Al het harde werk dat u aan uw WordPress-website heeft gestoken, kan binnen een seconde verdwenen zijn als u geen maatregelen neemt om deze te beschermen tegen DDoS-aanvallen.
Alle publiekelijk toegankelijke web sites zijn kwetsbaar voor DDoS-aanvallen, en op WordPress gebaseerde websites vormen hierop geen uitzondering. Gelukkig is WordPress een zeer flexibel platform en ondersteunt het daarom effectieve beschermingsmaatregelen tegen aanvallen. Het is slechts een kwestie van preventie: een aanval afweren of de gevolgen ervan verzachten; je moet handelen voordat het gebeurt.
Wat is een DDoS-aanval?
Een afkorting voor Distributed Denial of Service, een DDoS-aanval is een gecoördineerde agressieve actie die wordt uitgevoerd door een netwerk van gecompromitteerde computer systems of apparaten (een botnet) dat massaal gegevens verzendt naar of opvraagt bij één server (het doelwit). De stroom aan verzoeken overweldigt de servercapaciteit, vertraagt deze of laat deze crashen door een gebrek aan bronnen.
De potentiële schade van een DDoS-aanval
Als uw web site het doelwit wordt van een DDoS-aanval, kunnen er veel slechte dingen mee gebeuren.
Bijvoorbeeld:
- De ervaring van uw bezoekers kan negatief worden beïnvloed. In het beste geval kunnen de reacties van de website traag worden 🦥; in het slechtste geval zal de hele website offline en ontoegankelijk zijn.
- Als uw web site een on-line winkel is, kunt u omzet mislopen, en als deze alleen maar inhoud aanbiedt, gaan uw bezoekers mogelijk ergens anders heen om te krijgen wat ze willen.
- De reputatie van uw web site kan ernstig achteruitgaan 📉, zowel wat betreft de waargenomen merkreputatie (dat wil zeggen dat uw bedrijf als niet serieus wordt beschouwd) als wat betreft autoriteit, relevantie en vertrouwen, de pijlers van elke Search engine marketing-strategie.
- Het kost u om de schade te herstellen. De kosten zijn afhankelijk van de duur van de aanval en zijn moeilijk te berekenen, omdat u rekening moet houden met tal van bijwerkingen, zoals inspanningen van de klantenondersteuning om claims van gebruikers over serviceonderbrekingen te beantwoorden, of het inhuren van een beveiligingsdienst om uw web site schoon te maken.
Wie zijn de slachtoffers van DDoS-aanvallen?
Elke web site, ongeacht de grootte of het quantity, kan het doelwit zijn van een DDoS-aanval.
Web sites met blootgestelde kwetsbaarheden zijn de gemakkelijkste doelwitten, maar een aanval kan met opzet tegen een bepaalde web site worden georkestreerd. De aanval kan om ideologische redenen worden uitgevoerd (een praktijk die ‘ hacktivisme); bijvoorbeeld om een website in diskrediet te brengen die bepaalde politieke of religieuze ideeën promoot. Of om de eigenaar van de web site te chanteren en losgeld te vragen. Of het kan gewoon een interest zijn van een groep technisch onderlegde mensen die willen pronken met hun vaardigheden.
Een aanval kan ook worden ingehuurd: een bedrijf betaalt een groep hackers om specifiek zijn concurrenten aan te vallen. Wat de reden ook is, het komt erop neer: elke website-eigenaar moet voorzorgsmaatregelen nemen om te voorkomen dat een DDoS-aanval zijn of haar website beschadigt. Het is niet moeilijk of duur, dus er zijn geen echte redenen om het niet te doen.
Hoe bescherm je je WordPress tegen DDoS-aanvallen?
De twee noodzakelijke beveiligingsmaatregelen die u moet nemen om uw WordPress-site te beschermen tegen DDoS-aanvallen:
- Zorg voor een goede WordPress-back-upoplossing.
