• Erledigen Sie die Anwendungssicherheit auf die richtige Weise! Erkennen, schützen, überwachen, beschleunigen und mehr…
  • Die ganze harte Arbeit, die Sie auf Ihre WordPress-Website setzen, könnte in einer Sekunde erledigt sein, wenn Sie keine Maßnahmen ergreifen, um sie vor DDoS-Angriffen zu schützen.

    Alle öffentlich zugänglichen Websites sind anfällig für DDoS-Angriffeund WordPress-basierte Websites sind keine Ausnahme. Glücklicherweise ist WordPress eine sehr flexible Plattform und unterstützt daher wirksame Schutzmaßnahmen gegen Angriffe. Es ist nur eine Frage der Prävention: einen Angriff abzuwehren oder seine Auswirkungen abzuschwächen; Sie müssen handeln, bevor es passiert.

    Was ist ein DDoS-Angriff?

    Kurz für Distributed Denial of Service ist ein DDoS-Angriff eine koordinierte aggressive Aktion, die von einem Netzwerk kompromittierter Computer oder Geräte (einem Botnetz) ausgeführt wird, das massiv Daten an einen Server (das Ziel) sendet oder Daten von diesem anfordert. Die Flut von Anfragen überfordert die Serverkapazität, verlangsamt sie oder führt aufgrund fehlender Ressourcen zum Absturz.

    Der potenzielle Schaden eines DDoS-Angriffs

    Wenn Ihre Website zum Ziel eines DDoS-Angriffs wird, können viele schlimme Dinge passieren.

    Beispielsweise:

    • Die Erfahrung Ihrer Besucher könnte beeinträchtigt werden. Bestenfalls können die Antworten der Site langsam werden 🦥; Im schlimmsten Fall ist die gesamte Site nicht verfügbar und nicht zugänglich.
    • Wenn es sich bei Ihrer Website um einen Online-Shop handelt, können Sie Verkäufe verlieren. Wenn nur Websites bereitgestellt werden, gehen Ihre Besucher möglicherweise woanders hin, um das zu erhalten, was sie möchten.
    • Der Ruf Ihrer Website kann ernsthaft sinken, sowohl in Bezug auf den wahrgenommenen Markenruf (dh Ihr Unternehmen wird als nicht ernst angesehen) als auch in Bezug auf Autorität, Relevanz und Vertrauen, die die Säulen eines jeden sind SEO-Strategie.
    • Die Reparatur der Schäden kostet Sie. Die Kosten hängen von der Dauer des Angriffs ab und sind schwer zu berechnen, da Sie zahlreiche Nebenwirkungen berücksichtigen müssen, z. B. Kundenbetreuungsbemühungen zur Beantwortung von Benutzeransprüchen wegen Dienstunterbrechungen oder die Einstellung eines Sicherheitsdienstes zur Bereinigung Ihrer Website.

    Wer sind die Opfer von DDoS-Angriffen?

    Jede Website, unabhängig von ihrer Größe oder ihrem Volumen, kann das Ziel eines DDoS-Angriffs sein.

    Ressourcen zur Schadensbegrenzung

    Websites mit ausgesetzt Schwachstellen sind die einfachsten Ziele, aber ein Angriff kann absichtlich gegen eine bestimmte Website orchestriert werden. Der Angriff kann aus ideologischen Gründen durchgeführt werden (eine Praxis, die genannt wird Hacktivismus); Zum Beispiel, um eine Site zu diskreditieren, die bestimmte politische oder religiöse Ideen fördert. Oder um den Eigentümer der Website zu erpressen und um ein Lösegeld zu bitten. Oder es ist einfach ein Hobby einer Gruppe technisch versierter Leute, die ihre Fähigkeiten unter Beweis stellen wollen.

    Ein Angriff kann auch sein gemietet: Ein Unternehmen bezahlt eine Gruppe von Hackern, um speziell seine Konkurrenten anzugreifen. Was auch immer der Grund sein mag, das Fazit lautet: Jeder Websitebesitzer muss Vorkehrungen treffen, um zu verhindern, dass ein DDoS-Angriff seine Website beschädigt. Es ist nicht schwierig oder teuer, daher gibt es keine wirklichen Gründe, dies nicht zu tun.

    Wie schützen Sie Ihr WordPress vor DDoS-Angriffen?

