wordpress

كيفية وقف ومنع هجوم DDoS على wordpress

ما هو هجوم DDoS؟

هجوم DDoS ، اختصارًا لهجوم رفض الخدمة الموزعة ، هو نوع من الهجمات الإلكترونية التي تستخدم أجهزة الكمبيوتر والأجهزة المخترقة لإرسال البيانات أو طلبها من خادم استضافة WordPress .

الغرض من هذه الطلبات هو إبطاء وتعطل الخادم المستهدف في النهاية.

هجمات DDoS هي شكل متطور من هجمات DoS (رفض الخدمة). على عكس هجوم DoS ، فإنها تستفيد من العديد من الأجهزة أو الخوادم المخترقة المنتشرة عبر مناطق مختلفة.

تشكل هذه الأجهزة المخترقة شبكة ، والتي تسمى أحيانًا الروبوتات.

يعمل كل جهاز متأثر كنظام روبوت ويشن هجمات على النظام أو الخادم المستهدف.

هذا يسمح لهم بالمرور دون أن يلاحظهم أحد لفترة ويسببون أقصى قدر من الضرر قبل أن يتم حظرهم.

اقرأ أيضاً :  كيفية تعطيل صفحات إرفاق الصور في WordPress

حتى أكبر شركات الإنترنت عرضة لهجمات DDoS.

في عام 2018 ، شهد GitHub ، وهو نظام أساسي لاستضافة الرموز الشعبية .

هجوم DDoS هائل أرسل 1.3 تيرابايت في الثانية لحركة المرور إلى خوادمهم.

قد تتذكر أيضًا هجوم عام 2016 سيئ السمعة على DYN (مزود خدمة DNS). حصل هذا الهجوم على تغطية إخبارية عالمية حيث أثر على العديد من مواقع الويب الشهيرة مثل Amazon و Netflix و PayPal و Visa و AirBnB و The New York Times و Reddit وآلاف المواقع الأخرى.

لماذا تحدث هجمات DDoS؟

هناك العديد من الدوافع وراء هجمات DDoS. فيما يلي بعض الأنواع الشائعة:

  • الأشخاص الأذكياء من الناحية الفنية الذين يشعرون بالملل فقط ويجدونه مغامرًا
  • يحاول الأشخاص والجماعات إثارة نقطة سياسية
  • المجموعات التي تستهدف مواقع الويب والخدمات الخاصة بدولة أو منطقة معينة
  • الهجمات المستهدفة على شركة أو مقدم خدمة محدد لإلحاق ضرر مادي بهم
  • لابتزاز وجمع أموال الفدية

ما الفرق بين هجوم القوة الغاشمة وهجوم DDoS؟

تحاول هجمات القوة الغاشمة عادة اقتحام النظام عن طريق تخمين كلمات المرور أو تجربة تركيبات عشوائية للوصول غير المصرح به إلى النظام.

تستخدم هجمات DDoS بحتة لتحطم النظام المستهدف ببساطة مما يجعله غير قابل للوصول أو إبطائه.

ما هي الأضرار التي يمكن أن تسببها هجمات DDoS؟

يمكن أن تؤدي هجمات DDoS إلى عدم إمكانية الوصول إلى موقع الويب أو تقليل الأداء.

قد يتسبب هذا في تجربة سيئة للمستخدم ، وفقدان الأعمال التجارية ، وتكاليف التخفيف من الهجوم يمكن أن تكون بآلاف الدولارات.

هنا تفصيل لهذه التكاليف:

  • فقدان الأعمال بسبب عدم إمكانية الوصول إلى الموقع
  • تكلفة دعم العملاء للرد على الاستفسارات المتعلقة بانقطاع الخدمة
  • تكلفة تخفيف الهجوم عن طريق الاستعانة بخدمات الأمن أو الدعم
  • التكلفة الأكبر هي تجربة المستخدم السيئة وسمعة العلامة التجارية
اقرأ أيضاً :  كيفية استخدام إعادة توجيه ملفات تعريف الارتباط في WordPress لإظهار الرسائل المخصصة في الموقع

كيفية وقف ومنع هجوم DDoS على وورد

يمكن إخفاء هجمات DDoS بذكاء ويصعب التعامل معها. ومع ذلك ، مع بعض أفضل ممارسات الأمان الأساسية ، يمكنك منع هجمات DDoS وإيقافها بسهولة من التأثير على موقع WordPress الخاص بك.

