDoS攻擊？

DDoS攻擊是分布式拒絕服務(wù)攻擊的縮寫，是一種網(wǎng)絡(luò)攻擊，它使用受感染的計算機和設(shè)備從WordPress托管服務(wù)器發(fā)送或請求數(shù)據(jù)。這些請求的目的是減慢目標服務(wù)器的速度，并最終使其崩潰。

DDoS攻擊是DoS（拒絕服務(wù)）攻擊的演變形式。與DoS攻擊不同，它們利用分布在不同區(qū)域的多個受感染的計算機或服務(wù)器。

這些受感染的計算機形成一個網(wǎng)絡(luò)，稱為僵尸網(wǎng)絡(luò)。每臺受影響的機器都充當機器人，并對目標系統(tǒng)或服務(wù)器上發(fā)起攻擊。

這樣一來，他們就可以在一段時間內(nèi)不被注意，并在被阻止之前造成最大的損害。

即使是最大的互聯(lián)網(wǎng)公司也容易受到DDoS攻擊。

在2018年，流行的代碼托管平臺GitHub見證了大規(guī)模的DDoS攻擊，每秒向其服務(wù)器發(fā)送1.3 TB的流量。

您可能還記得2016年臭名昭著的DYN（DNS服務(wù)提供商）攻擊。該攻擊影響了許多流行的網(wǎng)站，例如亞馬遜、Netflix、PayPal、Visa、AirBnB、《紐約時報》、Reddit和數(shù)千個其他網(wǎng)站，因此受到了全球新聞的報道。

為什么會發(fā)生DDoS攻擊？

DDoS攻擊背后有多種動機。以下是一些常見的問題：

• 精于技術(shù)的人無聊而又喜歡冒險
• 試圖提出政治觀點的人和團體
• 針對特定國家或地區(qū)的網(wǎng)站和服務(wù)的組
• 針對特定企業(yè)或服務(wù)提供商的有針對性的攻擊，對其造成金錢傷害
• 勒索并收取贖金

蠻力攻擊和DDoS攻擊有什么區(qū)別？

蠻力攻擊通常試圖通過猜測密碼或嘗試隨機組合來侵入系統(tǒng)，以獲得對系統(tǒng)的未授權(quán)訪問。

DDoS攻擊純粹是用來使目標系統(tǒng)崩潰，使其無法訪問或使其速度變慢。

您還可以閱讀以下我們之前的文章《保護您的WordPress網(wǎng)站免受蠻力攻擊》

DDoS攻擊可能造成什么損失？

DDoS攻擊會使網(wǎng)站無法訪問或降低性能。這可能會導致不良的用戶體驗、業(yè)務(wù)損失，并且有效的DDoS阻止成本可能高達數(shù)萬人民幣。

以下是這些費用的明細：

• 網(wǎng)站無法訪問導致業(yè)務(wù)損失
• 回答服務(wù)中斷相關(guān)查詢的客戶支持成本
• 通過雇用安全服務(wù)或支持來減輕攻擊的成本
• 最大的代價是不良的用戶體驗和品牌聲譽

如何停止和應對WordPress的DDoS攻擊

DDoS攻擊可以巧妙地掩飾并且難以處理。但是，通過一些基本的安全操作，您可以防止并輕松阻止DDoS攻擊影響WordPress網(wǎng)站。

您需要采取以下步驟來防止和阻止WordPress網(wǎng)站上的DDoS攻擊。

刪除DDoS /蠻力攻擊隱患

關(guān)于WordPress的最好的事情是它具有高度的靈活性。WordPress允許第三方插件和工具集成到您的網(wǎng)站并添加新功能。

為此，WordPress使程序員可以使用多種API。這些API是第三方WordPress插件和服務(wù)可以與WordPress交互的方法。

但是，在DDoS攻擊期間，也可以通過發(fā)送大量請求來利用其中一些API。您可以安全地禁用它們以減少這些請求。

在WordPress中禁用XML RPC

XML-RPC允許第三方應用程序與您的WordPress網(wǎng)站進行交互。例如，您需要XML-RPC才能在移動設(shè)備上使用WordPress應用程序。

如果您像絕大多數(shù)不使用移動應用程序的用戶一樣，則可以通過將以下代碼添加到網(wǎng)站的.htaccess文件中來禁用XML-RPC?。

Apache環(huán)境：

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Nginx環(huán)境：

location ~* /xmlrpc.php$ {
    allow 172.0.1.1;
    deny all;
}

更多安全手段請見：

• 增強WordPress安全性的10個Nginx規(guī)則
• 15個有用的WordPress .htaccess 代碼片段

在WordPress中禁用REST API

WordPress JSON REST API允許插件和工具訪問WordPress數(shù)據(jù)，更新內(nèi)容，甚至刪除它們。如果您的網(wǎng)站沒有使用 JSON REST API，您可以考慮禁用它。

要在WordPress中禁用REST API，您需要做的就是安裝并激活Disable WP Rest API插件。該插件開箱即用，它將僅對所有未登錄用戶禁用REST API。

激活WAF（網(wǎng)站應用防火墻）

禁用諸如REST API和XML-RPC之類的攻擊媒介，對于DDoS攻擊的保護有限。您的網(wǎng)站仍然容易受到普通HTTP請求的攻擊。

盡管您可以通過嘗試捕獲不良的機器IP并手動阻止它們來緩解小型DOS攻擊，但是這種方法在處理大型DDoS攻擊時并不是很有效。

阻止可疑請求的最簡單方法是激活網(wǎng)站應用程序防火墻。

網(wǎng)站應用程序防火墻充當您的網(wǎng)站和所有傳入流量之間的代理。它使用智能算法捕獲所有可疑請求，并在它們到達您的網(wǎng)站服務(wù)器之前將其阻止。

