Все труды, затраченные на создание сайта WordPress, могут быть сведены на нет в одно мгновение, если не предпринять никаких мер по защите от DDoS-атак. Все общедоступные сайты подвержены DDoS-атакам, и сайты на базе WordPress не являются исключением. К счастью, WordPress — очень гибкая платформа, поэтому она поддерживает эффективные меры защиты от атак. Это просто вопрос профилактики: чтобы отразить атаку или смягчить ее последствия, нужно действовать до того, как она произойдет.
Что такое DDoS-атака?
DDoS-атака — это скоординированные агрессивные действия сети скомпрометированных компьютеров или устройств (ботнета), которые массово отправляют данные на один сервер (цель) или запрашивают их у него. Поток запросов превышает возможности сервера, замедляя его работу или приводя к его аварийному завершению из-за нехватки ресурсов.
Потенциальный ущерб от DDoS-атаки
Если ваш сайт станет объектом DDoS-атаки, с ним может произойти много неприятных событий. Например:
- Может ухудшиться качество обслуживания посетителей. В лучшем случае ответы сайта могут стать медленными, в худшем — весь сайт будет недоступен.
- Если ваш сайт является интернет-магазином, то вы можете потерять продажи, а если он просто предоставляет контент, то ваши посетители могут уйти в другое место, чтобы получить то, что им нужно.
- Репутация вашего сайта может серьезно упасть как с точки зрения воспринимаемой репутации бренда (т.е. ваша компания будет считаться несерьезной), так и с точки зрения авторитетности, релевантности и доверия, которые являются основой любой SEO-стратегии.
- Восстановление нанесенного ущерба обойдется вам недешево. Стоимость будет зависеть от продолжительности атаки, и ее трудно подсчитать, поскольку необходимо учесть множество побочных эффектов, таких как работа службы поддержки в ответ на заявления пользователей о нарушении обслуживания или привлечение службы безопасности для очистки сайта.
Кто становится жертвой DDoS-атак?
Любой сайт, независимо от его размера и объема, может стать жертвой DDoS-атаки.
Наиболее легкой мишенью являются сайты с открытыми уязвимостями, однако атака может быть организована и специально на любой конкретный сайт. Атака может проводиться по идеологическим причинам (так называемый хактивизм), например, с целью дискредитации сайта, пропагандирующего определенные политические или религиозные идеи. Или с целью шантажа владельца сайта и требования выкупа.
Или это может быть просто хобби группы технически подкованных людей, желающих продемонстрировать свои навыки. Атака может быть и заказной: компания платит группе хакеров, чтобы они атаковали именно ее конкурентов. Какова бы ни была причина, суть одна: любой владелец сайта должен принять меры предосторожности, чтобы DDoS-атака не нанесла ущерба его сайту. Это не сложно и не дорого, так что реальных причин не делать этого нет.
Как защитить свой WordPress от DDoS-атак?
Чтобы защитить свой сайт WordPress от DDoS-атак, необходимо предпринять две необходимые меры безопасности:
Решение для резервного копирования необходимо по многим причинам, а не только для защиты от DDoS-атак. В каталоге плагинов WordPress есть множество платных и бесплатных решений для резервного копирования, поэтому мы сейчас не будем углубляться в эту тему. После атаки, если ваш сайт поврежден, восстановление его с помощью безопасной резервной копии — это быстрый способ вернуть его в нормальное состояние. Что касается решений по защите от DDoS, то здесь следует задать себе вопрос, насколько вы хотите быть спокойны и сколько денег вы хотите за это заплатить. Если вы не хотите ничего платить, то о многих вещах вам придется позаботиться самостоятельно.
Подход «сделай сам»
Одно из достоинств WordPress — открытая архитектура, позволяющая сторонним приложениям интегрироваться и взаимодействовать с ним. Это достигается благодаря нескольким API (Application Programming Interface), доступным программистам. Проблема заключается в том, что эти API могут быть использованы DDoS-атакой для отправки большого количества запросов. Поэтому первое, что необходимо сделать, — отключить API, который можно эксплуатировать, под названием XML-RPC.
XML-RPC нужен только в том случае, если ваш сайт WordPress взаимодействует с внешними сторонними приложениями, например с приложением WordPress на мобильных устройствах. Если вы можете обойтись без них, то лучше отключить XML-RPC. Это можно сделать, просто отредактировав файл .htaccess своего сайта и запретив доступ к программе xmlrpc.php. Если же вы не считаете безопасным самостоятельно изменять внутренние файлы своего сайта, то можно приобрести плагин, который сделает это за вас.
