WordPress网站如何预防和阻止DDoS攻击?

WordPress是世界上最受欢迎的建站CMS程序之一,泰州网络公司一般也是采用WordPress为自己的客户搭建网站,这是因为WP具有一系列的优点,不但功能很强大,可拓展性很强,而且安全性也是首屈一指的。但是当很多网站都采用WordPress以后,就会被一些别有用心的人盯上了,很多时候泰州企业网站会遇到DDoS攻击的问题。

DDoS攻击会导致网站访问速度变慢,最终会造成用户无法访问网站,这些攻击可以同时针对大型和小型泰州企业网站。大型网站可能还有足够的技术实力来应对这些DDoS攻击,但是对于中小型泰州企业来说,如果在资源有限的情况下阻止这些DDoS攻击呢?下面泰州网络公司就来为大家做一个简单的介绍吧。

WordPress网站如何预防和阻止DDoS攻击?

什么是DDoS攻击?

DDoS攻击是分布式拒绝服务攻击的缩写,是一种网络攻击行为,它使用大量的受到攻击者控制的计算机设备向你的网站服务器发送请求数据,大量的请求数据会造成你的网站网络拥堵从而减慢服务器的速度,真实客户无法访问的情况,最终造成服务器网络的崩溃。

DDoS攻击是DoS(拒绝服务)的进化形式,和DoS攻击不用,DDoS会利用分布在不同区域的大量的计算机或服务器来攻击你的服务器。

这些受到攻击者控制的计算机或者服务器会形成一个网络,我们叫它为僵尸网络,僵尸网络中的每一台计算机或服务器都会充当一个攻击的僵尸,向目标服务器发送各种数据和请求。

在攻击者试图攻击你的服务器之前,你一般是察觉不到的,他们一般会在DDoS攻击之前集中更多的计算机和服务器。当控制的计算机或服务器越多的时候,攻击的效果也就更好,对于被攻击者的损害也就越大,即便是世界上最大的互联网公司也很容易遭受到一些DDoS攻击。

即便是世界上最大的互联网公司也很容易遭受到一些DDoS攻击。

在2018年的时候,世界上最流行的代码托管平台GitHub就遭受到了一次大规模DDoS攻击,每秒钟攻击者向其服务器发送了超过1.3TB的流量。

为什么会发生DDoS攻击?

DDoS攻击背后有多种动机。以下是一些常见的可能:

精于技术的人无聊而又喜欢冒险
试图提出政治观点的人和团体
针对特定国家或地区的网站和服务的组
针对特定企业或服务提供商的有针对性的攻击,对其造成金钱伤害
勒索并收取赎金

蛮力攻击和DDoS攻击有什么区别?

蛮力攻击
蛮力攻击

蛮力攻击也就是暴力攻击通常试图通过猜测密码或尝试随机组合来侵入系统,以获得对系统的未授权访问。

DDoS攻击纯粹是用来使目标系统崩溃,使其无法访问或使其速度变慢。

DDoS攻击可能造成哪些损失?

DDoS攻击会使网站无法访问或降低性能。这可能会导致不良的用户体验,业务损失,并且缓解攻击的成本可能高达数千美元。

以下是这些损失的明细:

网站无法访问导致业务损失
回答服务中断相关查询的客户支持成本
通过雇用安全服务或支持来减轻攻击的成本
最大的代价是不良的用户体验和品牌声誉

如何预防和阻止对WordPress的DDoS攻击

DDoS攻击可以巧妙地掩饰并且难以处理。但是,通过一些基本的安全措施,你可以预防和阻止DDoS攻击对WordPress网站的影响。

你需要采取以下步骤来预防和阻止WordPress网站上的DDoS攻击。

不使用不安全的WordPress插件

WordPress在世界上这么流行的一个最重要的原因就是其具有高度的灵活性,WP允许你的网站安装各种第三方插件和工具,这样就能够获取更多新的功能。这些第三方的插件和WordPress之间的交互需要使用各种API。

这既是优点也是一个潜在的缺点,因为DDoS攻击一般都是利用这些API的漏洞来进行的。所以WordPress上杜绝DDoS攻击最好的方法就是减少这些WordPress插件的使用。

在WordPress中禁用XML-RPC

XML-RPC允许第三方应用程序与你的WordPress网站进行交互。例如,你需要XML-RPC才能在移动设备上使用WordPress APP更新文章。但是一般的网站并不需要在APP上进行更新操作,所以这个功能最好是禁用掉。

你可以通过在.htaccess文件中添加下面的代码来禁用XML-RPC 。

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

在WordPress中禁用REST API

WordPress JSON REST API允许插件和工具访问WordPress数据,更新内容,甚至删除它。所以为了安全你也应该在WordPress中禁用REST API。