فيما يلي الخطوات التي تحتاج إلى اتخاذها لمنع وإيقاف هجمات DDoS على موقع WordPress الخاص بك.

قم بإزالة قطاعات هجوم DDoS / Brute Force

أفضل شيء في WordPress هو أنه مرن للغاية. يسمح WordPress للمكونات الإضافية والأدوات الخاصة بالجهات الخارجية بالاندماج في موقع الويب الخاص بك وإضافة ميزات جديدة.

للقيام بذلك ، يجعل WordPress العديد من واجهات برمجة التطبيقات متاحة للمبرمجين. واجهات برمجة التطبيقات هذه هي طرق يمكن أن تتفاعل من خلالها المكونات الإضافية والخدمات من WordPress مع WordPress.

ومع ذلك ، يمكن أيضًا استغلال بعض واجهات برمجة التطبيقات هذه أثناء هجوم DDoS عن طريق إرسال الكثير من الطلبات. يمكنك تعطيلها بأمان لتقليل تلك الطلبات.

قم بتعطيل XML RPC في WordPress

يسمح XML-RPC لتطبيقات الجهات الخارجية بالتفاعل مع موقع WordPress الخاص بك. على سبيل المثال ، أنت بحاجة إلى XML-RPC لاستخدام تطبيق WordPress على جهازك المحمول.

إذا كنت مثل الغالبية العظمى من المستخدمين الذين لا يستخدمون تطبيق الجوال ، فيمكنك تعطيل XML-RPC ببساطة عن طريق إضافة الكود التالي إلى ملف htaccess لموقع الويب الخاص بك .

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

تعطيل REST API في WordPress

تسمح واجهة برمجة تطبيقات WordPress JSON REST API للمكونات الإضافية والأدوات بالقدرة على الوصول إلى بيانات WordPress و / أو تحديث المحتوى و / أو حتى حذفها. إليك كيفية تعطيل REST API في WordPress.

أول شيء عليك القيام به هو تثبيت وتفعيل البرنامج المساعد Disable WP Rest API .

اقرأ أيضاً :  أفضل 6 مكونات إضافية للتحديث التلقائي في WordPress

يعمل المكون الإضافي خارج الصندوق ، وسوف يقوم ببساطة بتعطيل REST API لجميع المستخدمين غير المسجلين.

تنشيط WAF (جدار حماية تطبيق موقع الويب)

يوفر تعطيل ناقلات الهجوم مثل REST API و XML-RPC حماية محدودة ضد هجمات DDoS. موقع الويب الخاص بك لا يزال عرضة لطلبات HTTP العادية.

بينما يمكنك تخفيف هجوم DOS صغير من خلال محاولة التقاط عناوين IP الخاصة بالجهاز السيئ وحظرها يدويًا ، فإن هذا الأسلوب ليس فعالًا للغاية عند التعامل مع هجوم DDoS كبير.

يعمل جدار حماية تطبيق موقع الويب بمثابة وكيل بين موقعك على الويب وجميع حركة المرور الواردة. يستخدم الخوارزمية الذكية للقبض على جميع الطلبات المشبوهة وحظرها قبل وصولها إلى خادم موقع الويب الخاص بك.

نوصي باستخدام Sucuri لأنه أفضل مكون إضافي لأمان WordPress وجدار حماية موقع الويب.

يعمل على مستوى DNS مما يعني أنه يمكنهم التقاط هجوم DDoS قبل أن يتمكن من تقديم طلب إلى موقع الويب الخاص بك.

نستخدم Sucuri على WPBeginner. اطلع على دراسة الحالة الخاصة بنا حول كيفية مساعدتهم

في منع مئات الآلاف من الهجمات على موقعنا.

بدلاً من ذلك ، يمكنك أيضًا استخدام Cloudflare .

ومع ذلك ، فإن خدمة Cloudflare المجانية توفر حماية DDoS محدودة فقط. ستحتاج إلى الاشتراك في خطة عملهم على الأقل لحماية الطبقة DDoS التي تكلف حوالي 200 دولار شهريًا.

ببساطة ، قم بتثبيت وتفعيل المكوّن الإضافي Sucuri المجاني ثم الانتقال إلى صفحة Sucuri Security »Last Logins .

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى