În acest articol, vă vom arăta cum să opriți un atac DDoS pe un mic site comercial WordPress. Atacurile DDoS pot apărea de nicăieri, iar site-urile mici sunt deosebit de vulnerabile față de acestea, deoarece nu sunt întotdeauna pregătite pentru acest tip de evenimente. Să ne întrebăm: dacă site-ul dvs. a fost atacat mâine, ce ați face? Dacă nu aveți idei, atunci ar trebui să citiți articolul.
Ce este un atac DDoS?
Opriți atacul DDoS pe un mic site comercial
Analiza primelor 10 IP-uri ale clienților în ultimele 7 zile de pe site a dezvăluit instantaneu unele acțiuni suspecte. Cele mai multe dintre ele au produs peste 10.000 de cereri, și asta este destul de mult. Amintiți-vă că vorbim despre un mic site care ar trebui să primească doar câteva mii de cereri pe lună.
Hacking sau încercări de forță brute?
Următorul pas pe care va trebui să-l faceți este să vă asigurați că nu sunteți hacked. În cazul nostru, nu a existat nici o încercare de a intra. WP Security Audit Log este un plug-in excelent, care vă permite să explorați rapid site-ul și să vedeți dacă au existat tentative greșite de autentificare. De asemenea, puteți verifica jurnalele pentru a vedea dacă au existat acțiuni POST în numere mari. Aparent, ne-am confruntat cu un atac clasic DDoS, în cadrul căruia pur și simplu s-au dus cantități uriașe de trafic la una dintre secțiunile site-ului pentru a încerca să-l dezactiveze.
Blocarea IP
Dacă lucrați cu propriul server, următorul pas este să instalați un plug-in pentru blocarea IP sau firewall, cum ar fi WordFence. Cu toate acestea, majoritatea găzduitelor administrate (gestionate) WordPress interzic astfel de pluginuri. Și pentru asta există motive. În primul rând, astfel de plug-in-uri pot avea un impact imens asupra performanței (în special a procesului de scanare). Este, de asemenea, important de remarcat faptul că găzduirea utilizează adesea balansoare de încărcare cu platforma Google Cloud, adică Funcțiile de blocare a IP nu vor funcționa de cele mai multe ori.
Mutarea unui site la Cloudflare nu a ajutat
Cloudflare face o treabă bună de a bloca traficul de roboți majori, dar dacă vă gândiți la planul lor liber, atunci protecția de la DDoS nu este cea mai bună. Am mutat site-ul la Cloudflare, dar a dus la un eveniment mai suspect de trafic. Este posibil ca aceasta să se datoreze intensificării atacului. Așa cum se poate vedea mai jos, atacul a ajuns la 50.000 de cereri pe oră. CDN din Cloudflare funcționează excelent, dar dacă aveți nevoie de alte funcții, va trebui cel mai probabil să plătiți.
Apoi am setat "limita de viteză" pe site. Această restricție vă permite să creați reguli pentru trafic pentru adresa URL și să o blocați / restricționați în funcție de activitate. Oportunitatea este disponibilă pentru conectare într-un tarif gratuit și costă 0,05 USD pentru 10.000 de cereri. Cu toate acestea, ritmul pe care l-am observat ar fi dus la 36 de milioane de solicitări pe lună, ceea ce ne-ar costa 180 de dolari pe lună. Evident, această decizie nu este cea mai de succes. Și da, am încercat diferite tipuri de șabloane.
În următorul pas, am examinat firewall-urile existente. Mulți utilizatori nu au, iar tariful gratuit Cloudflare nu le include. Cu toate acestea, fără ele, este aproape imposibil să oprim atacurile moderne DDoS. Puteți trece la rata Cloudflare pentru 20 USD / lună. Cu toate acestea, există și alte soluții de la terți.
Comparând Cloudflare cu Sucuri
În opinia noastră, cele două soluții cele mai bune care există astăzi în domeniul firewall-urilor bazate pe web și care sunt cele mai ușor de aplicat pentru orice tip de site sunt Cloudflare și Sucuri. Notă: nu avem nimic de-a face cu niciuna dintre aceste companii, ei nu ne plătesc. Dacă le studiați, veți vedea că Sucuri este mai eficient, deși ambele servicii oferă planuri de 20 de dolari pe lună.
Cloudflare
Tariful Cloudflare Pro vă oferă protecție sporită față de DDoS la nivelurile 3 și 4. Aceasta va opri automat atacurile TCP SYN, UDP și ICMP pe serverele acestora, ca urmare a faptului că astfel de atacuri nu vor ajunge niciodată pe serverul dvs. Pentru a obține o apărare de nivelul 7, trebuie să mergi la un plan de 200 de dolari pe lună. Amintiți-vă că avem de-a face cu un mic site comercial, deoarece 200 de dolari pe lună reprezintă o sumă insuportabilă pentru noi.
Cu tariful Sucuri, beneficiați de protecție sporită de la DDoS la nivelurile 3 și 4, împreună cu nivelul 7. Acest lucru ajută la detectarea automată a schimbărilor bruște în trafic și la protejarea împotriva atacurilor de tip POST inundații și atacuri DNS, deoarece acestea nu vor ajunge niciodată pe serverul dvs. Astfel, vorbind direct, este mult mai probabil să vezi o atenuare mai bună a atacurilor DDoS dacă folosești Sucuri. În cazul nostru, avem nevoie de nivelul 7 pentru a proteja împotriva inundațiilor HTTP.
HTTP inundarea este un atac de nivel 7 care utilizează cerințele standard GET / POST de încredere pentru a obține informații, ca în timpul cererilor obișnuite de date (imagini, informații) într-o sesiune SSL. HTTP GET / POST Inundarea este un atac voluminos care nu folosește pachete false, spoofing etc.
Sucuri oferă, de asemenea, echilibrarea încărcării pentru 70 de dolari pe lună, în timp ce Cloudflare include câteva taxe asociate diferitelor aspecte ale echilibrării încărcării - de exemplu, prețul depinde de utilizare, în funcție de datele geografice etc.
Ambele servicii au funcții similare, inclusiv crearea unor reguli pentru anumite pagini, introducerea IP-ului în lista neagră etc. Cu toate acestea, în ceea ce privește protecția împotriva DDoS, Sucuri oferă mult mai mult. De asemenea, ne-a plăcut interfața listei negre IP din Sucuri și modul în care sunt stabilite diferite opțiuni în serviciu.
Amintiți-vă că nici o companie nu vă poate promite o garanție de 100% pentru protecția împotriva DDoS. Tot ce pot face este să atenueze atacul.
Transferarea unui site către Sucuri
Mutarea unui site în Sucuri este un proces simplu. Ca și în cazul Cloudflare, nu este nevoie să instalați nimic, deoarece serviciul funcționează ca un proxy cu drepturi depline. În esență, este un firewall bazat pe web (WAF) care se află între client și site.
Consola Sucuri, după părerea noastră, nu este la fel de modernă și atractivă ca în Cloudflare, dar în cazul unui firewall nu este așa de importantă. Principalul lucru este că funcționează bine. Dupa cum puteti vedea mai jos, aceasta determina gazduirea IP actuala si ofera un firewall IP. Pe acesta ar trebui să direcționați DNS-ul (înregistrați A + record AAAA).
Puteți să rulați totul în Sucuri în doar câteva minute. Acest lucru este bun în cazul unui atac activ DDoS. Singurul lucru pe care trebuie să-l faceți este să așteptați până când DNS se va răspândi. De asemenea, Sucuri include HTTP / 2 Anycast CDN. Deci nu este doar un firewall. De asemenea, vă permite să accelerați activitatea site-ului WordPress. Dar puteți utiliza și CDN-urile dvs., cum ar fi KeyCDN.
Acestea oferă un certificat SSL gratuit. Să criptați. De asemenea, puteți să descărcați certificatul. Singurul dezavantaj - Let's Encrypt nu este automatizat, va trebui să creați un bilet. Un alt sfat pentru îmbunătățirea performanței - puteți activa caching-ul site-ului. Dar, cel mai probabil, aveți deja caching pe WordPress hosting.
Opțiuni suplimentare de protecție
Pe pagina de securitate, puteți bloca cu ușurință tot traficul XML-RPC, boturile agresive, includeți antete de securitate suplimentare, cum ar fi HSTS etc. Notă: XML-RPC a fost deja blocat pe site-ul nostru comercial.
Alte rapoarte utile
Există multe alte rapoarte utile, cum ar fi o diagramă a atacurilor blocate. Cu ajutorul acestuia, puteți vedea procentul de atacuri blocate pe tipuri, inclusiv atacurile DDoS. Există și alte diagrame - de exemplu traficul prin tipuri de browser, dispozitive și coduri de răspuns.
O diagramă care arată traficul mediu pe oră este convenabilă pentru a înțelege momentul în care traficul de vârf trece și ce procent din solicitările blocate.
Un tabel cu traficul în funcție de țară vă ajută să înțelegeți rapid dacă sosesc cereri dintr-o anumită localizare geografică. Puteți bloca cu ușurință țara cu un singur clic.
Sucuri a ajutat site-ul nostru comercial WordPress? La o oră după ce DNS-ul și-a încheiat distribuția, lățimea de bandă și interogările s-au stabilizat imediat și de atunci nu a existat nici o singură problemă. Aceasta este o investiție bună și economie de timp dacă vă confruntați cu astfel de probleme.
Acesta este modul în care site-ul sa uitat după ceva timp după ce sa mutat la Sucuri. După cum puteți vedea, totul a revenit la transferul inițial de date de 30-40 MB pe zi.
Suntem atacați în mod activ boturile situate pe Amazon AWS și Google Cloud. Poate firewall-ul Sucuri ajuta cu asta? În prezent, folosim WPEngine, care are un firewall încorporat (blocarea nimicului) și CloudFlare (de asemenea, e dor de spam). Sper că Sucuri va ajuta în acest sens.