你可以使用插件Disable WP Rest API或者是国内的WPJAM来禁用。

激活WAF(网站应用防火墙)

激活WAF(网站应用防火墙)

禁用诸如REST API和XML-RPC之类的攻击媒介,对于预防DDoS攻击的效果是比较有限的。即便你做了上面的那些设置,你的网站仍然容易受到普通HTTP请求的攻击。

尽管你也可以通过将手动阻止恶意IP来缓解一些小型DDoS攻击,但是这种方法在处理大规模DDoS攻击的时候并不是很有效果

尽管你可以通过尝试捕获不良的机器IP并手动阻止它们来缓解小型DOS攻击,但是这种方法在处理大型DDoS攻击时并不是很有效。

阻止可疑请求最简单方法是激活网站应用程序防火墙。

网站应用程序防火墙可以充当你的网站和所有流入流量之间的代理。它使用智能算法捕获所有可疑请求,并在它们到达你的网站服务器之前将其阻止。

阻止可疑请求的最简单方法是激活网站应用程序防火墙。

我们建议使用Sucuri,因为它是最好的WordPress安全插件和网站防火墙。它在DNS级别上运行,这意味着他们可以在向你的网站发出请求之前捕获DDoS攻击。

Sucuri的价格从每月20美元起(每年支付)。

注意:在DDoS攻击期间,在应用程序级别运行的网站应用程序防火墙(WAF)的效率较低。一旦流量到达你的Web服务器,它们就会阻止流量,因此它仍然会影响你的整体网站性能。

如何分辨是蛮力攻击还是DDoS攻击

暴力攻击和DDoS攻击都会大量使用服务器资源,这意味着它们产生的后果看起来非常相似:都会让你的网站变慢甚至是崩溃。

你只需查看Sucuri插件的登录报告,就可以轻松找到是蛮力攻击还是DDoS攻击。

只需安装并激活免费的Sucuri插件,然后转到Sucuri安全性»上次登录页面。

如果你看到大量随机登录请求,则表明你的wp-admin受到了蛮力攻击。

如果你看到大量随机登录请求,则表明你的wp-admin受到了蛮力攻击。

DDoS攻击期间要做的事情

即使你具有Web应用程序防火墙和其他保护措施,也可能发生DDoS攻击。诸如CloudFlare和Sucuri之类的公司会定期处理这些攻击,并且大多数时候你永远不会感受到这些攻击的存在,因为这些防火墙软件可以轻松解决掉这些小型DDoS攻击。

但是,在某些情况下,当这些攻击很大时,它仍然会影响你。在这种情况下,最好做好准备,以减轻DDoS攻击期间和之后可能出现的问题。

你可以采取以下措施来最大程度地减少DDoS攻击的影响。

1.提醒你的团队成员

如果你有团队,则需要将此问题告知同事。这将帮助他们为客户支持查询做准备,寻找可能的问题,并在攻击期间或之后提供帮助。

2.告知客户不便之处

DDoS攻击可能会影响你网站上的用户体验。如果你经营WooCommerce商店,那么你的客户可能无法下订单或登录其帐户。

你可以通过社交媒体帐户宣布你的网站存在技术问题,并且一切将很快恢复正常。

如果攻击很大,那么你还可以使用电子邮件营销服务与客户进行交流,并要求他们关注你的社交媒体更新。

如果你有VIP客户,那么你可能希望使用商务电话服务拨打单个电话,并让他们知道你如何恢复服务。

在艰难时期的沟通对保持品牌声誉具有重大影响。

3.联系托管和安全支持

与你的WordPress托管提供商联系。你的网站正在经历的DDoS攻击可能是针对他们的系统的较大攻击的一部分。在这种情况下,他们将能够为你提供有关情况的最新更新。

请与你的防火墙服务商联系,并让他们知道你的网站受到DDoS攻击。他们也许能够更快地解决这种情况,并可以为你提供更多信息。

在Sucuri之类的防火墙提供程序中,你还可以将设置设置为偏执模式,这有助于阻止许多请求并使普通用户可以访问你的网站。

确保你的WordPress网站安全

WordPress虽然使用方便,但是作为世界上最受欢迎的网站系统,它也经常成为黑客的攻击目标。好的方面是,因为使用量大,所以有各种成熟的WordPress安全实践方案。

通过上面的介绍,相信大家对于WordPress网站遭受到DDoS攻击后的情况有了一定的了解,也知道了如何去做才能够避免这样的情况发生或者是将损失降低到最低点。

Contact Us

159-6100-4617

在线咨询:点击这里给我发消息

邮件:thinkou@126.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code