Анти-DDoS плагины
Существует несколько плагинов безопасности WordPress, которые устраняют другие уязвимости WordPress. Protection Against DDoS — этот плагин устраняет проблемы производительности, вызванные грубой силой и DDoS-атаками. Выполняя все проверки через файл .htaccess, он останавливает вредоносные запросы на уровне веб-сервера, прежде чем они смогут достичь сайта WordPress. Кроме того, он устраняет уязвимость XML-RPC, а его конфигурационные опции позволяют пользователям Cloudflare запрещать доступ посетителям из определенных стран.
Отключить WP REST API — еще одна уязвимость популярной CMS — WordPress REST API. К счастью, эта уязвимость может быть легко устранена с помощью этого суперлегкого плагина. Он содержит всего 22 строки кода — менее 2 КБ — и работает за счет отключения WP REST API для посетителей, не вошедших в WordPress. После его установки и активации, если посетители, вышедшие из системы, будут делать JSON/REST-запросы к вашему сайту, они получат сообщение о том, что доступ к REST API закрыт для авторизованных пользователей. Disable XML-RPC Pingback — этот плагин, имеющий более 80 тыс. установок и рейтинг 4,5 звезды, устраняет все уязвимые методы из интерфейса XML-RPC. Кроме того, он удаляет X-Pingback из HTTP-заголовков, что не позволяет ботам добраться до файла xmlrpc.php.
Защитные комплексы
Если вы хотите полностью забыть о DDoS и других проблемах безопасности и направить все свои усилия на развитие бизнеса, то вам необходимо решение, которое охватывает все базы. Такое решение должно включать в себя:
- Брандмауэр веб-приложений. Брандмауэр стоит между вашим сайтом и Интернетом, обнаруживая враждебный трафик и блокируя его.
- Антивирусный пакет для веб-сайтов. Он должен периодически и автоматически проверять ваш сайт на наличие вредоносных программ и удалять их.
- Сканирование сервера на предмет неинфекционных взломов, таких как баннерная реклама с неизвестных сайтов.
- Аудит/мониторинг сайта для выявления любой подозрительной активности, такой как изменения файлов, новые сообщения, новые пользователи, неудачные попытки входа и т.д.
Рассмотрим следующие решения, обеспечивающие комплексную защиту WordPress-сайта.
Решения, обеспечивающие комплексную защиту WordPress-сайта
Sucuri
Sucuri — известная компания, специализирующаяся на веб-безопасности и имеющая большой опыт работы с WordPress-сайтами. Как только вы включаете Sucuri на своем сайте, она устанавливает облачный прокси-брандмауэр между вашим сайтом и Интернетом, фильтруя весь трафик, направляемый на ваш хостинг-сервер. Брандмауэр позволяет только легитимным посетителям посещать ваш WordPress-сайт. В качестве побочного эффекта, благодаря «облаку» Sucuri, ваш сайт будет иметь более быстрый отклик, и вы сможете сэкономить деньги на хостинге за счет снижения объема трафика, который должен обрабатывать ваш сервер.
Полноценное решение Sucuri включает в себя антивирусный пакет, который регулярно сканирует и контролирует ваш сайт, защищая его от всех видов вредоносного ПО: вредоносных фрагментов JavaScript, подозрительных перенаправлений, инъекций кода и т.д. Кроме того, система проверяет, не попал ли сайт в «черный список» сервисов оценки репутации. Просматривая журнал аудита сайта, вы будете получать информацию обо всем, что происходит на вашем WordPress-сайте, включая новых пользователей, неудачные попытки входа, изменения файлов и т.д.
Цены на тарифные планы Sucuri начинаются от 199 долл. в год за базовый сервис, который на самом деле не такой уж и базовый, поскольку в нем отсутствует лишь пара функций, ориентированных на корпоративный уровень. Включенные функции более чем оправдывают цену, но если этого недостаточно, обратите внимание на то, что Sucuri также предлагает услуги по очистке от вредоносных программ и удалению черных списков. Если ваш сайт защищен, то вряд ли вам понадобится эта услуга, но учтите, что эксперт по безопасности может запросто взять с вас 250 долл. в час за удаление вредоносной программы с вашего сайта.
Astra Security
Astra Security — одно из ведущих решений для защиты WordPress. Интеллектуальный межсетевой экран Astra с конечной точкой беспрепятственно устанавливается на ваш сайт и обеспечивает защиту в режиме реального времени от DDoS-атак 7-го уровня и более 100 типов других атак. Этот брандмауэр, оснащенный интеллектуальной системой машинного обучения, идентифицирует известные атаки, поведение ботов и вредоносные запросы и совершенствуется с каждым новым типом атак. Работая 24*7, брандмауэр Astra надежно защищает ваш сайт. Более того, брандмауэр Astra прекрасно работает на вашем собственном сервере, не требуя изменения DNS.
Но это еще не все. Пакет Astra Security предлагает гораздо больше возможностей. В каждый пакет безопасности входят WAF, сканер вредоносных программ, блокировщик стран и IP-адресов, а также ряд других полезных функций. Приступить к работе с Astra Security очень просто, весь процесс занимает не более 15 минут. Вот как это работает:
- Установите плагин Astra Security из репозитория WordPress.
Это позволит подключить ваш бэкэнд WP к панели Astra, которая будет выглядеть следующим образом:
Cloudflare
Cloudflare использует свою огромную CDN (сеть распространения контента) для защиты сайта WordPress от DDoS-атак, что позволяет не только обезопасить сайт, но и ускорить его работу. Имея более 200 центров обработки данных, расположенных по всему миру, CDN достаточно велика, чтобы поглощать и отражать даже самые мощные атаки, поэтому можно не беспокоиться о том, что ее возможности по защите будут переполнены.
Проактивный подход к защите позволяет Cloudflare предвосхищать атаки, используя общие интеллектуальные данные, полученные в результате анализа поведения сигнатур и IP-адресов более чем 20 млн. веб-сайтов. Защита обнаруживает и блокирует атаки уровней 3, 4 и 7 на границе, не позволяя им достичь вашего сайта. Также обеспечивается защита всех TCP-портов в вашей инфраструктуре за счет использования Spectrum для проксирования трафика через дата-центр Cloudflare.
Услуга бесплатна для частных лиц и небольших (не критичных для бизнеса) сайтов. Бесплатный тарифный план включает в себя защиту от DDoS-атак, глобальную CDN и поддержку по электронной почте. Платные тарифные планы начинаются от 20 долл. в месяц и включают брандмауэр веб-приложений, аналитику кэша, мобильную оптимизацию и другие преимущества. Для критически важных веб-сайтов корпоративный тарифный план добавляет поддержку по чату/телефону 24x7x365, SLA на 100% безотказной работы, поддержку инженеров по решениям и другие преимущества.
StackPath
Глобальная сеть общей емкостью 65 Тбит/с позволяет решению StackPath противостоять самым крупным и сложным DDoS-атакам, используя весь спектр методов атаки, включая HTTP-, SYN- и UDP-флуды. Платформа StackPath собирает и анализирует информацию о DDoS-атаках на всех своих пограничных узлах, что позволяет блокировать все вредоносные попытки, независимо от того, откуда они исходят.
Для защиты сайта WordPress на сетевом уровне в глобальной сети StackPath используется сетевое оборудование, защищающее от DDoS-атак уровней 3 и 4 на уровне устройства. При этом интеллектуальный межсетевой экран веб-приложений менее чем за секунду отражает сложные DDoS-атаки 7-го уровня, используя уникальные методы проверки JavaScript, позволяющие обнаруживать и блокировать автоматических ботов, а также предоставляя расширенные инструменты для настройки пороговых значений DDoS в соответствии с конкретными потребностями.
Защита от DDoS-атак от StackPath является частью пакета внешних услуг, стоимость которого начинается от 20 долл. в месяц и включает в себя CDN, WAF (межсетевой экран веб-приложений), DNS и услуги мониторинга. Эти четыре услуги можно заказать и по отдельности, заплатив за каждую по 10 долл. в месяц. Цены меняются в зависимости от объема; например, если вам требуется CDN на 100 ТБ/мес и WAF на 50 Мбит/мес, то придется заплатить 2000 долл. в месяц.
Заключение
Если ваш сайт упадет, попадет в черный список или потеряет репутацию, не надо оправдываться. У вас под рукой есть все ресурсы для того, чтобы предотвратить катастрофу, разрушающую ваш любимый WordPress-сайт. Если вы еще не сделали этого, примите меры и сделайте что-нибудь, пока не стало слишком поздно.