Эта статья была спонсирована Incapsula . Спасибо за поддержку партнеров, которые делают возможным использование SitePoint.
Распределенные атаки типа «отказ в обслуживании» (DDoS) все чаще становятся реальностью для любого бизнеса, присутствующего в сети. Для любой компании, большой или маленькой, вопрос не в том, «если» вас атакуют DDoS-атакой, а в «когда». И без стороннего поставщика, такого как Incapsula , сайты WordPress становятся все более уязвимыми для ботов, выполняющих DDoS-атаки. ,
Чем популярнее платформа, тем больше вероятность, что она станет мишенью для атак. И WordPress — безусловно, самая популярная платформа в Интернете. CMS занимает почти 60 процентов доли рынка и составляет ошеломляющие 25 процентов всех сайтов в Интернете. Из всех этих миллионов сайтов 60 процентов используют более старую версию WordPress или более новые, но не исправленные версии, которые могут стать роботами для участия в атаке.
Основываясь на отраслевых отчетах и текущих тенденциях, распространенность DDoS-атак растет быстрыми темпами, и восстановление после повреждения атаки может также занять месяцы или годы. Более половины респондентов в опросе Incapsula (52 процента) сообщили, что их организация должна была заменить программное / аппаратное обеспечение или потеряла доход. Еще 43 процента подтвердили, что их организация потеряла доверие потребителей.
Исправление WordPress не остановит DDoS-атаку
«Самая большая уязвимость безопасности — это устаревший компонент WordPress», — говорит Эрик Мерфи, директор по безопасности в WP Engine . «Самое важное, что люди должны делать, — это следить за тем, чтобы их ядро WordPress, темы и плагины были обновлены. Понимание OWASP Top 10 позволяет пользователям, разработчикам и инженерам защищать свои активы WordPress ».
Мерфи прав. Исправление вашего сайта WordPress будет поддерживать ваш сайт стабильным и предотвратит множество атак. Но это не может остановить решительную DDoS-атаку. Даже если вы используете самого усердного администратора WordPress для наблюдения за экраном, который тестирует и применяет исправления сразу после их выпуска и неустанно поддерживает сайт в актуальном состоянии, ваш сайт все равно может быть поставлен на колени DDoS-атака — затраты на продажи, ресурсы и репутацию вашего бизнеса.
Другая причина, по которой ваш сайт уязвим для DDoS-атак, заключается в том, что они получены из растущей матрицы непатентованных IoT-устройств, которые охватывают Интернет. Многие (большинство?) Поставщики, которые подключают устройства к сети, не отдают предпочтение безопасности и вместо этого выбирают простоту использования клиентами. Причина заключается в том, что всякий раз, когда требуется дополнительный уровень безопасности, это может потенциально повлиять на продажи.
Еще одна причина того, что безопасность — это запоздалая мысль для устройств IoT, даже в эпоху взлома DDoS, заключается в том, что производители выпускают свои продукты на рынок как можно быстрее. Если они сначала поступят на рынок, они могут выиграть или даже доминировать на рынке. Таким образом, продукт отбрасывается из-за незрелой или даже несуществующей системы безопасности с планом, чтобы исправить проблемы безопасности позже. Но в то же время на ваш сайт WordPress снова попал еще один вектор атаки.
Проблема с IoT
Распространение IoT-устройств напрямую увеличивает количество и силу DDoS-атак. Практически любое интеллектуальное устройство может быть использовано в DDoS-атаке. Пара белых хакеров продемонстрировала, как можно использовать термостат Nest, чтобы вымогать деньги у своих пользователей. Nest принадлежит Google и может позволить себе исправлять уязвимости, однако многие небольшие компании с устройствами IoT не могут позволить себе регулярно их исправлять.
Отказ в обслуживании IoT может принимать практически любую форму. В феврале 2017 года преподавателям и студентам в американском университете было отказано в доступе в Интернет, потому что его торговые автоматы и лампочки пинговали веб-сайты, связанные с морепродуктами .
Чего ждать? Лампочки? Да, даже лампочки теперь могут использоваться в DDoS-атаках. Эти крутые фонари Philips Hue были недавно созданы для того, чтобы высвечивать SOS на азбуке Морзе в здании после заражения вирусом, доставляемым дроном, зависшим снаружи. Смотрите это здесь . И исследователи говорят, что это только начало. Вскоре уязвимость в операционной системе вашего источника света может быть использована в массовой DDoS-атаке.
Тогда есть устройства IoT, у которых вообще нет поставщиков. Созданные на бесплатной основе компьютеры Raspberry Pi могут делать практически все. Мечта производителя, эти недорогие компьютеры могут быть созданы для потоковой передачи фильмов, проверки содержимого вашего холодильника, заказа вещей из Amazon — действительно всего, о чем вы только можете подумать. Но эта гибкость также имеет свою цену. Компьютеры Raspberry Pi последнего поколения беспроводным образом подключены к Интернету, так что в будущем их будет намного больше.
Эти дешевые компьютеры были созданы для обучения работе на компьютере. Как и производители, выпускающие новый продукт, безопасность действительно не является главной заботой, когда ученик строит веб-камеру для скворечника или устройство Kobi, что делает распространение этих маленьких ПК следующим фронтом для кибер-воинов.
Добавьте к этому уязвимость старых добрых непатентованных ПК с Windows, таких как XP, и вы получите технологический коктейль, готовый для атак. За последний год в отчете Imperva 2013–2014 по DDoS угрозам указывалось на 240-процентное увеличение активности атак ботнета (то есть сети компьютеров-зомби, используемых злоумышленниками для запуска атак DDoS). В 4 квартале 2013 года количество таких нападений выросло на 42 процента, согласно отчету Verizon за 2014 год, посвященному расследованию нарушений данных.
Incapsula защищает ваши сайты WordPress
Очистка после DDoS — не что иное как болезненное. На весь бизнес влияет атака DDoS. Он переходит от проблемы IT / InfoSec к проблеме всей компании. Руководители, отделы продаж, маркетинга и поддержки должны переписать сценарий и управлять ущербом, который нанесет атака.
Зная, что полностью исправленный сайт WordPress, находящийся на полностью исправленной аппаратной и программной платформе, мало поможет в борьбе с DDoS-атакой, следующий шаг — посмотреть, что может смягчить атаку. Это другой подход. Трафик должен быть проверен, прежде чем он достигнет вашего сайта. Как? Incapsula действует как обратный прокси-сервер, поэтому все входящие соединения с вашим веб-сайтом сначала проходят через сервер Incapsula, где проверяется трафик. Если атака усиливается, Incapsula выделяет больше ресурсов для обеспечения того, чтобы законный трафик попадал на ваш сайт. Это то, что трудно сделать самостоятельно. Incapsula также позаботится о том, чтобы вы продолжали видеть реальные исходные IP-адреса посетителей вашего веб-сайта, чтобы не потерять ценность.
Incapsula предоставляет вашему сайту безопасность и производительность, которые ранее были доступны только для сайтов CMS высокого класса. С помощью простого изменения настроек DNS вместе с плагином Incapsula трафик веб-сайта плавно перенаправляется через глобальную сеть высокопроизводительных серверов Incapsula. Входящий трафик интеллектуально профилируется в режиме реального времени, блокируя даже самые последние веб-угрозы от изощренных SQL-инъекций до злонамеренных ботов и вторгающихся спамеров в комментариях. В то же время исходящий трафик ускоряется и оптимизируется для ускорения загрузки, что позволяет посетителям проходить быстрее.
Еще одним преимуществом фильтрации входящего трафика через Incapsula является то, что он применяет то, что он узнал от других атак в режиме реального времени. Если он видит уязвимость кросс-скриптовой атаки на одного из своих клиентов, он может немедленно применить это решение ко всем своим клиентам.
Альтернативы этому динамическому решению в реальном времени нет. Ближайшая альтернатива — ожидание и, в конечном итоге, применение обновления плагина WordPress.