WordPress 是世界上最受欢迎的网站构建者之一，它提供了强大的功能和安全代码库。但是，这并不能保证 WordPress 能免受恶意 DDoS 攻击，这些攻击在互联网上很常见。

DDoS 攻击可能会造成网站速度变慢，最终使用户无法访问网站。这些攻击可能会针对小型和大型网站。那么，对于 WordPress 的小型企业网站如何能够用有限的资源来防止此类 DDoS 攻击？

本文将介绍如何有效地阻止和防止 WordPress 上的 DDoS 攻击。

什么是 DDoS 攻击？

DDoS攻击是分布式拒绝服务攻击的简称，是一种网络攻击，它使用受攻击的计算机和设备从WordPress 服务器发送或请求数据。这些请求的目的是减慢并最终使目标服务器崩溃。

DDoS 攻击是 DoS（拒绝服务）攻击的一种演变形式。与 DoS 攻击不同，它们利用分布在不同区域的多台受攻击的计算机或服务器。

这些受攻击的计算机形成网络，有时称为僵尸网络。每台受影响的计算机都充当自动程序，并针对目标系统或服务器发起攻击。

这使得它们在被阻止之前暂时不被注意，并造成最大的伤害。

即使是最大的互联网公司也容易受到 DDoS 攻击。

2018 年，GitHub 目睹了大规模 DDoS 攻击，将每秒 1.3 TB 的流量发送到其服务器。

还有 2016 年对 DYN（DNS 服务提供商）的攻击。这次攻击引起了全球的新闻报道，因为它影响了许多大型网站，如亚马逊，Netflix，PayPal，Visa，AirBnB，纽约时报，Reddit，和数以千计的其他网站。

为什么会发生 DDoS 攻击？

DDoS 攻击背后有几个动机。以下是一些常见的：

• 技术精湛的人只是无聊，想要挑战一些高防的网站
• 试图提出政治观点的人和团体
• 面向特定国家或地区的网站和服务的组
• 针对特定企业或服务提供商进行有针对性的攻击，以给他们带来经济损失
• 敲诈和勒索

暴力攻击和 DDoS 攻击之间的区别是什么？

暴力攻击通常试图通过猜测密码或尝试随机组合来破坏系统，以获得对系统的未授权访问。

DDoS 攻击完全用于使目标系统崩溃，使其无法访问或减慢速度。

有关如何防止暴力攻击的分步说明，请参考阅读《如何保护WordPress网站免受暴力攻击》

DDoS 攻击会造成哪些损害？

DDoS 攻击会使网站无法访问或降低性能。这会导致不好的用户体验、业务损失，缓解攻击的成本可能达数千美元。

以下是这些费用的明细：

• 网站无法访问导致业务损失
• 客户支持成本，用于应答服务中断相关查询
• 通过雇用安全服务或支持来缓解攻击的成本
• 最大的代价是糟糕的用户体验和品牌声誉

WordPress如何阻止和防止DDoS攻击

DDoS 攻击可以巧妙地伪装，难以处理。但是，通过一些基本的安全实践，可以防止并轻松地阻止 DDoS 攻击影响 WordPress 网站。

以下是防止和阻止 WordPress 站点上的 DDoS 攻击所需的步骤。

1、删除 DDoS / 暴力攻击垂直

WordPress 非常灵活，允许第三方插件和工具集成到网站并添加新功能。

为此，WordPress 使程序员可以使用多个 API。这些 API 是第三方 WordPress 插件和服务可以与 WordPress 交互的方法。

但是，其中一些 API 也可以在 DDoS 攻击期间通过发送大量请求来利用。可以安全地禁用它们来减少这些请求。

在 WordPress 中禁用 XML RPC

XML-RPC 允许第三方应用与 WordPress 网站进行交互。例如，需要 XML-RPC 才能在移动设备上使用WordPress 应用。

如果像绝大多数不使用移动应用的用户一样，则可以通过将以下代码添加到网站的.htaccess 文件中来禁用 XML-RPC。

1. # Block WordPress xmlrpc.php requests
2. <Files xmlrpc.php>
3. order deny,allow
4. deny from all
5. </Files>

在 WordPress 中禁用 REST API

WordPress JSON REST API 允许插件和工具访问 WordPress 数据、更新内容和/甚至删除它。以下是如何在 WordPress 中禁用 REST API。