    Die zwei notwendigen Sicherheitsmaßnahmen, die Sie ergreifen müssen, um Ihre WordPress-Site vor DDoS-Angriffen zu schützen:

    • Holen Sie sich eine gute WordPress-Backup-Lösung.
    • Verwenden Sie eine kostengünstige, Cloud-basierte Anti-DDoS-Sicherheitslösung.

    Das Backup-Lösung ist aus vielen Gründen ein Muss, nicht nur für den DDoS-Schutz. Es gibt viele kostenlose und kostenpflichtige Backup-Lösungen im WordPress-Plugin-Katalog, sodass wir uns im Moment nicht eingehender mit diesem Thema befassen. Wenn Ihre Website nach einem Angriff beschädigt ist, können Sie sie schnell wiederherstellen, indem Sie sie mit einem sicheren Backup wiederherstellen.

    In Bezug auf Anti-DDoS-Sicherheitslösungen sollten Sie sich fragen, wie viel Sicherheit Sie haben möchten und wie viel Geld Sie dafür bezahlen möchten. Wenn Sie nichts bezahlen möchten, müssen Sie sich selbst um einige Dinge kümmern.

    DIY 🧰 Ansatz

    Eines der großartigen Dinge an WordPress ist, dass es eine offene Architektur hat, die es Apps von Drittanbietern ermöglicht, es zu integrieren und mit ihm zu interagieren. Dies wird mit mehreren APIs (Application Programming Interface) erreicht, die Programmierern zur Verfügung stehen. Das Problem ist, dass diese APIs von einem DDoS-Angriff ausgenutzt werden könnten, um eine Flut von Anforderungen zu senden. Das erste, was Sie tun müssen: Deaktivieren Sie eine ausnutzbare API namens XML-RPC.

    Sie benötigen XML-RPC nur, wenn Ihre WordPress-Website mit externen Anwendungen von Drittanbietern wie der WordPress-App auf Mobilgeräten interagiert. Wenn Sie darauf verzichten können, sollten Sie XML-RPC deaktivieren. Dies kann einfach durch Bearbeiten der Website erfolgen .htaccess Datei, um den Zugriff auf das Programm xmlrpc.php zu verweigern. Wenn Sie nicht der Meinung sind, dass es sicher ist, die internen Dateien Ihrer Website selbst zu ändern, können Sie ein Plugin erwerben, das die Aufgabe für Sie erledigt.

    Anti-DDoS-Plugins

    Es gibt einige WordPress-Sicherheits-Plugins, die andere WordPress-Schwachstellen beheben.

    Schutz vor DDoS - Dieses Plugin behebt Leistungsprobleme, die durch Brute Force und DDoS-Angriffe verursacht werden. Durch alle Überprüfungen über die .htaccess-Datei werden böswillige Anforderungen auf Webserverebene gestoppt, bevor sie die WordPress-Site erreichen können.

    Außerdem wird die XML-RPC-Sicherheitsanfälligkeit behoben, und die Konfigurationsoptionen bieten Cloudflare-Benutzern die Möglichkeit, Besuchern aus bestimmten Ländern den Zugriff zu verweigern.

    Deaktivieren Sie die WP REST-API - Die WordPress REST API ist eine weitere ausnutzbare Sicherheitslücke des beliebten CMS. Glücklicherweise kann diese Sicherheitsanfälligkeit mit diesem superleichten Plugin leicht behoben werden. Es verwendet nur 22 Codezeilen - weniger als 2 KB - und deaktiviert die WP REST-API für Besucher, die nicht bei WordPress angemeldet sind. Wenn abgemeldete Besucher nach der Installation und Aktivierung JSON / REST-Anforderungen an Ihre Website stellen, erhalten sie eine Meldung, dass die REST-API auf authentifizierte Benutzer beschränkt ist.

    Deaktivieren Sie XML-RPC Pingback - mit mehr als 80,000 Installationen und einer 4.5-Sterne-Bewertung; Dieses Plugin eliminiert alle ausnutzbaren Methoden von der XML-RPC-Schnittstelle. Außerdem wird X-Pingback aus HTTP-Headern entfernt, wodurch verhindert wird, dass Bots die Datei xmlrpc.php erreichen.

    Sicherheitssuiten

    Wenn Sie DDoS und andere Sicherheitsbedenken vollständig vergessen möchten, um alle Ihre Anstrengungen in Ihr Unternehmen zu investieren, möchten Sie eine Lösung, die alle Grundlagen abdeckt.

