如何阻止和防止对 WordPress 的 DDoS 攻击

WordPress是世界上最受欢迎的网站建设者之一，因为它提供了强大的功能和安全的代码库。然而，这使得它成为DDoS攻击的目标。

黑客使用DDoS攻击来减慢网站速度，并使用户最终无法访问它们。这些攻击可以针对小型和大型网站。

现在，您可能想知道使用WordPress的小企业网站如何以有限的资源防止此类DDoS攻击。

在本指南中，我们将向您展示如何有效地阻止和防止对WordPress的DDoS攻击。我们的目标是帮助您学习如何像专业人士一样管理网站安全，抵御DDoS攻击。

什么是DDoS攻击？

DDoS（分布式拒绝服务）是一种网络攻击，它使用受损的计算机和设备从WordPress托管服务器发送或请求数据。这些请求的目的是减慢速度并最终使目标服务器崩溃。

DDoS攻击是从DoS（拒绝服务）攻击演变而来的。与DoS攻击不同，他们利用了分布在不同地区的许多受损机器或服务器。

这些受损的机器形成了一个网络，有时被称为僵尸网络。每台受影响的机器都充当机器人，并对目标系统或服务器发起攻击。这允许它们在一段时间内被忽视，并在被阻止之前造成最大的伤害。

即使是最大的互联网公司也容易受到DDoS攻击。

2018年，流行的代码托管平台GitHub目睹了大规模的DDoS攻击，每秒向其服务器发送1.3TB的流量。

您可能还记得2016年臭名昭著的对DYN（DNS服务提供商）的攻击。这次攻击获得了全球新闻报道，因为它影响了许多热门网站，如亚马逊、Netflix、PayPal、Visa、Airbnb、《纽约时报》、Reddit和其他数千个网站。

DDoS常见问题

以下是一些关于DDoS攻击的常见问题的答案。

为什么会发生DDoS攻击？

DDoS攻击背后有几个动机。以下是一些常见的：

• 懂技术的人只是觉得很冒险
• 发表政治观点的人和团体
• 针对特定国家或地区的网站和服务的团体
• 针对特定企业或服务提供商的定向攻击，以造成金钱伤害
• 为了收取赎金而勒索

蛮力攻击和DDoS攻击有什么区别？

蛮力攻击试图通过猜测密码或尝试随机组合来未经授权访问系统。

DDoS攻击纯粹用于使目标系统崩溃，使其缓慢或无法访问。

有关更多详细信息，请参阅我们关于如何阻止WordPress上的暴力攻击的指南。

DDoS攻击会造成什么损害？

DDoS攻击可能会降低网站的性能或使其无法访问。这会导致糟糕的用户体验、业务损失以及减轻攻击的成本，可能高达数千美元。

以下是这些成本的细目：

• 由于网站无法访问而导致业务损失
• 回答服务中断相关查询的客户支持成本
• 通过雇用安全服务或支持来减轻攻击的成本
• 最大的代价是糟糕的用户体验和品牌声誉

我如何在WordPress中阻止和防止DDoS攻击？

DDoS攻击可以巧妙地伪装，并且难以处理。然而，通过一些基本的安全最佳实践，您可以防止并轻松阻止DDoS攻击影响您的WordPress网站。

以下是您需要采取的步骤，以防止和阻止您网站上的DDoS攻击：

删除DDoS/蛮力攻击垂直

WordPress最好的一点是它非常灵活。WordPress允许第三方插件和工具集成到您的网站并添加新功能。

为此，WordPress为程序员提供了几个API。这些API是第三方WordPress插件和服务可以与WordPress交互的方法。

然而，其中一些API也可以在DDoS攻击期间通过发送大量请求来利用。您可以安全地禁用它们以减少这些请求。

在WordPress中禁用XML RPC

XML-RPC允许第三方应用程序与您的WordPress网站进行交互。例如，您需要XML-RPC才能在移动设备上使用WordPress应用程序。

如果您像绝大多数不使用移动应用程序运行其网站的用户一样，那么您只需将以下代码添加到网站的.htaccess文件中即可禁用XML-RPC。

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
<Files>

有关替代方法，请参阅我们关于如何在WordPress中轻松禁用XML-RPC的指南。

在WordPress中禁用REST API

WordPress JSON REST API允许插件和工具访问WordPress数据，更新内容，甚至删除它。以下是如何在WordPress中禁用REST API的方法。

