Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
Teilen:

Wie schütze ich WordPress vor DDoS-Angriffen?

DDoS-
Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Die ganze harte Arbeit, die Sie auf Ihre WordPress-Website setzen, könnte in einer Sekunde erledigt sein, wenn Sie keine Maßnahmen ergreifen, um sie vor DDoS-Angriffen zu schützen.

Alle öffentlich zugänglichen Websites sind anfällig für DDoS-Angriffeund WordPress-basierte Websites sind keine Ausnahme. Glücklicherweise ist WordPress eine sehr flexible Plattform und unterstützt daher wirksame Schutzmaßnahmen gegen Angriffe. Es ist nur eine Frage der Prävention: einen Angriff abzuwehren oder seine Auswirkungen abzuschwächen; Sie müssen handeln, bevor es passiert.

Was ist ein DDoS-Angriff?

Abkürzung für Distributed Denial of Service, a DDoS-Angriff ist eine koordinierte aggressive Aktion, die von einem Netzwerk kompromittierter Computer oder Geräte (ein Botnet) ausgeführt wird, das massiv Daten an einen Server (das Ziel) sendet oder von diesem anfordert. Die Flut an Anfragen überfordert die Kapazität des Servers, verlangsamt ihn oder bringt ihn wegen fehlender Ressourcen zum Absturz.

Der potenzielle Schaden eines DDoS-Angriffs

Wenn Ihre Website zum Ziel eines DDoS-Angriffs wird, können viele schlimme Dinge passieren.

Beispielsweise:

  • Die Erfahrung Ihrer Besucher könnte beeinträchtigt werden. Bestenfalls können die Antworten der Site langsam werden 🦥; Im schlimmsten Fall ist die gesamte Site nicht verfügbar und nicht zugänglich.
  • Wenn es sich bei Ihrer Website um einen Online-Shop handelt, können Sie Verkäufe verlieren. Wenn nur Websites bereitgestellt werden, gehen Ihre Besucher möglicherweise woanders hin, um das zu erhalten, was sie möchten.
  • Der Ruf Ihrer Website kann ernsthaft sinken, sowohl in Bezug auf den wahrgenommenen Markenruf (dh Ihr Unternehmen wird als nicht ernst angesehen) als auch in Bezug auf Autorität, Relevanz und Vertrauen, die die Säulen eines jeden sind SEO-Strategie.
  • Die Reparatur der Schäden kostet Sie. Die Kosten hängen von der Dauer des Angriffs ab und sind schwer zu berechnen, da Sie zahlreiche Nebenwirkungen berücksichtigen müssen, z. B. Kundenbetreuungsbemühungen zur Beantwortung von Benutzeransprüchen wegen Dienstunterbrechungen oder die Einstellung eines Sicherheitsdienstes zur Bereinigung Ihrer Website.

Wer sind die Opfer von DDoS-Angriffen?

Jede Website, unabhängig von ihrer Größe oder ihrem Volumen, kann das Ziel eines DDoS-Angriffs sein.

Ressourcen zur Schadensbegrenzung

Websites mit ausgesetzt Schwachstellen sind die einfachsten Ziele, aber ein Angriff kann absichtlich gegen eine bestimmte Website orchestriert werden. Der Angriff kann aus ideologischen Gründen durchgeführt werden (eine Praxis, die genannt wird Hacktivismus); Zum Beispiel, um eine Site zu diskreditieren, die bestimmte politische oder religiöse Ideen fördert. Oder um den Eigentümer der Website zu erpressen und um ein Lösegeld zu bitten. Oder es ist einfach ein Hobby einer Gruppe technisch versierter Leute, die ihre Fähigkeiten unter Beweis stellen wollen.

Ein Angriff kann auch sein gemietet: Ein Unternehmen bezahlt eine Gruppe von Hackern, um speziell seine Konkurrenten anzugreifen. Was auch immer der Grund sein mag, das Fazit lautet: Jeder Websitebesitzer muss Vorkehrungen treffen, um zu verhindern, dass ein DDoS-Angriff seine Website beschädigt. Es ist nicht schwierig oder teuer, daher gibt es keine wirklichen Gründe, dies nicht zu tun.

Wie schützen Sie Ihr WordPress vor DDoS-Angriffen?

Die zwei notwendigen Sicherheitsmaßnahmen, die Sie ergreifen müssen, um Ihre WordPress-Site vor DDoS-Angriffen zu schützen:

  • Holen Sie sich eine gute WordPress-Backup-Lösung.
  • Verwenden Sie eine kostengünstige, Cloud-basierte Anti-DDoS-Sicherheitslösung.