    Eine solche Lösung muss Folgendes umfassen:

    • Eine Webanwendungs-Firewall. Die Firewall befindet sich zwischen Ihrer Website und dem Internet, erkennt feindlichen Datenverkehr und blockiert ihn.
    • Ein Website-Antivirenpaket. Es sollte Ihre Website regelmäßig und automatisch scannen, um Spuren von Malware zu erkennen und zu entfernen.
    • Server-Scan nach nicht infektiösen Hacks, z. B. Bannerwerbung von unbekannten Websites.
    • Site-Überwachung / -Überwachung, um verdächtige Aktivitäten wie Dateiänderungen, neue Beiträge, neue Benutzer, fehlgeschlagene Anmeldeversuche und mehr zu erkennen.

    Lassen Sie uns die folgenden Lösungen untersuchen, die umfassende Sicherheit für WordPress-Websites bieten.

    Sucuri

    Sucuri ist ein renommiertes Web-Sicherheitsunternehmen mit viel Erfahrung in WordPress-Websites.

    Sobald Sie Sucuri auf Ihrer Website aktivieren, wird eine Cloud-Proxy-Firewall zwischen Ihrer Website und dem Internet installiert, die den gesamten an Ihren Hosting-Server gerichteten Datenverkehr filtert. Über die Firewall können nur legitime Besucher Ihre WordPress-Website erreichen. Als Nebeneffekt wird Ihre Website dank der Sucuri-Cloud schneller reagieren, und Sie können Hosting-Geld sparen, indem Sie das Verkehrsaufkommen reduzieren, das Ihr Server verarbeiten muss.

    Die vollständige Sucuri-Lösung ergänzt die Mischung um ein Antivirenpaket, das Ihre Website regelmäßig scannt und überwacht, um sie frei von jeglicher Art von Malware zu halten: böswillige JavaScript-Snippets, verdächtige Weiterleitungen, Code-Injektionen usw.

    Es wird auch überprüft, ob Ihre Website nicht erhalten wird Blacklist durch Reputationsbewertungsdienste. Durch Durchsuchen des Site-Überwachungsprotokolls werden Sie über alles informiert, was auf Ihrer WordPress-Website geschieht, einschließlich neuer Benutzer, fehlgeschlagener Anmeldeversuche, Dateiänderungen und mehr.

    Die Preispläne für Sucuri beginnen bei 199 US-Dollar pro Jahr für einen Basisdienst - was nicht so einfach ist, da nur ein paar unternehmensorientierte Extras fehlen. Die enthaltenen Funktionen rechtfertigen den Preis mehr als, aber wenn dies nicht ausreicht, um Sie zu überzeugen, sollten Sie berücksichtigen, dass sie neben der Entfernung von schwarzen Listen auch einen Malware-Bereinigungsdienst anbieten.

    Wenn Sie Ihre Website geschützt haben, ist es unwahrscheinlich, dass Sie diesen Service jemals benötigen. Bedenken Sie jedoch, dass ein Sicherheitsexperte Ihnen leicht 250 US-Dollar pro Stunde in Rechnung stellen kann, um eine Malware-Infektion von Ihrer Website zu entfernen.

    Astra Sicherheit

    Astra Security ist eine der führenden WordPress-Sicherheitslösungen. Die intelligente Endpunkt-Firewall von Astra wird nahtlos auf Ihrer Website installiert und bietet Echtzeitschutz vor DDoS-Angriffen der Schicht 7 und mehr als 100 Arten anderer Angriffe. Diese mit maschinell lernender Intelligenz ausgestattete Firewall identifiziert bekannte Angriffe, Bot-Verhalten und böswillige Anforderungen und entwickelt sich mit jedem neuen Angriffstyp weiter. Die rund um die Uhr aktive Astra-Firewall schützt Ihre Website unbedingt.

    Darüber hinaus funktioniert die Astra-Firewall auf Ihrem eigenen Server einwandfrei, ohne dass eine DNS-Änderung erforderlich ist.

    Aber das ist nicht alles. Das Astra Security-Paket bietet noch viel mehr. Jedes Sicherheitspaket enthält WAF, Malware-Scanner, Länder- und IP-Blocker sowie verschiedene andere nützliche Funktionen.