如果是外貿(mào)網(wǎng)站，我們建議使用Sucuri，因為它是最好的WordPress安全插件和網(wǎng)站防火墻之一。它在DNS級別上運行，這意味著他們可以在向您的網(wǎng)站發(fā)出請求之前捕獲DDoS攻擊。 Sucuri的價格從每月20美元起（每年支付）。

或者，您也可以使用Cloudflare。但是，Cloudflare的免費服務(wù)僅提供有限的DDoS保護。您至少需要注冊他們的業(yè)務(wù)計劃才能獲得第7層DDoS防護，每月費用約為200美元。

如果是國內(nèi)網(wǎng)站，適當?shù)夭捎脟鴥?nèi)CDN服務(wù)，也是可以一定程度上減輕對服務(wù)器的影響。如果網(wǎng)站業(yè)務(wù)比較大，DDoS攻擊嚴重掉影響了網(wǎng)站的訪問和收益，那您可以考慮采用高防服務(wù)器或者高防IP服務(wù)，國內(nèi)大廠的比如阿里云、騰訊云等都提供這方面的服務(wù)，不過費用比較高。

注意：在DDoS攻擊期間，在應用程序級別運行的網(wǎng)站應用程序防火墻（WAF）的效率較低。一旦流量到達您的Web服務(wù)器，它們就會阻止流量，因此它仍然會影響您的整體網(wǎng)站性能。所以，通常我們需要通過服務(wù)器端的防火墻或高防IP應對。

找出是蠻力攻擊還是DDoS攻擊

蠻力攻擊和DDoS攻擊都大量使用服務(wù)器資源，這意味著它們的癥狀看起來非常相似。您的網(wǎng)站會變慢，并且可能會崩潰。

您只需查看Sucuri插件的登錄報告，就可以輕松找到是蠻力攻擊還是DDoS攻擊。

只需安裝并激活免費的Sucuri插件，然后轉(zhuǎn)到Sucuri安全性?上次登錄頁面。

如果看到大量隨機登錄請求，則表明您的wp-admin受到了蠻力攻擊。為了緩解這種情況，您可以查看有關(guān)如何阻止WordPress中的暴力攻擊的指南。

DDoS攻擊期間要做的事情

即使您具有Web應用程序防火墻和其他保護措施，也可能發(fā)生DDoS攻擊。諸如CloudFlare和Sucuri之類的公司會定期處理這些攻擊，并且大多數(shù)時候您永遠不會聽說它，因為它們可以輕松地緩解它。

但是，在某些情況下，當這些攻擊很大時，它仍然會影響您。在這種情況下，最好做好準備，以減輕DDoS攻擊期間和之后可能出現(xiàn)的問題。

您可以采取以下措施來最大程度地減少DDoS攻擊的影響。

1.提醒您的團隊成員

如果您有團隊，則需要將此問題告知同事。這將幫助他們?yōu)榭蛻糁С植樵冏鰷蕚洌瑢ふ铱赡艿膯栴}，并在攻擊期間或之后提供幫助。

2.告知客戶不便之處

DDoS攻擊可能會影響您網(wǎng)站上的用戶體驗。如果您經(jīng)營WooCommerce商店，那么您的客戶可能無法下訂單或登錄其帳戶。

您可以通過社交媒體帳戶宣布您的網(wǎng)站存在技術(shù)問題，并且一切將很快恢復正常。

如果攻擊很大，那么您還可以使用電子郵件營銷服務(wù)與客戶進行交流，并要求他們關(guān)注您的社交媒體更新。

如果您有VIP客戶，那么您可能希望使用商務(wù)電話服務(wù)撥打單個電話，并讓他們知道您如何恢復服務(wù)。

在艱難時期的溝通對保持品牌聲譽具有重大影響。

3.聯(lián)系托管和安全支持

與您的WordPress托管提供商聯(lián)系。您可能正在目睹的攻擊可能是針對他們的系統(tǒng)的較大攻擊的一部分。在這種情況下，他們將能夠為您提供有關(guān)情況的最新更新。

請與您的防火墻服務(wù)聯(lián)系，并讓他們知道您的網(wǎng)站受到DDoS攻擊。他們也許能夠更快地緩解這種情況，并可以為您提供更多信息。

在Sucuri之類的防火墻提供程序中，您還可以將設(shè)置設(shè)置為嚴格模式，這有助于阻止許多請求并使普通用戶可以訪問您的網(wǎng)站。

確保您的WordPress網(wǎng)站安全

WordPress開箱即用非常安全。但是，作為世界上最受歡迎的建站程序，它經(jīng)常成為黑客的目標。

幸運的是，您可以在網(wǎng)站上應用許多最佳安全實踐，以使其更加安全。

我們希望本文能幫助您學習如何防止和阻止對WordPress的DDoS攻擊。

聲明：原文出自 https://www.wpbeginner.com/wp-tutorials/how-to-stop-and-prevent-a-ddos-attack-on-wordpress/ ，由 WordPress大學 翻譯整理，轉(zhuǎn)載請保留該聲明。