Статьи

Как защитить ваш сайт WordPress от атаки DDoS

Эта статья была спонсирована Incapsula . Спасибо за поддержку партнеров, которые делают возможным использование SitePoint.

Распределенные атаки типа «отказ в обслуживании» (DDoS) стремительно расширяются. Они были на радаре по крайней мере с 2000 года, и 2017 год может стать годом, когда они станут вашей самой большой проблемой безопасности. Если у вас нет стратегии DDoS, самое время ее выбрать.

Исходя из текущих тенденций, отраслевые эксперты прогнозируют, что это может быть кризисный год. Это отражено в последних заголовках:

  • DDoS в 2017 году: готовьтесь к ухабистой поездке The Register .
  • DDoS-атаки выросли на 380% в первом квартале 2017 года , CIO Dive
  • DDoS-цунами 2017 года обойдется компаниям в миллионы , TechRepublic
  • Хакеры не берут выходных: DDoS-атаки в 2017 году возрастают в пять раз , SiliconANGLE
  • Ожидается увеличение количества вымогателей и DDoS-атак в 2017 году , Enterprise Innovation
  • 2017 год может стать кризисным годом для DDoS-атак , ComputerWeekly .

Чем популярнее платформа, тем больше вероятность, что она станет мишенью для атак, а WordPress — самая популярная платформа в Интернете. В предыдущем посте мы наметили 48 способов обеспечить безопасность вашего сайта WordPress . Во что бы то ни стало держите ваш WordPress исправленным и обновленным, но это не защитит вас от скоплений зомби. Вам нужно целевое DDoS-решение, которому вы можете доверять.

Как работают DDoS-атаки? И какой самый эффективный способ защитить ваш сайт WordPress?

Быстрый рост угрозы DDoS

DDoS-атаки используют ограничения пропускной способности вашего сайта против вас. Сколько посетителей может справиться одновременно? Слишком много, и оно станет перегруженным и безразличным, точно так же, как сотни клиентов одновременно заходят в обычный магазин. DDoS-атака имитирует именно это.

DDoS-атака эквивалентна сотням тысяч фальшивых клиентов, одновременно сходящихся в традиционный магазин. Магазин быстро становится перегруженным. Настоящие покупатели не могут войти, а магазин не может торговать, поскольку не может их обслуживать. ( Прогнозы Deloitte 2017 )

Для интернет-магазина или веб-сайта эти поддельные посетители часто являются участниками ботнета — сети из сотен тысяч скомпрометированных устройств, которые контролируются третьей стороной. Эти устройства могут включать в себя:

  • на старых компьютерах работают менее безопасные, непатентованные операционные системы, такие как Windows XP
  • скомпрометированные смартфоны и другие мобильные устройства, подключенные к Интернету
  • интеллектуальные устройства, такие как термостаты, телевизоры, холодильники, камеры и даже лампочки — обычно называемые IoT («Интернет вещей»)
  • и поддельные IP-адреса, подделанные скомпрометированными серверами.

В совокупности эти устройства могут посылать гигабиты данных мусора на ваш сервер каждую секунду, и сейчас масштабы атаки стремительно растут. В конце прошлого года сайт Hacker News сообщил о первой DDoS-атаке со скоростью 1 Тбит / с на 150 000 взломанных IoT-устройств, и Deloitte прогнозирует, что в этом году будет десять подобных атак.

Почему 2017 такой поворотный момент? Несколько тенденций сходятся, чтобы создать идеальный шторм:

  1. IoT-устройств больше, чем когда-либо, и их легко включить в бот-сети.
  2. Доступна большая полоса пропускания, чем когда-либо, и ее можно использовать для выброса ненужных данных на вашем веб-сайте.
  3. Новые стратегии DDoS наносят больший ущерб при меньшей пропускной способности, нанося вред веб-приложениям, и их стало больше, чем когда-либо.
  4. Инструменты для вредоносных программ, такие как Mirai , проще в использовании, чем когда-либо, а услуги DDoS-на-найма более доступны, чем когда-либо, и стоят всего 5 долларов.

DDoS-for-найм будет нарастать. Ботнеты IoT в сочетании с возможностью легкого заработка принесут больше подобных вещей в 2017 году. Скептически? Ну, есть уже 400 000 сильных армий зомби IoT в аренду , используя вредоносное ПО Mirai. ( Регистр )

Как вы можете защитить свой сайт от массированной атаки нежелательных посетителей? Возьмите урок из ночных клубов и позвоните в вышибалу. Ключ должен иметь дело с угрозой, прежде чем она достигнет вашей двери.

Лучшая защита от DDoS-атак

Как остановить воздействие DDoS-атаки до того, как она попадет на ваш сайт? Используйте обратный прокси. Отправляйте весь свой трафик кому-то, кто может отсеять любые угрозы до того, как они попадут, и перенаправлять только подлинных посетителей на ваш сайт. Как и вышибалы, они должны быть больше и сильнее, чем вы. Они должны быть в состоянии противостоять атакующему без опрокидывания.