我们建议使用WPCode插件。这是最好的代码片段插件，只需点击几下即可禁用REST API。

有关更多信息，请参阅我们关于如何在WordPress中禁用JSON REST API的指南。

或者，您可以使用禁用WP Rest API插件。该插件开箱即用，并将为所有未登录的用户禁用REST API。

激活WAF（网站应用程序防火墙）

禁用REST API和XML-RPC等攻击向量可提供针对DDoS攻击的有限保护。您的网站仍然容易受到正常HTTP请求的攻击。

虽然您可以通过尝试捕获坏机器IP并手动阻止它们来缓解小型DDoS攻击，但在处理大型攻击时，这种方法不太有效。

阻止可疑请求的最简单方法是激活网站应用程序防火墙。

网站应用程序防火墙充当您的网站和所有传入流量之间的代理。它使用智能算法来捕获所有可疑请求，并在它们到达您的网站服务器之前阻止它们。

我们建议使用Sucuri，因为它是最好的WordPress安全插件和网站防火墙。它在DNS级别上运行，这意味着它可以在向您的网站发出请求之前捕获DDoS攻击。

Sucuri的定价从每年199.99美元起。

或者，您可以使用Cloudflare。然而，Cloudflare的免费服务只提供有限的DDoS保护。您至少需要注册他们的第7层DDoS保护业务计划，每月费用约为200美元。

有关详细的并排比较，请参阅我们关于Sucuri vs Cloudflare的文章。

确定这是蛮力攻击还是DDoS攻击

蛮力和DDoS攻击都密集使用服务器资源，这意味着它们的症状看起来非常相似。您的网站会变慢，可能会崩溃。

通过查看Sucuri插件的登录报告，您可以轻松找到这是暴力攻击还是DDoS攻击。

只需安装并激活免费的Sucuri插件，然后转到Sucuri Security » Last Logins页面。

如果您看到大量随机登录请求，那么这意味着您的wp-admin受到暴力攻击。为了缓解它，您可以查看我们关于如何在WordPress中阻止蛮力攻击的指南。

DDoS攻击期间该怎么做

即使您有Web应用程序防火墙和其他保护措施，DDoS攻击也会发生。像CloudFlare和Sucuri这样的公司定期处理这些攻击，大多数时候，你永远不会听说过它们，因为它们可以轻松缓解它们。

然而，在某些情况下，当这些攻击规模较大时，它们仍然会影响你。在这种情况下，最好做好准备，以缓解DDoS攻击期间和之后可能出现的问题。

以下是您可以做的几件事，以尽量减少DDoS攻击的影响。

1.提醒你的团队成员

如果你有一个团队，那么你需要把这个问题告诉同事。

这将帮助他们为客户支持查询做好准备，寻找可能的问题，并在攻击期间或之后提供帮助。

2.告知客户不便之处

DDoS攻击可能会影响您网站上的用户体验。如果您经营WooCommerce商店，那么您的客户可能无法下订单或登录他们的帐户。

您可以通过社交媒体帐户宣布您的网站存在技术问题，很快一切都会恢复正常。

如果攻击规模很大，那么您还可以使用电子邮件营销服务与客户沟通，并要求他们关注您的社交媒体更新。

如果您有VIP客户，那么您可能希望使用您的商务电话服务拨打个人电话，并让他们知道您如何恢复服务。

在这些困难时期进行沟通，对保持品牌声誉有着巨大的影响。

3.联系托管和安全支持

联系您的WordPress托管提供商。对您网站的攻击可能是针对其系统的更大规模攻击的一部分。在这种情况下，他们将能够为您提供有关情况的最新信息。

联系您的防火墙服务，让他们知道您的网站受到DDoS攻击。他们可能会更快地缓解这种情况，并为您提供更多信息。

在Sucuri等防火墙提供商中，您还可以将设置设置为“偏执模式”，这有助于阻止大量请求，并使普通用户可以访问您的网站。

如何确保您的WordPress网站安全

WordPress开箱即用，非常安全。然而，作为世界上最受欢迎的网站建设者，它经常成为黑客的目标。

幸运的是，有许多安全最佳实践可以应用于您的网站，使其更加安全。