Защита от DDOS-атаки: два простых приема для WordPress и Joomla

safety

Привет, друзья IdeaFox!

Не так давно я написал заметку о том, как бороться с подозрительной активностью на сайте:

http://ideafox.ru/pro-blog/ip-ban.html

В которой делал упор на то, как защищаться от заклятых друзей-конкурентов = ). А следом получил несколько запросов в техподдержку с просьбой рассказать о том, как бороться с DDOS-атакой.

На самом деле, схема защиты почти точно такая же, как в той самой статье.

Прежде чем начать, отмечу, что от сильной атаки такое решение вас НЕ спасет. Но отбиться от мелких хулиганов  поможет.

Итак, представим что ваш сайт заваливают кучей запросов а сайт еще кое-как работает.

Письмо в техподдержке

Как защитить WordPress от DDOS-атаки?

Вообще, нужно заранее побеспокоиться и сделать несколько простых шагов. Дело в том, что если блог УЖЕ атакуют, то он начинает сильно тормозить. Вплоть до того, что он просто перестанет работать.

Или хостер его превентивно отключит, чтобы снизить нагрузку и не уронить ваших соседей по серверу.

1. Шаг: Установить плагин WordFence Security

Статья в которой я рассказывал о том, как установить и настроить WordFence Security уже устарела, поэтому лучше посмотреть новое видео из моего курса по безопасности WordPress:

и сделать базовые настройки безопасности плагина. О более тонких настройках безопасности сайта под управлением WordPress смотрите в платном курсе:

http://ideafox.ru/kurs-bezopasnost

Разумеется, предварительно делаем резервную копию сайта, так как установка любого плагина безопасности — довольно непредсказуемое дело.

2. Шаг: Пройти в настройки WordFence Security и сделать еще два телодвижения:

Включить FireWall в WordFence Security

включаем файрволл

И настроить сам FireWall:

настройка фильтрации трафика

Все. От легкой атаки мы защитились.

Например, если кто-то будет усердно долбится на Ваш сайт, то система будет блокировать негодяя, а Вы будете получать примерно вот такое письмо:

письмо о блокировке IP-адреса

В данном случае кто-то с указанного в письме IP-адреса пытался слишком часто просмотреть несуществующие страницы (по ошибке 404).

Система увидела, что кто-то за минуту сделал 120 таких попыток и заблокировал IP-адрес на один час.

Разумеется, Вы можете выставить более мягкие/жесткие правила. Расшифровка настроек FireWall-а дается вот здесь:

http://ideafox.ru/pro-blog/ip-ban.html

Еще один приемчик, который позволяет отбиться от DDOS

Есть у меня парочка старых сайтов на Joomla. Так вот. Спешу сообщить, что для столь популярного движка вообще нет нормальных расширений защиты.

Да, есть парочка компонентов защиты Joomla: Admin Tools и jHackGuard.

Но они рядом не валялись с плагинами безопасности, которые есть для WordPress.

А если быть точным – это убогие поделки по сравнению с тем же WordFence Security или iThemes Security.  Кстати, если кто-то знает нормальные расширения для Joomla, то подскажите, пожалуйста.

И как быть в такой ситуации?

Я выкрутился при помощи нового сервиса VirusDie, о котором писал вот здесь:

http://ideafox.ru/pro-blog/virusdie.html

Там в комплекте идет весьма неплохой файрволл, который не требует установки и настройки. Просто заливаете файл синхронизации в корень сайта, как показано на этом видео:

и включаете защиту от DDOS в настройках сайта в личном кабинете на VirusDie.Ru:

статистика по трафику

Вот, кстати, статистика по абсолютно убогому сайт для опытов win4blog.ru (этот метод защиты работает также и на WordPress):

— за 20 дней было заблокировано 450 подозрительных запроса. Учитывая тот факт, что сайт вообще ни о чем – впечатляет.

А вот структура плохого трафика по этому сайту:

блокированные угрозы

Подчеркну, что этот файрволл от Virusdie корректно работает на WordPress и не требует очень уж тонких настроек. Точнее, их вообще нет.

Есть одна кнопка– “Вкл/Выкл”. Как на хипстерском iPhon-е. =)

Но тем не менее, он весьма неплохо работает на мой взгляд, как на сайтах под управлением Joomla, так и с WordPress. Судя по логам, он блокирует большинство наиболее известных типов атак.

На сегодня все.

Не забудьте подписаться на новости сайта вот на этой странице:

http://ideafox.ru/podpiska

P.S. Кто-нибудь знает нормальные расширения для защиты сайтов на Joomla?

Мой курс по безопасности WordPress
boxzashitasini

Уважаемые блогеры!

