あらゆる種類のオンライン ビジネスを運営している人は、DDoS 攻撃に注意する必要があります。 または分散型サービス拒否攻撃。 これは基本的に、誰かがあなたの Web サイトやサービスをシャットダウンしたいと考えているため、さまざまなポイントから大量のトラフィックを送信してあなたを圧倒し、シャットダウンすることや攻撃の発信元を追跡することさえ困難にすることを意味します。 彼らはサーバーに強制的に、 訪問者 通常はアクセスが拒否されます。 これは、オンライン プレゼンスに起こりうる最も苛立たしいことの XNUMX つです。
この記事では、それがどのように機能するかを理解し、それらから自分自身を守る手助けをします。
DDoS攻撃について
ほとんどのDDoS攻撃は、「マルウェアに感染し、悪意のあるユーザーによって制御されるコンピューターのグループ」であるボットネットによって実行されます。 次に、これらのマシンはハイジャックされ、攻撃者が誰もが利用できないようにするサービスに対して使用されます。
ボットネットを構成するコンピューターはマルウェアに感染していますが、WordPress WebサイトがDDoS攻撃を受けている場合、 あなたのウェブサイトはマルウェアに感染していません。 DDoSは、通常のトラフィックがあなたに到達するのを単に妨げています。 ただし、以前にセキュリティ違反によってコンピュータが危険にさらされていた場合、サーバーは、他の誰かに対してDDoS攻撃を実行するボットネットの一部になる可能性があります。
DDoSはハックではありません
上で述べたように、DDoS攻撃は、脆弱性を悪用してサイトにアクセスしようとする試みではありません。 それはより多くの意味で ブルートフォース攻撃。 これは、特定の関係者がログインの試行とパスワードのリセットを繰り返して(控えめに言っても)サイトにアクセスしようとしたときです。
DDoSersは、パスワードの取得、サイトの乗っ取り、マルウェアのインストール、または悪意のある目的でのコンピューターの使用を試みません。 DDoSの被害者である場合、サービスは拒否されます。 サーバーはパブリックチャネルを介して攻撃されるため、誰もサーバーにアクセスできなくなります。 ハッキングや侵入、ブルートフォース攻撃のようなダッシュボードではありません。
なぜDDoSターゲットなのですか?
なぜ誰かがあなたにこれをするのですか? さて、最も一般的なもののXNUMXつは ハクティビズム、当事者が反対するアイデアやサービスの拡散を防ぎたい場合。 これにはいくつかの理由が考えられますが、分裂する可能性のあるものを投稿すると、ハッキング主義者がDDoSで攻撃する可能性があります。
企業のスパイ活動は、たとえば大規模なセール中やXNUMX年のある時期に競合他社があなたを止めて、より多くの利益を自分に注ぎ込むときに発生することが知られています。 または、サイバーセキュリティとDDoS攻撃の詳細について知りたい人かもしれません。 たぶん、それは面白いと思って世界が燃えるのを見たいと思っているどこかの退屈な人です。 (これは、PlayStation Network、Xbox Live、World of Warcraftなどのゲームやオンラインサービスで発生します)。
自分をハックティビストや企業の妨害の標的と見なしていない場合は、見知らぬ人に大混乱をもたらしたいと思っている誰かの不運な標的にすぎない可能性があります。
WordPressをDDoS攻撃から保護する
DDoS攻撃の標的になる理由が何であれ、これがあなたとあなたのWordPressサイトに起こらないように予防策を講じる必要があります。 WPインストールをサービス拒否攻撃から保護することは、他の攻撃から保護することとそれほど違いはありません。 少なくともあなたの観点からは。 基礎となる保護の動作はかなり異なります。 しかし、WordPressユーザーは、それを開発者やスペシャリストに任せて、彼らの努力と専門知識の恩恵を享受するチャンスがあります。
WordPressを定期的に更新する
これは明白であり、当然のことと考えるべきです。 しかし、私たちはそれを言いたいです。 WordPressのインストールが最新であることを確認してください 。 まだバージョン4.9を使用していて、最新バージョンが5.3の場合は、サイトにアクセスする侵入者だけでなく、DDoS攻撃にもさらされることになります。 少なくとも間接的に。 WPを最新の状態に保つと、最新バージョンのセキュリティプラグインと、サーバーが感染してDDoSボットネットに統合されるのを防ぐ修正されたセキュリティホールを使用できます。
セキュリティプラグインを使用する
WordFence、iThemes、Sucuri、およびその他の多くの無料オプションを利用して、WordPressのインストールを安全に保つことができます。 それを利用してください。 最も重要なのは、WAFをインストールする必要があることです。 Webアプリケーションファイアウォールを表すWAFは、着信ボットネットに対する最善の防御策です。
通常、ファイアウォールはサーバーの周囲を定義し、誰がサーバーに入ることができ、誰が入ることができないかを決定します。 ルール(ポリシーと呼ばれる)は、 情報なし 黒 または ホワイトリスト 。 開発者とWAFチームは、既知のボットネット、そのリージョン、およびIPアドレスをブロック(またはブラックリスト)します。 これにより、既知の脅威からサイトが保護されますが、他の場所から新しい脅威が発生した場合でも、危険にさらされる可能性があります。
ホワイトリスト 次に、既知のトラフィックのみがサイトにアクセスできるようにすることで、両方が発生するのを防ぎます。 これらの IP 範囲または地域へのサイトへのアクセスを以前に承認していないため、DDoS を受けることはできません。 主なビジネスが特定の国または地域からのものである場合、これはボットネットや未知の攻撃者がサイトにアクセスするのを防ぐ効果的な方法です。 DDoSでもブルートフォースでもなんでも「入る」と言わないと入りません。
WAFにはこれらの両方の方法の長所と短所がありますが、一般に、開発者はサイトを安全かつ効率的に、そしておそらく最も重要で、収益性の高い状態に保つために、事前定義されたポリシーの強固なセットを用意しています。
ログの確認(アクセス履歴)
WordPress のログは、ほとんどのユーザーが知らない、または気にしていないものです。 ただし、DDoS 攻撃の危険にさらされている場合は、ログを保存し、トラフィックの送信元とサーバーが発生するエラーを確認することは、動作を確実に維持するために役立ちます。 午前 3 時 03 分の時点で、世界中で 176 回のログイン試行があったということだけでも、注意を払って更新プロセスを実行し、バックアップを作成し、 アナライザ マルウェアなどをチェックします。
ホストには閲覧可能なジャーナルが必要です。 コーデックスワードプレス 更新可能なデバッグログに関する詳細情報があります。
WordPressブログのセキュリティのヒント
ここでは、いくつかの調整を行うことで前進するのに役立ついくつかの項目のリストを示します。 ブログ より安全にするために。
要約する
結局、ほとんどのWordPressユーザーはリスクを冒さない 恐らく DDoS 攻撃を受けません。 しかし、あなたはそうなる可能性があります。 誰でもそうなる可能性があります。 そのため、それを管理するためのセキュリティの構成が非常に重要です。 しかし、コンテンツをリリースし、成功して一般の人々に注目されたり、間違った人の注目を集めたりするたびに、あなたの生計がかかっている可能性があります. 本当にしたいのであれば、人々がDDoSボットネットを雇うのは簡単です.であるため、WAF を設定し、ログを記録して準備することは、それだけの価値があります。