- Start met het gebruik van een kosteneffectieve, cloudgebaseerde anti-DDoS-beveiligingsoplossing.
De back-upoplossing is om vele redenen iets dat u moet hebben, niet alleen voor DDoS-bescherming. Er zijn tal van free of charge en betaalde back-upoplossingen in de WordPress-plug-incatalogus, dus we gaan momenteel niet dieper op dit onderwerp in. Als uw web site na een aanval beschadigd is, is het herstellen ervan met een veilige back-up een snelle manier om de web site weer normaal te maken.
Als het om anti-DDoS-beveiligingsoplossingen gaat, moet u zich afvragen hoeveel gemoedsrust u wilt hebben en hoeveel geld u ervoor wilt betalen. Wilt u niets betalen, dan zult u een flink aantal zaken zelf moeten regelen.
DIY 🧰-aanpak
Een van de geweldige dingen van WordPress is dat het een open architectuur heeft waarmee apps van derden kunnen worden geïntegreerd en ermee kunnen communiceren. Dat wordt bereikt met verschillende API’s (Utility Programming Interface) die beschikbaar zijn voor programmeurs. Het probleem is dat deze API’s kunnen worden misbruikt door een DDoS-aanval om een stortvloed aan verzoeken te verzenden. Het eerste wat u dus moet doen: schakel een exploiteerbare API uit, genaamd XML-RPC.
U heeft XML-RPC alleen nodig als uw WordPress-website communiceert met externe applicaties van derden, zoals de WordPress-app op mobiele apparaten. Als je het zonder kunt, kun je XML-RPC beter uitschakelen. Dit kunt u eenvoudig doen door uw web site te bewerken .htaccess bestand om de toegang tot het xmlrpc.php-programma te weigeren. Of, als u denkt dat het niet veilig is om de interne bestanden van uw web site zelf te wijzigen, kunt u een plug-in aanschaffen die het werk voor u doet.
Anti-DDoS-plug-ins
Er zijn een paar WordPress-beveiligingsplug-ins die andere WordPress-kwetsbaarheden verhelpen.
Bescherming tegen DDoS – deze plug-in verhelpt prestatieproblemen veroorzaakt door brute force- en DDoS-aanvallen. Door alle controles through het .htaccess-bestand uit te voeren, worden kwaadaardige verzoeken op webserverniveau tegengehouden voordat ze de WordPress-site kunnen bereiken.
Het misplaced ook de XML-RPC-kwetsbaarheid op en de configuratie-opties bieden Cloudflare-gebruikers de mogelijkheid om bezoekers uit specifieke landen de toegang te weigeren.
Schakel WP REST API uit – de WordPress REST API is een andere exploiteerbare kwetsbaarheid van het populaire CMS. Gelukkig kan deze kwetsbaarheid eenvoudig worden verholpen met deze superlichte plug-in. Het gebruikt slechts 22 regels code – minder dan 2 KB – en werkt door de WP REST API uit te schakelen voor bezoekers die niet zijn ingelogd op WordPress. Als uitgelogde bezoekers na installatie en activering JSON/REST-verzoeken indienen bij uw web site, krijgen ze een bericht waarin staat dat de REST API beperkt is tot geverifieerde gebruikers.
Schakel XML-RPC Pingback uit – met meer dan 80.000 installaties en een beoordeling van 4,5 sterren; deze plug-in elimineert alle exploiteerbare methoden uit de XML-RPC-interface. Het verwijdert ook X-Pingback uit HTTP-headers, waardoor bots het xmlrpc.php-bestand niet kunnen bereiken.
Beveiligingssuites
Als u DDoS en andere beveiligingsproblemen volledig wilt vergeten en al uw inspanningen in uw bedrijf wilt steken, dan wilt u een oplossing die alle basissen dekt.
Een dergelijke oplossing moet het volgende omvatten:
- Een webapplicatie-firewall. De firewall staat tussen uw web site en web, detecteert vijandig verkeer en blokkeert dit.
- Een antiviruspakket voor web sites. Het moet uw web site periodiek en automatisch scannen om elk spoor van malware te detecteren en te verwijderen.
- Serverscan op niet-besmettelijke hacks, zoals banneradvertenties van onbekende websites.
- Web site-audit/monitoring om verdachte activiteiten te detecteren, zoals bestandswijzigingen, nieuwe berichten, nieuwe gebruikers, mislukte inlogpogingen en meer.
Laten we de volgende oplossingen verkennen die uitgebreide WordPress-sitebeveiliging bieden.
Sappen
Sucuri is een gerenommeerd webbeveiligingsbedrijf met veel ervaring in WordPress web sites.
Op het second dat u Sucuri op uw website inschakelt, installeren ze een cloud proxy-firewall tussen uw web site en web, waarbij al het verkeer wordt gefilterd dat naar uw hostingserver wordt geleid. De firewall zorgt ervoor dat alleen legitieme bezoekers uw WordPress-website kunnen bereiken. Als neveneffect zal uw web site dankzij de Sucuri-cloud sneller reageren en kunt u hostinggeld besparen door het verkeersvolume dat uw server moet verwerken te verminderen.
De volledige Sucuri-oplossing voegt aan de combine een antiviruspakket toe dat uw web site regelmatig scant en controleert om deze vrij te houden van allerlei soorten malware: kwaadaardige JavaScript-fragmenten, verdachte omleidingen, code-injecties, enz.
Het controleert ook of uw website niet op de zwarte lijst komt te staan van diensten voor reputatiebeoordeling. Door door het auditlogboek van de website te bladeren, wordt u op de hoogte gehouden van alles wat er op uw WordPress-website gebeurt, inclusief nieuwe gebruikers, mislukte inlogpogingen, bestandswijzigingen en meer.
De tariefplannen van Sucuri beginnen rond de $ 199 per jaar voor een basisdienst – wat niet zo basaal is, omdat er slechts een paar ondernemingsgerichte goodies ontbreken. De meegeleverde functies rechtvaardigen de prijs ruimschoots, maar als dat niet genoeg is om u te overtuigen, bedenk dan dat ze ook een dienst voor het opruimen van malware bieden, samen met het verwijderen van zwarte lijsten.
Als u uw web site heeft beveiligd, is het onwaarschijnlijk dat u deze service ooit nodig zult hebben, maar bedenk dat een beveiligingsexpert u gemakkelijk $ 250 per uur in rekening kan brengen om een malware-infectie van uw website te verwijderen.
Astra-beveiliging
Astra Safety is een van de toonaangevende WordPress-beveiligingsoplossingen die er zijn. De intelligente eindpuntfirewall van Astra wordt naadloos op uw web site geïnstalleerd en biedt realtime bescherming tegen laag 7 DDoS-aanvallen en meer dan 100 soorten andere aanvallen. Deze firewall, uitgerust met machine learning-intelligentie, identificeert bekende aanvallen, botgedrag en kwaadaardige verzoeken en evolueert met elk nieuw aanvalstype. De Astra-firewall is 24*7 actief en beschermt uw web site feilloos.
Bovendien werkt de Astra-firewall excellent op uw eigen server, zonder dat er enige DNS-wijziging nodig is.
Maar dat is niet alles. Het Astra Safety-pakket heeft nog veel meer te bieden. Elk beveiligingspakket wordt geleverd met de WAF, Malware Scanner, Nation en IP blocker en verschillende andere handige functies.
Aan de slag gaan met Astra Safety is eenvoudig en het hele proces duurt minder dan 15 minuten. Dit is hoe het werkt:
- Installeer de Astra Safety-plug-in vanuit de WordPress-repository
- Maak een account aan, kies een abonnement en meld je aan
- Klik ten slotte op ‘Verbinden met Astra’ vanuit uw WP-backend
Dit zou uw WP-backend verbinden met het Astra-dashboard, dat er ongeveer zo uit zou zien:
Wolkenvlam
Cloudflare gebruikt zijn enorme CDN (content material distribution community) om uw WordPress-website te beschermen tegen DDoS-aanvallen, waardoor uw website niet alleen sneller wordt, maar ook wordt beveiligd. Met meer dan 200 wereldwijd verspreide datacenters is het CDN groot genoeg om zelfs de krachtigste aanvallen op te vangen en af te weren, zodat u zich geen zorgen hoeft te maken dat de mitigatiecapaciteit overstroomd wordt.
Dankzij een proactieve mitigatieaanpak kan Cloudflare anticiperen op aanvallen door gebruik te maken van gedeelde intelligentie, samengesteld uit gedragsanalyse van handtekeningen en IP’s op meer dan 20 miljoen web sites. De bescherming detecteert en blokkeert aanvallen van laag 3, 4 en 7 aan de rand, waardoor ze uw web site niet kunnen bereiken.
Bovendien worden alle TCP-poorten in uw infrastructuur beschermd door Spectrum te gebruiken om verkeer through het datacenter van Cloudflare te proxyeren.
De dienst is free of charge voor particulieren en kleine (niet bedrijfskritische) web sites. Het free of charge abonnement omvat beperking van DDoS-aanvallen, wereldwijd CDN en ondersteuning through e-mail. Betaalde abonnementen beginnen bij $ 20 per maand, met onder meer een webapplicatie-firewall, cache-analyse en mobiele optimalisatie.
Voor bedrijfskritieke web sites voegt het ondernemingsplan onder meer 24x7x365 chat/telefoonondersteuning, 100% uptime SLA en ondersteuning voor oplossingsingenieurs toe.
Stapelpad
Dankzij een wereldwijd netwerk met een totale capaciteit van 65 Tbps kan de oplossing van StackPath de grootste en meest geavanceerde DDoS-aanvallen tegengaan, waarbij het volledige scala aan aanvalsmethoden wordt aangepakt, inclusief HTTP-, SYN- en UDP-floods. Het platform van StackPath verzamelt en analyseert informatie over DDoS-aanvallen, samen met de edge-locaties, waardoor het alle kwaadaardige pogingen kan blokkeren, ongeacht waar ze vandaan komen.
Om uw WordPress-website op de netwerklaag te beschermen, maakt het wereldwijde StackPath-netwerk gebruik van netwerkapparatuur die beschermt tegen laag 3 en 4 DDoS-aanvallen op het apparaat. Ondertussen vermindert een slimme webapplicatiefirewall geavanceerde laag 7 DDoS-aanvallen in minder dan een seconde door gebruik te maken van unieke JavaScript-validatietechnieken die geautomatiseerde bots detecteren en blokkeren en door geavanceerde instruments te bieden om DDoS-drempels te configureren om aan uw specifieke behoeften te voldoen.
De DDoS-bescherming van StackPath maakt deel uit van een edge-servicesuite die begint bij $ 20 per maand en die CDN, WAF (webapplicatiefirewall), DNS en monitoringservices omvat. Deze vier diensten kunnen afzonderlijk worden gehuurd en kosten elk $ 10 per maand. Prijzen schalen volgens het quantity; Als u bijvoorbeeld een CDN van 100 TB/maand nodig heeft en een WAF van 50 miljoen/maand vraagt, moet u $ 2000 per maand betalen.
Geen excuus!
Als uw web site uit de lucht gaat, op de zwarte lijst komt te staan of zijn reputatie verliest, geef dan geen excuus. Je hebt alle middelen binnen handbereik om te voorkomen dat een ramp je geliefde WordPress-site verpest. Als je het nog niet hebt gedaan, onderneem dan actie en doe iets voordat het te laat is.