DDoS là gì?
Tấn công DDoS là một trong những loại tấn công phổ biến sử dụng mạng botnet để gửi lưu lượng truy cập giả mạo, làm cho máy chủ không khả dụng. Không nhằm xâm phạm bảo mật, mục tiêu chủ yếu là làm cho trang web hoặc máy chủ trở nên không sử dụng cho người dùng hợp pháp, có thể làm hậu quả nghiêm trọng và được sử dụng như một “bom khói” trong các tấn công độc hại khác.
Một số loại tấn công DDoS phổ biến gồm:
- SYN Flood
- HTTP Flood
- Smurf Attack
- UDP Flood
- Ping of Death
- Fraggle Attack
Tầm quan trọng của việc chống DDoS cho WordPress?
WordPress cũng không nằm ngoài tầm ngắm của các cuộc tấn công DDoS. Do đó việc chống DDoS có vai trò hết sức quan trọng, bởi nó có thể dẫn đến các hậu quả như:
- Downtime và Mất Dữ Liệu: Tấn công DDoS có thể gây ra sự sụp đổ của trang web WordPress, không còn khả dụng cho người dùng khiến mất mát dữ liệu và ảnh hưởng đến trải nghiệm người dùng.
- Mất Khách Hàng và Doanh Thu: Khi trang web không thể truy cập được, khách hàng có thể chuyển sang các trang web khác, dẫn đến mất khách hàng và doanh thu giảm.
- Thiệt Hại Rufus: Tấn công DDoS có thể gây tổn thất về uy tín doanh nghiệp hoặc cá nhân, đặc biệt là nếu trang web bị sập trong thời gian quan trọng hoặc sự kiện quảng bá.
- Bảo Mật Dữ Liệu: Một số tấn công DDoS được sử dụng như một mánh khóe để che đậy các tấn công khác nhằm vào bảo mật dữ liệu quan trọng của trang web.
- Ngừng Dịch Vụ (DoS): Các tấn công DDoS có thể được sử dụng để tạo ra làn sóng lưu lượng lớn, tăng cường nguy cơ tấn công từ chối dịch vụ (DoS) đơn lẻ, làm suy giảm khả năng hoạt động của trang web.
- Tiêu tốn Tài Nguyên Hệ Thống: DDoS có thể tạo ra áp lực lớn lên hệ thống, tiêu tốn tài nguyên như băng thông và CPU, đặt ra thách thức cho khả năng chịu tải của máy chủ.
Gợi ý 6 cách chống DDoS cho WordPress an toàn hiệu quả
Chống tấn công DDoS trên WordPress không khó khi bạn tận dụng được các biện pháp bảo mật cơ bản. Điển hình bạn có thể sử dụng các cách dưới đây nhé!
Cách 1: Ngừng XML RPC
XML-RPC cho phép ứng dụng bên thứ ba tương tác với trang WordPress của bạn. Tuy nhiên, hacker tận dụng tính năng này để tấn công trang web của bạn. Để ngăn chặn bạn có thể vô hiệu hóa XML-RPC bằng cách thêm đoạn mã sau vào tệp .htaccess.
Máy chủ Apache:
#Block WordPress xmlrpc.php requests
order deny,allow
deny from all
Máy chủ Nginx
location ~* /xmlrpc.php$ {
allow 172.0.1.1;
deny all;
}
Cách 2: Tắt API REST
API WordPress JSON REST cho phép plugin và công cụ truy cập dữ liệu WordPress, thực hiện cập nhật nội dung. Nếu trang web của bạn không sử dụng JSON REST API, bạn có thể nghĩ đến việc vô hiệu hóa nó.
Để tắt API REST, bạn có thể sử dụng plugin Disable WP Rest API. Plugin này hoạt động hiệu quả và sẽ vô hiệu hóa API REST cho tất cả người dùng chưa đăng nhập vào trang web của bạn.
Cách 3: Kích hoạt WAF
Mặc dù có thể giảm thiểu tấn công DDoS nhỏ bằng việc cố gắng xác định và chặn các địa chỉ IP độc hại một cách thủ công, nhưng phương pháp này không hiệu quả khi đối mặt với cuộc tấn công DDoS quy mô lớn. Một giải pháp đơn giản để ngăn chặn các yêu cầu đáng ngờ là bật WAF hay tường lửa ứng dụng cho trang web.
Tường lửa ứng dụng web hoạt động như một người đại diện giữa trang web và toàn bộ lưu lượng truy cập. Nó sử dụng thuật toán thông minh để phát hiện và chặn tất cả các yêu cầu đáng ngờ trước khi chúng đến máy chủ web của bạn.
Cách 4: Thiết lập hệ thống chặn IP
Bạn cần tìm ra những địa chỉ IP tấn công WordPress của bạn. Trong thời đại hiện nay, các thiết bị định tuyến và chuyển mạch thông minh được trang bị phần mềm hạn chế tốc độ, mang lại khả năng chống lại tấn công DDOS cho WordPress. Phần mềm này cho phép phần cứng mạng nhận diện địa chỉ IP không hợp lệ gửi các yêu cầu không đúng đắn và ngăn chúng tránh tiếp tục tiêu tốn tài nguyên mạng và hệ thống. Các cuộc tấn công từ những địa chỉ không xác định dễ dàng bị ngăn chặn bởi những biện pháp này.
Cách 5: Giới hạn lượt truy cập
Khi người dùng truy cập trang web, họ tạo kết nối đến cơ sở dữ liệu (CSDL) để lấy thông tin và hiển thị trên trang. Một máy chủ giới hạn số lượng truy vấn kết nối có thể thực hiện, và khi vượt quá giới hạn, truy cập sẽ bị hạn chế hoặc không thể thực hiện được. Kẻ tấn công có thể lợi dụng việc này để tạo ra lưu lượng truy cập ảo, gây sập trang web và làm hỏng CSDL.
Để chống tấn công DDOS cho WordPress, bạn có thể giới hạn số lượng truy cập trong cùng một khoảng thời gian. Bằng cách thêm dòng code sau vào trang chủ của trang web. Chỉ áp dụng cho ngôn ngữ lập trình PHP.
function server_busy($numer) {
if (THIS_IS == ‘WEBSITE’ && PHP_OS == ‘Linux’ and @file_exists ( ‘/proc/loadavg’ ) and $filestuff = @file_get_contents ( ‘/proc/loadavg’ )) {
$loadavg = explode ( ‘ ‘, $filestuff );
if (trim ( $loadavg [0] ) > $numer) {
print ”;
print ‘Lượng truy cập đang quá tải, mời bạn quay lại sau vài phút.’;
exit ( 0 );
}
}
}
Trong đó:
$srv = server_busy ( 1000 ); // 1000 là số lượng người truy cập trong một thời điểm
Đoạn codes trên cho phép chỉ 1000 người trên website trong cùng một thời điểm, nếu vượt quá số lượng cho phép thì sẽ có thông báo lượt truy cập quá tải.
Cách 6: Sử dụng các Plugin bảo mật chuyên dụng cho WordPress
WordPress nổi tiếng với tính an toàn bảo mật cao, tuy nhiên do nó là mã nguồn phổ biến nên trở thành đối tượng mục tiêu của các cuộc tấn công DDOS hiện nay. Chính vì vậy, bạn cần áp dụng nhiều biện pháp bảo mật uy tín để bảo vệ trang WordPress của mình, bạn có thể áp dụng các plugin bảo mật nổi tiếng như iThemes Security, SecuPress, MalCare Security, WP Cerber Security, Wordfence Security, All in One WP Security và Firewall
Kết luận
Trên đây là những cách chống DDoS cho WordPress phổ biến nhất! LANIT hy vọng bạn có cái nhìn khách quan và phòng chống DDoS hiệu quả. Cảm ơn các bạn đã dành thời gian nghiên cứu, nếu muốn biết thêm nhiều kiến thức thú vị về công nghệ thì hãy theo dõi ngay LANIT nhé!