Так что выберите решение, которое использует:

  • глобальная сеть высокопроизводительных серверов, которые могут выделять больше ресурсов при усилении атаки, гарантируя, что законный трафик все еще может проходить; и
  • WAF, который может интеллектуально профилировать входящий трафик в режиме реального времени, гарантируя, что все угрозы заблокированы.

Где можно найти такое решение? Incapsula может сделать все это и даже больше. Вы можете использовать его на любом веб-сайте с собственным доменом, будь то WordPress или какая-либо другая платформа.

Incapsula повышает безопасность и производительность вашего сайта WordPress, блокируя угрозы от входящего трафика и ускоряя исходящий трафик для оптимизации времени загрузки вашего сайта. Его глобальная сеть способна предотвратить DDoS-атаки, исчисляемые сотнями тысяч гигабайт в секунду. И эта защита не будет стоить вам никакой скорости — фактически, ее глобальная CDN на самом деле заставит ваш сайт загружаться еще быстрее.

Как защитить свой сайт с помощью Incapsula

Настройка Incapsula не сложна — обычно это всего три шага, без установки программного обеспечения. На их прохождение уходит несколько минут и, возможно, несколько дней, чтобы вступить в силу.

1. Зарегистрируйтесь и выберите план

Incapsula предлагает целый ряд планов, каждый из которых начинается с бесплатной пробной версии. Чтобы получить брандмауэр веб-приложения, вам нужен Pro-план за 59 долларов в месяц, а для полной защиты от DDoS вам нужен бизнес-план за 299 долларов в месяц. После того, как вы выбрали план, который имеет смысл для вашего сайта, вы открываете учетную запись и отправляете данные своей кредитной карты.

2. Отправьте URL своего домена

Incapsula запросит URL-адрес домена веб-сайта, который вы хотите защитить, а затем предоставит вам инструкции о том, как внести изменения, необходимые для следующего шага. Если ваш веб-сайт поддерживает безопасный трафик HTTPS, вам нужно будет выполнить несколько дополнительных шагов для активации поддержки SSL. Поддержка SSL доступна для учетных записей Pro, Business и Enterprise.

Предпочтительным вариантом является добавление вашего домена к одному из общих сертификатов Globalsign Incapsula. Это можно сделать по электронной почте или через DNS:

  • Электронная почта: Вы (владелец домена) получите два электронных письма от Globalsign. Ответьте каждому с «да» в теле письма.
  • DNS: создайте запись TXT с предоставленной строкой.

Это потребует одобрения как для открытого, так и для подстановочного знака домена сайта, что упрощает процесс. Если вы хотите одобрить только конкретное имя сайта, вам необходимо отправить заявку в службу поддержки. Узнайте больше на блоге Incapsula .

3. Измените настройки DNS

Ваши настройки DNS обычно направляют посетителей прямо на ваш сайт. Вам нужно изменить их, чтобы вместо этого направлять трафик на серверы Incapsula.

Это включает внесение следующих изменений в расширенный редактор зон DNS вашей cPanel:

  • Измените свою запись A, чтобы указать IP-адрес Incapsula
  • Добавьте вторую запись A, чтобы указать на другой IP-адрес Incapsula
  • Обновите (или создайте) запись www CNAME, чтобы она также указывала на Incapsula.

Вам будут даны конкретные изменения, а также ссылка на учебник.

Изменения в DNS могут распространяться в течение 48 часов, но ваш сайт будет оставаться активным во время перехода. После этого трафик вашего сайта будет направляться через сеть Incapsula, и вы будете защищены от DDoS-атак.

Дальнейшие шаги

Есть ли другие соображения при настройке Incapsula? Вероятно, нет, хотя некоторые пользователи обнаружили, что они должны были также убедиться, что их электронная почта не была направлена ​​через Incapsula, иначе это истекло бы. Это может произойти, если вы используете почтовое решение вашего хостинг-провайдера. Если вы используете стороннюю опцию, такую ​​как G Suite или Exchange, у вас не должно возникнуть никаких проблем.

Ваша электронная почта может оказаться в черной дыре, если ваша запись mail.domain.com является CNAME, указывающей на domain.com (который перенаправляется в Incapsula). Вместо этого измените его на запись A, указывающую на IP-адрес вашей учетной записи хостинга.

Вот несколько снимков экрана, на которых я хотел бы внести изменения из расширенного редактора зон DNS в SiteGround cPanel. Вы найдете более подробные инструкции здесь .

Не ждите, пока не станет слишком поздно

До сих пор, возможно, вы не задумывались о DDoS-атаках. Пришло время изменить это отношение.

Защита вашего сайта WordPress от атак грубой силы — это не то, что вы можете сделать сами. Вам нужна помощь извне — решение, которое может справиться с угрозой до того, как она попадет на ваш сайт. Ваш хостинг-провайдер может предложить решение, и это стоит посмотреть.

Но если это не вариант для вашего сайта, нанять лучшего вышибала, которого вы можете себе позволить. Incapsula — отличный выбор. Его легко настроить, он справляется с большими атаками и динамически отсеивает угрозы. С бесплатными испытаниями каждого плана вам нечего терять.