    Der Einstieg in Astra Security ist einfach und der gesamte Vorgang dauert weniger als 15 Minuten. So funktioniert es:

    • Installieren Sie das Astra Security-Plugin aus dem WordPress-Repository
    • Ein Konto erstellen, Wähle einen Plan und melde dich an
    • Klicken Sie zuletzt in Ihrem WP-Backend auf "Mit Astra verbinden"

    Dies würde Ihr WP-Backend mit dem Astra-Dashboard verbinden, was ungefähr so ​​aussehen würde:

    Cloudflare

    Cloudflare verwendet sein riesiges CDN (Content Distribution Network), um Ihre WordPress-Website vor DDoS-Angriffen zu schützen, wodurch Ihre Website schneller wird und nicht nur gesichert wird. Mit mehr als 200 weltweit verteilten Rechenzentren ist das CDN groß genug, um selbst die stärksten Angriffe zu absorbieren und abzulenken, sodass Sie sich keine Sorgen machen müssen, dass seine Minderungskapazität überfüllt ist.

    Ein proaktiver Schadensbegrenzungsansatz ermöglicht es Cloudflare, Angriffe zu antizipieren, indem gemeinsame Informationen genutzt werden, die aus der Verhaltensanalyse von Signaturen und IPs auf mehr als 20 Millionen Websites stammen. Der Schutz erkennt und blockiert Angriffe der Ebenen 3, 4 und 7 am Rand und verhindert so, dass sie Ihre Website erreichen.

    Außerdem werden alle TCP-Ports in Ihrer Infrastruktur geschützt, indem Spectrum zum Proxy-Verkehr über das Cloudflare-Rechenzentrum verwendet wird.

    Der Service ist für Einzelpersonen und kleine (nicht geschäftskritische) Websites kostenlos. Der kostenlose Plan umfasst DDoS-Angriffsabwehr, globales CDN und Support per E-Mail. Bezahlte Pläne beginnen bei 20 US-Dollar pro Monat und beinhalten unter anderem eine Webanwendungs-Firewall, Cache-Analysen und mobile Optimierung.

    Für geschäftskritische Websites bietet der Unternehmensplan unter anderem 24 / 7x365-Chat- / Telefonsupport, 100% Verfügbarkeits-SLA, Support für Lösungsingenieure.

    StackPath

    Ein globales Netzwerk mit einer Gesamtkapazität von 65 TBit / s ermöglicht dies StackPath's Lösung zur Abschwächung der größten und ausgefeiltesten DDoS-Angriffe, die alle Angriffsmethoden abdeckt, einschließlich HTTP-, SYN- und UDP-Fluten. Die Plattform von StackPath sammelt und analysiert Informationen über DDoS-Angriffe sowie deren Randpositionen, sodass alle böswilligen Versuche blockiert werden können, unabhängig davon, woher sie stammen.

    Um Ihre WordPress-Website auf der Netzwerkebene zu schützen, verwendet das globale Netzwerk von StackPath Netzwerkgeräte, die vor DDoS-Angriffen der Ebenen 3 und 4 auf dem Gerät schützen. Inzwischen ein kluger Webanwendungs-Firewall Reduziert anspruchsvolle DDoS-Angriffe der Schicht 7 in weniger als einer Sekunde, indem einzigartige JavaScript-Validierungstechniken verwendet werden, die automatisierte Bots erkennen und blockieren, und erweiterte Tools zum Konfigurieren von DDoS-Schwellenwerten bereitgestellt werden, die Ihren spezifischen Anforderungen entsprechen.

    Der DDoS-Schutz von StackPath ist Teil einer Edge-Services-Suite, die ab 20 US-Dollar pro Monat erhältlich ist und CDN-, WAF- (Webanwendungs-Firewall), DNS- und Überwachungsdienste umfasst. Diese vier Dienste können einzeln gemietet werden und kosten jeweils 10 USD pro Monat. Die Preise richten sich nach dem Volumen. Wenn Sie beispielsweise ein CDN mit 100 TB / Monat und ein WAF mit 50 MB / Monat benötigen, müssen Sie 2000 USD pro Monat zahlen.

    Keine Entschuldigung!

    Wenn Ihre Website sinktGeben Sie keine Entschuldigung, wenn Sie auf die schwarze Liste gesetzt werden oder den Ruf verlieren. Sie haben alle Ressourcen zur Hand, um zu verhindern, dass eine Katastrophe Ihre geliebte WordPress-Site ruiniert. Wenn Sie es noch nicht getan haben, ergreifen Sie Maßnahmen und tun Sie etwas, bevor es zu spät ist.