DDoS-атаки і як забезпечити безпеку вашого сайту WordPress
Як правило, власники бізнесу завжди думають про стратегії оптимізації свого сайту WordPress для збільшення притоку трафіку і підвищення рейтингу, які можуть допомогти їм добитися більшої видимості. Однак усі їхні зусилля будуть марними, якщо сайт виявиться зламаним, що не тільки дорого обходиться, а може поставити під загрозу репутацію бренду.
WordPress пропонує потужні функції та безпечну кодову базу, що робить його одним із найпопулярніших конструкторів веб-сайтів у всьому світі. Але це не робить його захищеним від різних форм зловмисних кібератак, таких як DDoS-атаки, які в наш час стають все більш нестримними.
У цьому посібнику ми більш детально поговоримо про DDoS-атаки, а також про кроки, які ви можете зробити, щоб керувати безпекою свого веб-сайту на професійному рівні.
Що таке DDoS-атака?
Атака DDoS – це коротка форма атаки розподіленої відмови в обслуговуванні. Це тип кібератаки, яка використовує зламані комп’ютери та пристрої для відправлення та запиту даних з хост-сервера WordPress, дозволяючи зловмисникові отримати контроль над вашим сайтом. Найпопулярніші хости WordPress включають заходи щодо зниження ризику DDoS-атак, у тому числі зашифровані з’єднання, безперервний моніторинг та усунення уразливостей плагінів.
Думайте про DDoS-атаки як про більш розвинену форму DoS (атак типу «відмова в обслуговуванні»). На відміну від останнього, зловмисники DDoS маніпулюють кількома компрометованими машинами або серверами, щоб збільшити їх поширення в різних регіонах.
Потім скомпрометовані машини створюють мережу (також відому як ботнет), де кожна уражена машина діє як бот і запускає атаки на цільовий сервер чи систему. Це також дозволяє їм залишатися непоміченими протягом деякого часу, дозволяючи їм завдати максимальної шкоди до того, як справжній власник зможе їх заблокувати.
Що відбувається під час DDoS-атаки?
Ми вже обговорювали, як скомпрометовані машини створюють ботнет при DDoS-атаці. Перш ніж ми заглибимося в технічний аспект цих атак, ми хотіли б уточнити, що бот – це автоматизована програма, яка виконує певні завдання в Інтернеті зі швидкістю, що набагато перевищує ту, яку будь-коли могли зробити люди. Саме цим користуються хакери.
При DDoS-атаці ресурси сервера виснажуються, а час завантаження сайту збільшується. Тому, коли він потрапляє на будь-який веб-сайт, це може спричинити проблеми з продуктивністю або повністю вивести сервер із ладу, перевантажуючи ресурси сервера, такі як пам’ять, процесор, а іноді навіть усю мережу.
Основним джерелом цих атак є контрольований хакерами ботнет уразливих пристроїв Інтернету речей. Оскільки Інтернет речей (IoT) є швидкозростаючим сегментом Інтернету, він робить його більш схильним до поширених загроз безпеки IoT, особливо DDoS. Найпоширенішими пристроями є побутова техніка, смарт-телевізори, камери відеоспостереження, системи домашнього освітлення та навіть холодильники!
Які існують типи DDoS-атак?
Цікаво, що DDoS – це не єдина форма атаки; Існують різні різновиди з окремим стилем функціонування, у результаті класифікації виділяється кілька підкатегорій. Читайте далі, оскільки ми більш детально обговоримо найпоширеніші з них:
Об’ємні DDoS-атаки
Як правило, прості об’ємні DDoS-атаки включають повінь цілі із запитом на перевантаження пропускної спроможності без прямого націлювання на WordPress. Натомість основна мета цих атак – атакувати базову операційну систему разом із веб-сервером. Проте об’ємні DDoS-атаки є актуальними для веб-сайтів WordPress.
Якщо хакери досягнуть успіху, ваш сайт WordPress не зможе обслуговувати сторінки для справжніх відвідувачів протягом усієї атаки. Найбільш поширені типи цих атак включають посилення NTP та UDP-флуд.
DDoS-атаки на рівні додатків
Вдало названі DDoS-атаки прикладного рівня зосереджені на вашому веб-сервері Apache або NGINX разом з вашим сайтом WordPress. З усіх типів цей, безумовно, завдає максимальної шкоди по відношенню до витраченої пропускної спроможності.
HTTP-флуд та атаки Slow Post потрапляють до цієї категорії.
У цьому випадку яскравим прикладом є WordPress REST API. Атака починається з HTTP-запиту від одного з хост-комп’ютерів, який потім використовує відносно незначну кількість ресурсів на хості. Однак це може мати протилежний ефект на цільовий сервер, викликаючи кілька операцій. Типовими прикладами є перевірка облікових даних сервера, повернення веб-сторінки, читання з даних і т. д.
Багатовекторні DDoS-атаки
Хакери не обмежуються одним типом атаки та часто використовують багатовекторний підхід. Як і слід було очікувати, під час проведення багатовекторної DDoS-атаки хакер використовує кілька методів націлювання.
DDoS-атаки на основі протоколів
Ці атаки слідують тієї ж моделі виснажливих сил, що й інші, але в основному зосереджені на транспортному та мережевому рівнях, а не на додатку чи службі. Мають на увазі атаки, такі як пінг-смерті та син-флуд.
Хакери запускають ці атаки для відмови в обслуговуванні, націлюючись на пристрої, такі як базовий стек TCP/IP або брандмауери, що працюють на вашому сервері. Це дозволяє їм використовувати вразливості у тому, як мережевий стек сервера обробляє такі завдання, як зв’язок TCP або мережеві пакети.
Способи захисту вашого сайту WordPress від DDoS-атак
Дуже важливо розуміти, що DDoS-атака – це не злом WordPress у традиційному значенні цього слова. Ці атаки не можуть вкрасти інформацію про відвідувачів веб-сайту – плюс, єдина мета проведення цих атак – перевантажити ресурси веб-сайту, що іноді використовується для здирництва або шантажу.
У 2016 році середній щорічний відтік клієнтів для компаній становив 10%, цей термін використовується для позначення втрати клієнта. Але коли потенційному клієнту важко завантажити сайт, їх може побільшати. У таких ситуаціях хакер може попросити власників веб-сайтів заплатити викуп, щоб зупинити атаку DDoS і забезпечити безперебійну роботу веб-сайту.
Ось що ви можете зробити, щоб запобігти цим атакам.
Використовуйте мережу доставки контенту (CDN)
Служби, що кэширують копії вашого веб-сайту у відповідних центрах обробки даних відомі як CDN. Думайте про них як про посередників між вами та відвідувачами вашого сайту.
Ідея використання CDN полягає в тому, щоб знизити навантаження на ваш сервер, що, у свою чергу, може допомогти вам зменшити загальний час завантаження, оскільки вони спеціально створені для оптимізації продуктивності. Вони також діють як протипожежний захист від DDoS-атак, обмежуючи результуючий трафік від переповнення вашого веб-сайту, а також для виявлення аномальних атак і спадів трафіку, ефективно пом’якшуючи їх.
Багато хостингових компаній пропонують вбудований CDN, існує безліч плагінів CDN (таких як Site Accelerator як частина Jetpack), або ви можете використовувати безкоштовний CDN від третьої сторони. У WPExplorer ми використовуємо та рекомендуємо Cloudflare, але вибираємо той варіант, який вам підходить.
Перейдіть на нового (кращого) хостинг-провайдера
Подивимося правді у вічі: всі веб-хости не однакові.
Якщо ви выберете хостинг-провайдера, який не може впоратися з помірним навантаженням, він, звичайно, зробить ваш сайт ідеальною жертвою DDoS-атаки. На щастя, є кілька шанованих провайдерів хостингу WordPress, таких як WP Engine, які мають відмінні протоколи захисту від потоків трафіку на рівні сервера.
Використовуйте службу захисту від DDoS-атак
Як правило, мережі CDN пропонують захист від DDoS як стимул, але ви також можете підписатися на спеціальну службу захисту від DDoS як альтернативу. І, як і слід очікувати, вибір цих послуг не з дешевих, оскільки деякі компанії стягують близько 3000 доларів на місяць.
Чорний список підозрілих IP-адрес
Ви обов’язково повинні відслідковувати IP-адреси, які відображають підозрілі дії, такі як необґрунтовано велика кількість відвідувань, повторні спроби входу в систему та IP-кластери, які зрештою наповнюють ваш сайт трафіком. Це також життєздатний варіант, якщо ви не хочете використовувати сторонні служби або плагіни.
Налаштувати брандмауер
Брандмауери – це програмне забезпечення, в якому заздалегідь запрограмовані правила для захисту вашого комп’ютера від несанкціонованого доступу. Ви можете налаштувати брандмауер, щоб обмежити кількість користувачів, які отримують доступ до вашого веб-сайту протягом певного періоду, і відфільтрувати ботів або відвідувачів, які можуть бути ботами.
Це може бути дуже корисно, щоб звести до мінімуму DDoS-атаки без шкоди для досвіду користувача, і зараз це набагато простіше, ніж у минулому. Багато цифрових курсів безпеки веб-розробки тепер включають уроки з налаштування міжмережевих екранів і віртуальних приватних мереж. І більшість хороших плагінів безпеки WordPress пропонують брандмауер як частину свого списку функцій.
Підсумок: веб-сайти – великі чи маленькі – часто стають жертвами DDoS-атак. Хакери використовують ці атаки як форму шантажу проти підприємств, тому вам слід вжити заходів для сканування свого сайту WordPress на наявність уразливостей та налаштування захисту WordPress від DDoS-атак.
Більшість користувачів WordPress мають меншу можливість постраждати від DDOS-атаки, але це не гарантує вам нічого. Пам’ятаючи про це завжди розумно послідовно застосовуйте передові методи безпеки для підвищення безпеки вашого сайту.
