Эта статья была спонсирована Incapsula . Спасибо за поддержку партнеров, которые делают возможным использование SitePoint.
Распределенные атаки типа «отказ в обслуживании» (DDoS) стремительно расширяются. Они были на радаре по крайней мере с 2000 года, и 2017 год может стать годом, когда они станут вашей самой большой проблемой безопасности. Если у вас нет стратегии DDoS, самое время ее выбрать.
Исходя из текущих тенденций, отраслевые эксперты прогнозируют, что это может быть кризисный год. Это отражено в последних заголовках:
- DDoS в 2017 году: готовьтесь к ухабистой поездке The Register .
- DDoS-атаки выросли на 380% в первом квартале 2017 года , CIO Dive
- DDoS-цунами 2017 года обойдется компаниям в миллионы , TechRepublic
- Хакеры не берут выходных: DDoS-атаки в 2017 году возрастают в пять раз , SiliconANGLE
- Ожидается увеличение количества вымогателей и DDoS-атак в 2017 году , Enterprise Innovation
- 2017 год может стать кризисным годом для DDoS-атак , ComputerWeekly .
Чем популярнее платформа, тем больше вероятность, что она станет мишенью для атак, а WordPress — самая популярная платформа в Интернете. В предыдущем посте мы наметили 48 способов обеспечить безопасность вашего сайта WordPress . Во что бы то ни стало держите ваш WordPress исправленным и обновленным, но это не защитит вас от скоплений зомби. Вам нужно целевое DDoS-решение, которому вы можете доверять.
Как работают DDoS-атаки? И какой самый эффективный способ защитить ваш сайт WordPress?
Быстрый рост угрозы DDoS
DDoS-атаки используют ограничения пропускной способности вашего сайта против вас. Сколько посетителей может справиться одновременно? Слишком много, и оно станет перегруженным и безразличным, точно так же, как сотни клиентов одновременно заходят в обычный магазин. DDoS-атака имитирует именно это.
DDoS-атака эквивалентна сотням тысяч фальшивых клиентов, одновременно сходящихся в традиционный магазин. Магазин быстро становится перегруженным. Настоящие покупатели не могут войти, а магазин не может торговать, поскольку не может их обслуживать. ( Прогнозы Deloitte 2017 )
Для интернет-магазина или веб-сайта эти поддельные посетители часто являются участниками ботнета — сети из сотен тысяч скомпрометированных устройств, которые контролируются третьей стороной. Эти устройства могут включать в себя:
- на старых компьютерах работают менее безопасные, непатентованные операционные системы, такие как Windows XP
- скомпрометированные смартфоны и другие мобильные устройства, подключенные к Интернету
- интеллектуальные устройства, такие как термостаты, телевизоры, холодильники, камеры и даже лампочки — обычно называемые IoT («Интернет вещей»)
- и поддельные IP-адреса, подделанные скомпрометированными серверами.
В совокупности эти устройства могут посылать гигабиты данных мусора на ваш сервер каждую секунду, и сейчас масштабы атаки стремительно растут. В конце прошлого года сайт Hacker News сообщил о первой DDoS-атаке со скоростью 1 Тбит / с на 150 000 взломанных IoT-устройств, и Deloitte прогнозирует, что в этом году будет десять подобных атак.
Почему 2017 такой поворотный момент? Несколько тенденций сходятся, чтобы создать идеальный шторм:
- IoT-устройств больше, чем когда-либо, и их легко включить в бот-сети.
- Доступна большая полоса пропускания, чем когда-либо, и ее можно использовать для выброса ненужных данных на вашем веб-сайте.
- Новые стратегии DDoS наносят больший ущерб при меньшей пропускной способности, нанося вред веб-приложениям, и их стало больше, чем когда-либо.
- Инструменты для вредоносных программ, такие как Mirai , проще в использовании, чем когда-либо, а услуги DDoS-на-найма более доступны, чем когда-либо, и стоят всего 5 долларов.
DDoS-for-найм будет нарастать. Ботнеты IoT в сочетании с возможностью легкого заработка принесут больше подобных вещей в 2017 году. Скептически? Ну, есть уже 400 000 сильных армий зомби IoT в аренду , используя вредоносное ПО Mirai. ( Регистр )
Как вы можете защитить свой сайт от массированной атаки нежелательных посетителей? Возьмите урок из ночных клубов и позвоните в вышибалу. Ключ должен иметь дело с угрозой, прежде чем она достигнет вашей двери.
Лучшая защита от DDoS-атак
Как остановить воздействие DDoS-атаки до того, как она попадет на ваш сайт? Используйте обратный прокси. Отправляйте весь свой трафик кому-то, кто может отсеять любые угрозы до того, как они попадут, и перенаправлять только подлинных посетителей на ваш сайт. Как и вышибалы, они должны быть больше и сильнее, чем вы. Они должны быть в состоянии противостоять атакующему без опрокидывания.
Так что выберите решение, которое использует:
- глобальная сеть высокопроизводительных серверов, которые могут выделять больше ресурсов при усилении атаки, гарантируя, что законный трафик все еще может проходить; и
- WAF, который может интеллектуально профилировать входящий трафик в режиме реального времени, гарантируя, что все угрозы заблокированы.
Где можно найти такое решение? Incapsula может сделать все это и даже больше. Вы можете использовать его на любом веб-сайте с собственным доменом, будь то WordPress или какая-либо другая платформа.
Incapsula повышает безопасность и производительность вашего сайта WordPress, блокируя угрозы от входящего трафика и ускоряя исходящий трафик для оптимизации времени загрузки вашего сайта. Его глобальная сеть способна предотвратить DDoS-атаки, исчисляемые сотнями тысяч гигабайт в секунду. И эта защита не будет стоить вам никакой скорости — фактически, ее глобальная CDN на самом деле заставит ваш сайт загружаться еще быстрее.
Как защитить свой сайт с помощью Incapsula
Настройка Incapsula не сложна — обычно это всего три шага, без установки программного обеспечения. На их прохождение уходит несколько минут и, возможно, несколько дней, чтобы вступить в силу.
1. Зарегистрируйтесь и выберите план
Incapsula предлагает целый ряд планов, каждый из которых начинается с бесплатной пробной версии. Чтобы получить брандмауэр веб-приложения, вам нужен Pro-план за 59 долларов в месяц, а для полной защиты от DDoS вам нужен бизнес-план за 299 долларов в месяц. После того, как вы выбрали план, который имеет смысл для вашего сайта, вы открываете учетную запись и отправляете данные своей кредитной карты.
2. Отправьте URL своего домена
Incapsula запросит URL-адрес домена веб-сайта, который вы хотите защитить, а затем предоставит вам инструкции о том, как внести изменения, необходимые для следующего шага. Если ваш веб-сайт поддерживает безопасный трафик HTTPS, вам нужно будет выполнить несколько дополнительных шагов для активации поддержки SSL. Поддержка SSL доступна для учетных записей Pro, Business и Enterprise.
Предпочтительным вариантом является добавление вашего домена к одному из общих сертификатов Globalsign Incapsula. Это можно сделать по электронной почте или через DNS:
- Электронная почта: Вы (владелец домена) получите два электронных письма от Globalsign. Ответьте каждому с «да» в теле письма.
- DNS: создайте запись TXT с предоставленной строкой.
Это потребует одобрения как для открытого, так и для подстановочного знака домена сайта, что упрощает процесс. Если вы хотите одобрить только конкретное имя сайта, вам необходимо отправить заявку в службу поддержки. Узнайте больше на блоге Incapsula .
3. Измените настройки DNS
Ваши настройки DNS обычно направляют посетителей прямо на ваш сайт. Вам нужно изменить их, чтобы вместо этого направлять трафик на серверы Incapsula.
Это включает внесение следующих изменений в расширенный редактор зон DNS вашей cPanel:
- Измените свою запись A, чтобы указать IP-адрес Incapsula
- Добавьте вторую запись A, чтобы указать на другой IP-адрес Incapsula
- Обновите (или создайте) запись www CNAME, чтобы она также указывала на Incapsula.
Вам будут даны конкретные изменения, а также ссылка на учебник.
Изменения в DNS могут распространяться в течение 48 часов, но ваш сайт будет оставаться активным во время перехода. После этого трафик вашего сайта будет направляться через сеть Incapsula, и вы будете защищены от DDoS-атак.
Дальнейшие шаги
Есть ли другие соображения при настройке Incapsula? Вероятно, нет, хотя некоторые пользователи обнаружили, что они должны были также убедиться, что их электронная почта не была направлена через Incapsula, иначе это истекло бы. Это может произойти, если вы используете почтовое решение вашего хостинг-провайдера. Если вы используете стороннюю опцию, такую как G Suite или Exchange, у вас не должно возникнуть никаких проблем.
Ваша электронная почта может оказаться в черной дыре, если ваша запись mail.domain.com является CNAME, указывающей на domain.com (который перенаправляется в Incapsula). Вместо этого измените его на запись A, указывающую на IP-адрес вашей учетной записи хостинга.
Вот несколько снимков экрана, на которых я хотел бы внести изменения из расширенного редактора зон DNS в SiteGround cPanel. Вы найдете более подробные инструкции здесь .
Не ждите, пока не станет слишком поздно
До сих пор, возможно, вы не задумывались о DDoS-атаках. Пришло время изменить это отношение.
Защита вашего сайта WordPress от атак грубой силы — это не то, что вы можете сделать сами. Вам нужна помощь извне — решение, которое может справиться с угрозой до того, как она попадет на ваш сайт. Ваш хостинг-провайдер может предложить решение, и это стоит посмотреть.
Но если это не вариант для вашего сайта, нанять лучшего вышибала, которого вы можете себе позволить. Incapsula — отличный выбор. Его легко настроить, он справляется с большими атаками и динамически отсеивает угрозы. С бесплатными испытаниями каждого плана вам нечего терять.