Обратите внимание на мой курс по безопасности WordPress, который так и называется:

"Защита блога на движке WordPress за два часа"

В этом небольшом курсе я систематизировал наиболее простые, но надежные методы защиты блога на WP от вирусов и хакеров.

Он будет полезен как начинающим, так и продвинутым блогерам.

Я сам пользуюсь этими методами на всех своих проектах.

Посмотрите вот это небольшое обзорное видео о курсе:

Для того, чтобы более подробно познакомиться с этим курсом, достаточно пройти регистрацию на моем закрытом сайте для блогеров:

Защищайте свои блоги!

Еще по безопасности блогов:

  1. Мой новый курс по безопасности “Защита блога на WordPress за два часа”
  2. VirusDie (ВирусДай!) — Новый способ для защиты сайта от вирусов и DDOS. И почему так ругают этот сервис?
  3. Manul — новый антивирус для сайтов от Яндекса. Специально для бородатых админов

Только для блогеров и вебмастеров:

Один комментарий к «Защита от DDOS-атаки: два простых приема для WordPress и Joomla»

  1. Ну что за дискриминация?) Я протестую. А как же RS Firewall для Joomla? Там тоже весьма неплохой Фаервол.

  2. На работе тоже частенько приходится чистить сайты от вирусов, но я в основном делаю это вручную, так скажем старым дедовским способом. Открываю файлы сайта и смотрю на даты последних обновлений если дата обновления файла недавняя, а сайт заливался на хостинг давно, то ищу вредоносный код там и так везде по всем файлам. После такой чистки вирусов, как правило, все работает нормально хостинг на спам или нагрузку не жалуется. В моей практике в основном взламывают джумлу, вордпресс очень редко, а джумлу каждый школьник хакает. как-то так.

    • С Джумлой вообще все очень грустно в плане безопасности. Одна история с уязвимостью всех сайтов на Joomla 3.2-3.4 очень показательная. Недавно был большой шухер на всех форумах посвященных этому движку.
      «смотрю на даты последних обновлений если дата обновления файла недавняя» уже научились прописывать нужную дату в файлы, так-что этот метод не всегда помогает.

  3. Дмитрий, а расскажи про свой опыт — тебя ддосили? как отбивался? Вроде бы у тебя достаточно крупные проекты, нагруженные и посещаемые СДЛ. Были ли такие ситуации?

    • Да, бывало. Но плагин WordFence Security помогает отбиваться от легких атак (сильных, к счастью, не было).

      Он просто налету блокирует подозрительные IP-адреса. Например если фиксируется, что с какого-то адреса идет массовый просмотр страниц, то он немедленно блокируется.
      При этом очень сильно разрастается журнал логов сервера. Был такой случай, что за сутки он разросся до 700 МБ.
      Но так как происходит ротация логов (старые журналы архивируются в gzip, а затем удаляются через 10 дней), то нужно всегда про запас держать свободное дисковое пространство на хостинге.

  4. А у меня просто блог был на хорошем хостинге. Сайт игрового проекта там же, никогда никаких проблем не было. Для VDS планирую в будущем написать утилиту для анализа логов с баном ip атакующих на уровне iptables. Ну или может быть даже фаерволл. А то fail2ban в последних версиях очень огорчает своей тупизной настройки, очередные разработчики заболели маразмом. Как же сильно я ненавижу тупых разработчиков, которые никогда не думают об удобстве для юзера…

    • Круто, Агент.
      Так ты проф. программист что-ли? Ведь это далеко не простое дело, как я понимаю.

      • Джаву учу и питон время от времени. Там не так уж и сложно, берешь API, там по функциям: взять, обработать, отправить. С логами вообще фигня будет, насчет фаерволла не знаю, еще не работал с сетью.

        • Молодец. Я вот ничего кроме fail2ban и не знаю для Линукс.
          По-сути, альтернатив то и нет… Так-что хорошее дело затеял.

  5. Спасибо, Дмитрий, с хулиганами теперь будут приёмники побороться))
    Странно, но У меня с итем секюрити почему то логи не фиксируются, или я сам их удалил навсегда, да так, что новые не сохраняются, раньше просматривал иногда его.
    Хотелось бы пост с блокировкой хулиганов и спаммеров в GA статистике почитать в будущем.
    Спасибо за помощь!

    • Пожалуйста, Николай)
      Скорее всего ты настроил запись журнала в файл (вместо записи в базу данных) в настройках ithemes-security

  6. Эх, мне бы столько знаний в области администрации сайтов — уехал бы уже в Тхаиланд и спокойно нашел бы для себя постоянную работенку на фрилансе минимум за 1000 американских рублей в месяц =)

  7. Дмитрий, а что у тебя за плеер такой? Это твой собственный, то есть стоит на твоем сервере? Как называется? Просто я для одного своего проекта тоже собственный плеер использую на html5, но у него одна неудобная фишка: в mp4h264 проигрывать видео отказывается, жрет только формат webm, поэтому все видео приходится специально для этого лишний раз перекодировать.