Das Backup-Lösung ist aus vielen Gründen ein Muss, nicht nur für den DDoS-Schutz. Es gibt viele kostenlose und kostenpflichtige Backup-Lösungen im WordPress-Plugin-Katalog, sodass wir uns im Moment nicht eingehender mit diesem Thema befassen. Wenn Ihre Website nach einem Angriff beschädigt ist, können Sie sie schnell wiederherstellen, indem Sie sie mit einem sicheren Backup wiederherstellen.

In Bezug auf Anti-DDoS-Sicherheitslösungen sollten Sie sich fragen, wie viel Sicherheit Sie haben möchten und wie viel Geld Sie dafür bezahlen möchten. Wenn Sie nichts bezahlen möchten, müssen Sie sich selbst um einige Dinge kümmern.

DIY 🧰 Ansatz

Eines der großartigen Dinge an WordPress ist, dass es eine offene Architektur hat, die es Apps von Drittanbietern ermöglicht, es zu integrieren und mit ihm zu interagieren. Dies wird mit mehreren APIs (Application Programming Interface) erreicht, die Programmierern zur Verfügung stehen. Das Problem ist, dass diese APIs von einem DDoS-Angriff ausgenutzt werden könnten, um eine Flut von Anforderungen zu senden. Das erste, was Sie tun müssen: Deaktivieren Sie eine ausnutzbare API namens XML-RPC.

Sie benötigen XML-RPC nur, wenn Ihre WordPress-Website mit externen Anwendungen von Drittanbietern wie der WordPress-App auf Mobilgeräten interagiert. Wenn Sie darauf verzichten können, sollten Sie XML-RPC deaktivieren. Dies kann einfach durch Bearbeiten der Website erfolgen .htaccess Datei, um den Zugriff auf das Programm xmlrpc.php zu verweigern. Wenn Sie nicht der Meinung sind, dass es sicher ist, die internen Dateien Ihrer Website selbst zu ändern, können Sie ein Plugin erwerben, das die Aufgabe für Sie erledigt.

Anti-DDoS-Plugins

Es gibt einige WordPress-Sicherheits-Plugins, die andere WordPress-Schwachstellen beheben.

Schutz vor DDoS - Dieses Plugin behebt Leistungsprobleme, die durch Brute Force und DDoS-Angriffe verursacht werden. Durch alle Überprüfungen über die .htaccess-Datei werden böswillige Anforderungen auf Webserverebene gestoppt, bevor sie die WordPress-Site erreichen können.

Außerdem wird die XML-RPC-Sicherheitsanfälligkeit behoben, und die Konfigurationsoptionen bieten Cloudflare-Benutzern die Möglichkeit, Besuchern aus bestimmten Ländern den Zugriff zu verweigern.

Anti-DDoS-Lösungen-1

Deaktivieren Sie die WP REST-API - Die WordPress REST API ist eine weitere ausnutzbare Sicherheitslücke des beliebten CMS. Glücklicherweise kann diese Sicherheitsanfälligkeit mit diesem superleichten Plugin leicht behoben werden. Es verwendet nur 22 Codezeilen - weniger als 2 KB - und deaktiviert die WP REST-API für Besucher, die nicht bei WordPress angemeldet sind. Wenn abgemeldete Besucher nach der Installation und Aktivierung JSON / REST-Anforderungen an Ihre Website stellen, erhalten sie eine Meldung, dass die REST-API auf authentifizierte Benutzer beschränkt ist.

Deaktivieren Sie XML-RPC Pingback - mit mehr als 80,000 Installationen und einer 4.5-Sterne-Bewertung; Dieses Plugin eliminiert alle ausnutzbaren Methoden von der XML-RPC-Schnittstelle. Außerdem wird X-Pingback aus HTTP-Headern entfernt, wodurch verhindert wird, dass Bots die Datei xmlrpc.php erreichen.

Sicherheitssuiten

Wenn Sie DDoS und andere Sicherheitsbedenken vollständig vergessen möchten, um alle Ihre Anstrengungen in Ihr Unternehmen zu investieren, möchten Sie eine Lösung, die alle Grundlagen abdeckt.