安装并激活 Disable Wp Rest Api 插件。该插件开箱即用，它只需禁用所有未登录用户的REST API即可。

2、激活 WAF（网站应用程序防火墙）

禁用攻击媒介（如 REST API 和 XML-RPC）提供了针对 DDoS 攻击的有限保护。您的网站仍然容易受到正常 HTTP 请求的影响。

虽然可以通过捕获不良计算机 IP 并手动屏蔽它们来缓解小型 DOS 攻击，但处理大型 DDoS 攻击时，此方法并不十分有效。

阻止可疑请求的最简单方法是激活网站应用程序防火墙。

网站应用程序防火墙充当网站和所有传入流量之间的代理。它使用智能算法捕获所有可疑请求，并在它们到达网站服务器之前将其阻止。

可以使用cloudflare.com。但是，Cloudflare 的免费服务仅提供有限的 DDoS 保护。需要至少注册第 7 层 DDoS 保护的业务计划，每月费用约为 200 美元。

注意：在应用程序级别运行的网站应用程序防火墙 （WAF） 在 DDoS 攻击期间效果较差。它们会阻止流量，一旦流量已到达 Web 服务器，因此仍会影响网站整体性能。

找出是暴力还是DDoS攻击

暴力攻击和 DDoS 攻击都密集使用服务器资源，他们的症状非常相似，都会导致网站变慢，或者崩溃。

只需查看 Sucuri 插件的登录报告，即可轻松发现这是暴力攻击还是 DDoS 攻击。

简单地说，安装并激活免费的苏库里插件，然后转到sucuri安全 + 上次登录页面。

如果看到大量的随机登录请求，则这意味着您的 wp 管理员受到暴力攻击。要缓解它，你可以看到我们的指南《如何保护WordPress网站免受暴力攻击》。

DDoS 攻击期间要做的事情

即使安装了 Web 应用程序防火墙和其他保护，也可能发生 DDoS 攻击。像 CloudFlare 和 Sucuri 这样的公司会定期处理这些攻击。但是，在某些情况下，当这些攻击很大时，它仍会影响网站。在这种情况下，最好做好准备，来缓解 DDoS 攻击期间和之后可能出现的问题。

以下是可以执行的一些操作，尽量减少 DDoS 攻击的影响。

1. 提醒团队成员

如果你有一个团队，那么你需要通知同事这个问题。有助于他们准备客户支持查询，查找可能出现的问题，并在攻击期间或之后提供帮助。

2. 告知客户不协调

DDoS 攻击可能会影响网站上的用户体验。如果运行了WooCommerce商店，则客户可能无法下订单或登录到其帐户。

可以通过社交媒体帐户宣布网站遇到技术难题，一切将很快恢复正常。

如果攻击规模较大，也可以使用电子邮件营销服务与客户沟通，并要求他们关注社交媒体更新。

如果有 VIP 客户，则可能需要使用商务电话服务拨打个人电话，并让他们知道是如何恢复服务。

在这些困难时期，沟通对保持品牌声誉的强势产生了巨大影响。

3. 联系托管和安全支持

联系 WordPress 服务器供应商。您可能目睹的攻击可能是针对其系统的较大攻击的一部分。在这种情况下，他们将能够为您提供有关情况的最新更新。

与防火墙服务联系，让他们知道您的网站受到 DDoS 攻击。他们也许能够更快地缓解这种情况，并为您提供更多信息。

保护 WordPress 网站安全

WordPress 开箱即用相当安全。然而，作为世界上最受欢迎的网站建设者，它经常成为黑客攻击的目标。幸运的是，有许多安全最佳实践，你可以应用到您的网站，使其更加安全。

里维斯社为初学者整理了WordPress 安全指南，它将引导完成 WordPress 安全设置，来保护网站及其数据免受常见威胁。

80%的人都看过的文章

• WordPress如何禁用admin用户名尝试登录？
• 如何保护WordPress网站免受暴力攻击
• 知名网站Cloudflare大规模网络故障
• 大量WordPress网站被挂上了恶意代码
• WordPress网站健康检查分数达到100%的12个技巧
• 如何保证WordPress网站免受DDoS攻击和其他安全风险
• 通过强制跳转HTTPS来提升网站安全等级
• 6个WordPress安全插件比较