    • Михаил, это сервис Vimeo.

      Там есть бесплатный тариф, но я взял платный на один год (примерно 2000 рублей в год). Просто на бесплатном тарифе можно заливать не более 3 видео в HD-качестве в неделю и есть ограничения по настройке самого плеера.

      • А, это Вимео? Я думал, свой личный плеер. Не, вимео мне все равно не подходит. Не люблю, когда судьба моих видео зависит от того, понравятся ли они модераторам =)

  8. Хипстерские айфоны, кстати, совсем разочаровали меня. Новая iOS 9 еле тянет даже на довольно мощном и относительно новом железе вроде iPad 4 (модель планшета конца 2012 года). Тормоза просто жутчайшие. А откатиться на более старую версию iOS уже нельзя. В общем, категорически недоволен нынешним лицом нетрадиционной ориентации во главе компании и хочу его отставки. Более того, теперь на iOS 9.0.2 ввели новую фишку — теперь напоминания об обновлении iOS стали очень назойливо-настойчивыми, постоянно выскакивают всплывающие окна во весь экран, чтобы пользователь даже не желающий обновляться, случайно нажал на кнопку «обновить» (так как это всплывающее окно может выскочить в самый неподходящий момент, когда ты набираешь текст например). В общем, не передать как я зол и разочарован. Теперь выход только один — искать бэу гаджеты на авито со старыми iOS и сидеть на них не обновляясь вечно. Перешел бы на Андроид, но опасен он и дыряв. Сколько человек уже троянов нахватались, которые у них деньги с банковских карт тянули… А на эппл ни о чем можно не беспокоиться.

  9. Дмитрий, а будут ли Ddos-ить какие-нибудь мелкие проекты? Я как-то читал, что это удовольствие не из дешевых. День такой атаки обходился (на тот момент, когда я читал) в сумму около 100 американских рублей. Задача нетривиальная — создать сеть ботов, одновременно их запустить… Если валить сайт конкурента (или интернет магазин какой-нибудь) — затраты оправданы. Или какой-нибудь влиятельный политический ресурс. Или цены на эту забаву упали?
    А если закончили такого рода атаку — потом все восстанавливается или надо делать какие-то телодвижения?

    • На мелкие проекты в основном нападают скрипты, которые перебирают пароли в админку или ищут уязвимые плагины (тем самым вызывая много ошибок 404 и загружают движок).
      По статистике из статьи видно, что даже такой откровенный ГС, как win4blog.ru тоже сканируют…
      К сожалению, такие услуги подешевели.

      Как все закончится, то желательно проверить сайт на возможное заражение.

  10. Недавно китайцы взломали клиентский сайт.. сволочи!

    Закинули туда куча файлов с китайскими иероглифами… гады! Но я с ними жестоко расправился… — взял и удалил весь сайт! :)

    Потом заново создал и установил твои плагины :)

      • Через админку уж :) они сами на вп создали… пароль был гениальный — название домена + qqq )))

        тупо подобрали пароль, благо английский язык не такой жирный на символы, как китайский…

  11. При удачной настройке iptables nginx попросту блокирует атакующие адреса и они не нагружают системные ресурсы сервера, ну а для решения серьезных проблем нужная хорошая аппаратная защита. Могу порекомендовать ребят из Simplyway. отлично справляются с ддос атаками

  12. Оффтоп: Дим прошел опрос и назрел вопрос (в рифму). А ты на блоге писал когда нибудь пост в стиле: «Х причин, почему на моем сайте отсутствуют социальные кнопки»?. Так… издалека подошел к вопросу.

  13. А как понять сильные и легкие атаки? Может вы подразумеваете сильные это когда сам хостинг пытаются атаковать (поэтому и сайты на нем перестают работать…) а легкие, это наверно когда только сайт не работает…
    Вот у нас на спринхосте в последние 2 месяца уже пару раз хостинг не работал. Тех поддержка писала, что это последствия сильной доос атаки на хостинг. В этом случае что мы можем сделать? Ведь наверняка никакой плагин не спасет… мне кажется, остается делать бекапы сайта чаще?
    Что касается «легких», слава Богу, таких не бывало, если сама не начнешь коды на блоге ломать))…

    • Можно и по странам блокировать, откуда совсем нет нормального трафика. (но много подозрительного).

  14. Здравствуйте. В последнее время участились всплески однотипных запросов с одного IP. При обращении в техподдержку хостинга (бегет), сказали, что могут установить шаблон, не допускающий клиентов без поддержки java-скрипт и cookies. Как думаете, будет ли это эффективно?

Оставить комментарий