Eine solche Lösung muss Folgendes umfassen:

  • Eine Webanwendungs-Firewall. Die Firewall befindet sich zwischen Ihrer Website und dem Internet, erkennt feindlichen Datenverkehr und blockiert ihn.
  • Ein Website-Antivirenpaket. Es sollte Ihre Website regelmäßig und automatisch scannen, um Spuren von Malware zu erkennen und zu entfernen.
  • Server-Scan nach nicht infektiösen Hacks, z. B. Bannerwerbung von unbekannten Websites.
  • Site-Überwachung / -Überwachung, um verdächtige Aktivitäten wie Dateiänderungen, neue Beiträge, neue Benutzer, fehlgeschlagene Anmeldeversuche und mehr zu erkennen.

Lassen Sie uns die folgenden Lösungen untersuchen, die umfassende Sicherheit für WordPress-Websites bieten.

Sucuri

Sucuri ist ein renommiertes Web-Sicherheitsunternehmen mit viel Erfahrung in WordPress-Websites.

In dem Moment, in dem Sie aktivieren Sucuri Auf Ihrer Website installieren sie eine Cloud-Proxy-Firewall zwischen Ihrer Website und dem Internet und filtern den gesamten Datenverkehr, der an Ihren Hosting-Server gerichtet ist. Die Firewall erlaubt nur legitimen Besuchern, auf Ihre WordPress-Website zuzugreifen. Als Nebeneffekt reagiert Ihre Website dank der Sucuri-Cloud schneller und Sie können Hosting-Kosten sparen, indem Sie das Datenverkehrsvolumen reduzieren, das Ihr Server bewältigen muss.

Sucuri-DDoS-Schutz-e1598528938389

Die vollständige Sucuri-Lösung ergänzt die Mischung um ein Antivirenpaket, das Ihre Website regelmäßig scannt und überwacht, um sie frei von jeglicher Art von Malware zu halten: böswillige JavaScript-Snippets, verdächtige Weiterleitungen, Code-Injektionen usw.

Es wird auch überprüft, ob Ihre Website nicht erhalten wird Blacklist durch Reputationsbewertungsdienste. Durch Durchsuchen des Site-Überwachungsprotokolls werden Sie über alles informiert, was auf Ihrer WordPress-Website geschieht, einschließlich neuer Benutzer, fehlgeschlagener Anmeldeversuche, Dateiänderungen und mehr.

Die Preispläne für Sucuri beginnen bei 199 US-Dollar pro Jahr für einen Basisdienst - was nicht so einfach ist, da nur ein paar unternehmensorientierte Extras fehlen. Die enthaltenen Funktionen rechtfertigen den Preis mehr als, aber wenn dies nicht ausreicht, um Sie zu überzeugen, sollten Sie berücksichtigen, dass sie neben der Entfernung von schwarzen Listen auch einen Malware-Bereinigungsdienst anbieten.

Wenn Sie Ihre Website geschützt haben, ist es unwahrscheinlich, dass Sie diesen Service jemals benötigen. Bedenken Sie jedoch, dass ein Sicherheitsexperte Ihnen leicht 250 US-Dollar pro Stunde in Rechnung stellen kann, um eine Malware-Infektion von Ihrer Website zu entfernen.

Astra Security

Astra Security ist eine der führenden WordPress-Sicherheitslösungen. Die intelligente Endpunkt-Firewall von Astra wird nahtlos auf Ihrer Website installiert und bietet Echtzeitschutz vor DDoS-Angriffen der Schicht 7 und mehr als 100 Arten anderer Angriffe. Diese mit maschinell lernender Intelligenz ausgestattete Firewall identifiziert bekannte Angriffe, Bot-Verhalten und böswillige Anforderungen und entwickelt sich mit jedem neuen Angriffstyp weiter. Die rund um die Uhr aktive Astra-Firewall schützt Ihre Website unbedingt.

Darüber hinaus funktioniert die Astra-Firewall auf Ihrem eigenen Server einwandfrei, ohne dass eine DNS-Änderung erforderlich ist.

astra-ddos

Aber das ist nicht alles. Das Astra Security-Paket bietet noch viel mehr. Jedes Sicherheitspaket enthält WAF, Malware-Scanner, Länder- und IP-Blocker sowie verschiedene andere nützliche Funktionen.

