Как в WordPress остановить и предотвратить DDoS-атаку

WordPress используют во всем мире. Это не просто так. Ведь он имеет мощные функции и безопасный код. Однако, как и другое программное обеспечение, это не защищает движок от атак DDoS.

Покажем рабочие способы как остановить и предотвратить DDoS-атаку на ВордПресс-сайте.

Что такое DDos-атака?

Ее цель сделать так, чтобы веб-ресурс начал работать медленно и в итоге стал недоступным для всех. Атакуются как отдельные сайты, так и целые группы IP-адресов хостинга.

Для чего используют?

Вот несколько причин:

  • для развлечения,
  • политические мотивы,
  • материальный ущерб,
  • шантаж/выкуп.

Какие последствия?

  1. Потеря бизнеса из-за “медленного” или нерабочего сайта.
  2. Налаживание отношений с клиентами.
  3. Затраты на восстановление.
  4. Снижение репутации.

Как остановить и предотвратить DDoS-атаку на WordPress?

Их сложно найти и устранить. Но основные рекомендации по безопасности помогут их предотвратить и остановить. И вот какие.

Избавьтесь от кода, который может привести к DDoS/Brute Force

WP очень гибкий. Позволяет сторонним плагинам и инструментам добавлять новые функции. Для этого имеет API-интерфейсы. Это методы, с помощью которых сторонние службы и дополнения взаимодействуют с движком.

Некоторые из этих также могут стать причиной атаки, отправляя много запросов. Вы можете безопасно их отключить.

В данном случае лучший способ чистки исходного кода — использовать мультифункциональный WordPress-плагин Clearfy Pro. Сейчас покажу, как с его помощью можно закрыть «дыры», через которые пытаются пробиться злоумышленники.

1. XML RPC

Это протокол передачи данных, который позволяет создавать и редактировать контент и комментарии без входа в админ-панель.

В настройках Clearfy Pro перейдите на вкладку «Защита» и включите переключатель «Отключить xmlrpc.php» (станет зеленым).

как отключить xmlrpc.php в clearfy

Как удалить ссылку X-Pingback в WordPress и отключить XML-RPC?

2. Rest API

Это инструмент, который тоже используют для работы с внешними источниками.

Чтобы его отключить, установите расширение Disable REST API. Модуль не нужно настраивать — работает после активации.

Но я рекомендую все тот же Clearfy Pro, чтобы не плодить плагины под каждую задачу. В этом WordPress-модуле уже есть все для базовой поисковой и технической оптимизации проекта на старте.

Нужная вам настройка находится на вкладке «Модули». Здесь достаточно просто включить пункт «Отключить комментирование REST API».

как отключить комментирование по REST API в Clearfy

Clearfy от WPShop — очень нужная каждому вебмастеру вещь, поэтому рекомендую к приобретению. Заодно даю хорошую скидку.

-15% на Clearfy Pro по промокоду

Установите файервол

Отключение REST API и XML-RPC — это лишь небольшая часть защиты от атак DDoS. ВП-сайт по-прежнему уязвим для запросов HTTP.

Можно пытаться находить и блокировать “плохие” IP-адреса, с которых атакуют. Но это неэффективно для крупных DDoS.

Самый простой способ — установить брандмауэр на свой сайт. Он сам следит за всеми внешними сетевыми соединениями и блокирует небезопасные.

Из популярных ВордПресс-решений:

  • Sucuri Security,
  • Wordfence Security,
  • Anti-Malware Security and Brute-Force Firewall.

Брандмауэры как отдельные плагины менее эффективны при атаке DDoS. Они блокируют трафик, который уже достиг вашего веб-сервера. А поэтому ваш сайт все еще не защищен.

Что делать во время DDoS-атаки?

Атаковать могут даже если вы проделали всю вышеуказанную работу по защите. Обычно на хостингах стоит мощная защита. Но крупные атаки вы же сможете ощущать на своем ресурсе.

Вот несколько рекомендаций, чтобы DDoS-атаку свести с минимуму.

1. Сообщите всем членам команды

Они всегда будут наготове помочь вам (отправить запрос в техподдержку хостинга, сообщить вашим клиентам о проблеме, контролировать работу сайта).

2. Сообщите клиентам

DDoS-атака может повлиять на работу ваших пользователей. Например, не смогут разместить заказ или войти в учетную запись.

Вы можете объявить о проблеме через соцсети, выслать почтовые уведомления, с некоторыми связаться по телефону.

3. Обратитесь в службу поддержки хостинга

Расскажите, как вы заметили атаку, дайте больше информации. В этом случае вы будете в курсе последних событий и следить за устранением проблемы.

Чтобы не впадать в панику раньше времени, изучайте возможные ошибки, которые могут появится на ваших сайтах, например, backend errors timeout error — что за ошибка. подробно описано в отдельной статье.

Нажмите, пожалуйста, на одну из кнопок, чтобы узнать понравилась статья или нет.

Если Вам понравилась статья — поделитесь с друзьями
Михаил Петров
Привет! Меня зовут Михаил Петров. Я копирайтер и занимаюсь этим с 2013 года. Скрупулезность и ответственность - моя фишка! Не могу делать как попало и добиваюсь, чтоб заказчик сказал минимум “неплохо”. За все время своей работы пришлось написать и отредактировать немало разной “текстовухи”, включая SEO-тексты, отзывы и прочую чушь. На сегодняшний день специализируюсь на написании информационных статей и руководств технического направления. Вижу смысл и светлое будущее в текстах для людей, а не для машин.
Задать вопрос