Der Einstieg in Astra Security ist einfach und der gesamte Vorgang dauert weniger als 15 Minuten. So funktioniert es:

  • Installieren Sie das Astra Security-Plugin aus dem WordPress-Repository
  • Ein Konto erstellen, Wähle einen Plan und melde dich an
  • Klicken Sie zuletzt in Ihrem WP-Backend auf "Mit Astra verbinden"

Dies würde Ihr WP-Backend mit dem Astra-Dashboard verbinden, was ungefähr so ​​aussehen würde:

astra-stop-ddos

Cloudflare

Cloudflare verwendet sein riesiges CDN (Content Distribution Network), um Ihre WordPress-Website vor DDoS-Angriffen zu schützen, wodurch Ihre Website schneller wird und nicht nur gesichert wird. Mit mehr als 200 weltweit verteilten Rechenzentren ist das CDN groß genug, um selbst die stärksten Angriffe zu absorbieren und abzulenken, sodass Sie sich keine Sorgen machen müssen, dass seine Minderungskapazität überfüllt ist.

Cloudflare-Advanced-DDoS-Schutz

Ein proaktiver Schadensbegrenzungsansatz ermöglicht es Cloudflare, Angriffe zu antizipieren, indem gemeinsame Informationen genutzt werden, die aus der Verhaltensanalyse von Signaturen und IPs auf mehr als 20 Millionen Websites stammen. Der Schutz erkennt und blockiert Angriffe der Ebenen 3, 4 und 7 am Rand und verhindert so, dass sie Ihre Website erreichen.

Außerdem werden alle TCP-Ports in Ihrer Infrastruktur geschützt, indem Spectrum zum Proxy-Verkehr über das Cloudflare-Rechenzentrum verwendet wird.

Der Service ist für Einzelpersonen und kleine (nicht geschäftskritische) Websites kostenlos. Der kostenlose Plan umfasst DDoS-Angriffsabwehr, globales CDN und Support per E-Mail. Bezahlte Pläne beginnen bei 20 US-Dollar pro Monat und beinhalten unter anderem eine Webanwendungs-Firewall, Cache-Analysen und mobile Optimierung.

Für geschäftskritische Websites bietet der Unternehmensplan unter anderem 24 / 7x365-Chat- / Telefonsupport, 100% Verfügbarkeits-SLA, Support für Lösungsingenieure.

StackPath

Ein globales Netzwerk mit einer Gesamtkapazität von 65 TBit / s ermöglicht dies StackPath's Lösung zur Abschwächung der größten und ausgefeiltesten DDoS-Angriffe, die alle Angriffsmethoden abdeckt, einschließlich HTTP-, SYN- und UDP-Fluten. Die Plattform von StackPath sammelt und analysiert Informationen über DDoS-Angriffe sowie deren Randpositionen, sodass alle böswilligen Versuche blockiert werden können, unabhängig davon, woher sie stammen.

Um Ihre WordPress-Website auf der Netzwerkebene zu schützen, verwendet das globale Netzwerk von StackPath Netzwerkgeräte, die vor DDoS-Angriffen der Ebenen 3 und 4 auf dem Gerät schützen. Inzwischen ein kluger Webanwendungs-Firewall Reduziert anspruchsvolle DDoS-Angriffe der Schicht 7 in weniger als einer Sekunde, indem einzigartige JavaScript-Validierungstechniken verwendet werden, die automatisierte Bots erkennen und blockieren, und erweiterte Tools zum Konfigurieren von DDoS-Schwellenwerten bereitgestellt werden, die Ihren spezifischen Anforderungen entsprechen.

Der DDoS-Schutz von StackPath ist Teil einer Edge-Services-Suite, die ab 20 US-Dollar pro Monat erhältlich ist und CDN-, WAF- (Webanwendungs-Firewall), DNS- und Überwachungsdienste umfasst. Diese vier Dienste können einzeln gemietet werden und kosten jeweils 10 USD pro Monat. Die Preise richten sich nach dem Volumen. Wenn Sie beispielsweise ein CDN mit 100 TB / Monat und ein WAF mit 50 MB / Monat benötigen, müssen Sie 2000 USD pro Monat zahlen.

Keine Entschuldigung!

Wenn Ihre Website sinktGeben Sie keine Entschuldigung, wenn Sie auf die schwarze Liste gesetzt werden oder den Ruf verlieren. Sie haben alle Ressourcen zur Hand, um zu verhindern, dass eine Katastrophe Ihre geliebte WordPress-Site ruiniert. Wenn Sie es noch nicht getan haben, ergreifen Sie Maßnahmen und tun Sie etwas, bevor es zu spät ist.

Danke an unsere Sponsoren
Weitere großartige Lektüre zum Thema Sicherheit
Treiben Sie Ihr Geschäft an
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder