WordPress là một trong những nền tảng tạo trang web phổ biến nhất trên thế giới bởi các tính năng mạnh mẽ và một codebase (cơ sở mã hóa) an toàn. Tuy nhiên, điều này không bảo vệ WordPress hoặc bất kỳ phần mềm nào khác khỏi các cuộc tấn công DDoS độc hại vô cùng phổ biến trên Internet.
Các cuộc tấn công DDoS có thể làm chậm và khiến người dùng không truy cập được trang web. Những cuộc tấn công này có thể được target vào cả các trang web nhỏ và lớn.
Vì vậy, trong bài viết này, CunghocWP sẽ hướng dẫn cách phòng tránh và ngăn chặn các cuộc tấn công DDoS trên WordPress một cách hiệu quả. Mục tiêu của chúng tôi là giúp bạn tìm hiểu cách quản lý bảo mật trang web của mình trước một cuộc tấn công DDoS.
Các cuộc tấn công DDoS là gì?
Tấn công DDoS, tên đầy đủ là Distributed Denial of Service, là một loại tấn công mạng sử dụng các máy tính và thiết bị bị xâm nhập để gửi hoặc yêu cầu dữ liệu từ máy chủ lưu trữ WordPress. Mục đích của các yêu cầu này là làm chậm và làm sập máy chủ mục tiêu.
Các cuộc tấn công DDoS là phiên bản cao cấp của DoS (Từ chối dịch vụ). Tấn công DDoS tận dụng nhiều máy móc hoặc máy chủ bị xâm nhập trải rộng trên các khu vực khác nhau.
Những máy bị xâm nhập này tạo thành một mạng, đôi khi được gọi là botnet. Mỗi máy bị ảnh hưởng hoạt động như một bot và khởi chạy các cuộc tấn công vào hệ thống hoặc máy chủ được target.
Điều này có thể che dấu các cuộc tấn công trong một thời gian và gây ra thiệt hại đáng kể trước khi bạn tìm được cách ngăn chặn.
Ngay cả các công ty internet lớn nhất cũng rất dễ bị tấn công DDoS.
Năm 2018, GitHub, một nền tảng hosting code phổ biến đã gặp phải một cuộc tấn công DDoS lớn đã gửi 1,3 terabyte/giây đến máy chủ của họ.
Bạn cũng có thể nhớ tới cuộc tấn công khét tiếng năm 2016 vào DYN (nhà cung cấp dịch vụ DNS). Cuộc tấn công này được đưa tin trên toàn thế giới vì ảnh hưởng đến nhiều trang web phổ biến như Amazon, Netflix, PayPal, Visa, AirBnB, New York Times, Reddit và hàng ngàn trang web khác.
Nguyên nhân xảy ra các tấn công DDoS
Có một số nguyên nhân đằng sau các cuộc tấn công DDoS. Dưới đây là một số lý do phổ biến:
- Những người am hiểu về công nghệ nhưng cảm thấy buồn chán và thích phiêu lưu
- Mọi người và các nhóm cố gắng tạo ra một quan điểm chính trị
- Nhóm nhắm mục tiêu trang web và dịch vụ của một quốc gia hoặc khu vực cụ thể
- Các cuộc tấn công nhắm mục tiêu vào một doanh nghiệp hoặc nhà cung cấp dịch vụ cụ thể để gây hại cho họ
- Để tống tiền và đòi tiền chuộc
Sự khác biệt giữa tấn công Brute Force và tấn công DDoS là gì?
Các cuộc tấn công Brute Force thường cố xâm nhập vào hệ thống bằng cách đoán mật khẩu hoặc thử kết hợp ngẫu nhiên để có quyền truy cập trái phép vào hệ thống.
Các cuộc tấn công DDoS thường đánh sập hệ thống bị target để ngăn truy cập hoặc làm sập trang web.
Để biết chi tiết, hãy xem hướng dẫn của CunghocWP về cách ngăn chặn các cuộc tấn công brute force trên WordPress.
Các cuộc tấn công DDoS gây ra những thiệt hại gì?
Các cuộc tấn công DDoS có thể làm cho một trang web không thể truy cập hoặc làm giảm hiệu suất. Điều này có thể gây ra trải nghiệm xấu cho người dùng, doanh nghiệp mất uy tín và chi phí khắc phục hậu quả cuộc tấn công có thể lên tới hàng ngàn đô la.
Dưới đây là bảng phân tích các chi phí này:
- Kinh doanh thua lỗ do không thể truy cập trang web
- Chi phí hỗ trợ khách hàng để trả lời các câu hỏi liên quan đến dịch vụ bị gián đoạn
- Chi phí giảm thiểu tấn công bằng cách thuê các dịch vụ bảo mật hoặc hỗ trợ
- Chi phí lớn nhất là trải nghiệm người dùng xấu và uy tín thương hiệu bị ảnh hưởng
Cách phòng tránh và ngăn chặn tấn công DDoS trên WordPress
Các cuộc tấn công DDoS có thể được ngụy trang khéo léo và khó đối phó. Tuy nhiên, với một số phương pháp bảo mật cơ bản tốt nhất, bạn có thể phòng tránh và dễ dàng ngăn chặn các cuộc tấn công DDoS ảnh hưởng đến trang web WordPress của mình.
Loại bỏ các cuộc tấn công DDoS/Brute Force Verticals
WordPress rất linh hoạt và cho phép các plugin, công cụ của bên thứ ba tích hợp vào trang web cũng như thêm các tính năng mới.
Để làm điều này, WordPress cung cấp một số API có sẵn cho các lập trình viên. Các API này là các phương thức để các plugin và dịch vụ WordPress của bên thứ ba có thể tương tác với WordPress.
Tuy nhiên, một số API này cũng có thể bị khai thác trong cuộc tấn công DDoS bằng cách gửi một loạt yêu cầu. Bạn có thể vô hiệu hóa một cách an toàn để giảm những yêu cầu đó.
Vô hiệu hóa RPC XML trong WordPress
XML-RPC cho phép các ứng dụng của bên thứ ba tương tác với trang web WordPress. Ví dụ: bạn cần XML-RPC để sử dụng ứng dụng WordPress trên thiết bị di động của mình.
Nếu không sử dụng di động, bạn có thể vô hiệu hóa XML-RPC bằng cách thêm đoạn code sau vào file .htaccess của trang web.
- # Block WordPress xmlrpc.php requests
- <Files xmlrpc.php>
- order deny,allow
- deny from all
- </Files>
Để biết các phương pháp thay thế, hãy xem hướng dẫn của CunghocWP về cách vô hiệu hóa XML-RPC trong WordPress .
Vô hiệu hóa API REST trong WordPress
JSON REST API của WordPress cho phép các plugin và công cụ khả năng truy cập dữ liệu WordPress, cập nhật nội dung và/hoặc thậm chí xóa các nội dung đó. Đây là cách vô hiệu hóa API REST trong WordPress.
Đầu tiên bạn cài đặt và kích hoạt plugin Disable WP Rest API. Để biết thêm chi tiết, hãy xem hướng dẫn của CunghocWP về cách cài đặt plugin WordPress .
Plugin hoạt động tốt và sẽ vô hiệu hóa API REST đối với tất cả người dùng chưa đăng nhập.
Kích hoạt WAF (Website Application Firewall)
Vô hiệu hóa các vectơ tấn công như REST API và XML-RPC cung cấp sự bảo vệ hạn chế chống lại các cuộc tấn công DDoS. Trang web vẫn dễ bị xâm nhập với các yêu cầu HTTP thông thường.
Mặc dù bạn có thể giảm thiểu một cuộc tấn công DOS nhỏ bằng cách cố gắng tìm các IP máy xấu và chặn theo cách thủ công, tuy nhiên, cách tiếp cận này không hiệu quả lắm khi xử lý một cuộc tấn công DDoS lớn.
Cách dễ nhất để chặn các yêu cầu đáng ngờ là kích hoạt Website Application Firewall.
Website Application Firewall hoạt động như một proxy giữa trang web và tất cả traffic đến trang web. Chế độ này sử dụng thuật toán thông minh để bắt tất cả các yêu cầu đáng ngờ và chặn lại trước khi các yêu cầu này đến máy chủ trang web của bạn.
CunghocWP khuyên bạn nên sử dụng Sucuri vì đây là plugin bảo mật WordPress và tường lửa trang web tốt nhất. Plugin này chạy cấp độ DNS để phát hiện một cuộc tấn công DDoS trước khi đưa ra yêu cầu cho trang web của bạn.
Giá cả của Sucuri bắt đầu từ 20$/tháng (thanh toán hàng năm).
Một lựa chọn khác là Cloudflare . Tuy nhiên, dịch vụ miễn phí của Cloudflare chỉ cung cấp bảo vệ DDoS giới hạn. Bạn sẽ cần đăng ký ít nhất là gói Business để bảo vệ 7 tầng DDoS với chi phí khoảng 200$/tháng.
Hãy xem bài so sánh của CunghocWP giữa Sucuri với Cloudflare để biết thêm chi tiết.
Lưu ý: Website Application Firewalls (WAF) chạy ở cấp độ ứng dụng sẽ kém hiệu quả hơn trong cuộc tấn công DDoS. Họ chặn traffic đến máy chủ web của bạn, vì vậy sẽ ảnh hưởng đến hiệu suất trang web tổng thể.
Tìm hiểu xem đó là tấn công Brute Force hay tấn công DDoS
Cả các cuộc tấn công brute force và DDoS đều sử dụng nhiều tài nguyên máy chủ, do đó các dấu hiệu khá giống nhau. Trang web sẽ chậm hơn thậm chí là bị sập.
Bạn có thể dễ dàng tìm hiểu xem đó là một cuộc tấn công brute force hay tấn công DDoS bằng các báo cáo đăng nhập của plugin Sucuri.
Chỉ cần cài đặt và kích hoạt plugin Sucuri miễn phí, sau đó truy cập Sucuri Security » Last Logins.
Nếu bạn đang thấy một số lượng lớn các yêu cầu đăng nhập ngẫu nhiên thì có nghĩa là wp-admin đang bị tấn công brute force. Để khắc phục, hãy xem hướng dẫn của CunghocWP về cách chặn các cuộc tấn công brute force trong WordPress .
Những việc cần làm trong một cuộc tấn công DDoS
Các cuộc tấn công DDoS có thể xảy ra ngay cả khi bạn có WAF và các biện pháp bảo vệ khác. Các công ty như CloudFlare và Sucuri thường xuyên đối phó với các cuộc tấn công này và hầu hết thời gian bạn sẽ không bao giờ biết vì họ đã khắc phục giúp bạn.
Tuy nhiên, trong một số trường hợp, khi các cuộc tấn công này quá lớn thì vẫn có thể tác động đến bạn. Trong trường hợp đó, tốt nhất nên chuẩn bị để giảm thiểu các vấn đề có thể phát sinh trong và sau cuộc tấn công DDoS.
Sau đây là một số điều bạn có thể làm để giảm thiểu tác động của một cuộc tấn công DDoS.
1. Thông báo cho các thành viên trong nhóm của bạn
Nếu bạn có một nhóm thì hãy thông báo cho đồng nghiệp về vấn đề này. Điều này sẽ giúp họ chuẩn bị cho các truy vấn hỗ trợ khách hàng, xem xét các vấn đề có thể xảy ra và giúp đỡ trong hoặc sau cuộc tấn công.
2. Thông báo cho khách hàng về sự bất tiện
Một cuộc tấn công DDoS có thể ảnh hưởng đến trải nghiệm người dùng trên trang web. Nếu bạn điều hành một cửa hàng WooCommerce thì khách hàng của bạn có thể không đặt được hàng hoặc đăng nhập vào tài khoản của họ.
Bạn có thể thông báo qua các tài khoản mạng xã hội của mình rằng trang web của bạn đang gặp sự cố kỹ thuật và mọi thứ sẽ sớm trở lại bình thường.
Nếu đó là cuộc tấn công lớn thì bạn có thể sử dụng dịch vụ email marketing để liên lạc với khách hàng và yêu cầu họ theo dõi các cập nhật trên mạng xã hội của bạn.
Nếu bạn có khách hàng VIP thì hãy sử dụng dịch vụ điện thoại doanh nghiệp để thực hiện các cuộc gọi điện thoại cá nhân cho họ biết bạn đang làm việc như thế nào để khôi phục dịch vụ.
Giao tiếp trong những thời điểm khó khăn này sẽ tạo ra sự khác biệt lớn trong việc giữ danh tiếng của thương hiệu.
3. Liên hệ với nhà cung cấp dịch vụ hosting và hỗ trợ bảo mật
Hãy liên lạc với nhà cung cấp dịch vụ hosting WordPress của bạn. Cuộc tấn công mà bạn gặp có thể là một phần của cuộc tấn công lớn hơn nhắm vào hệ thống của họ. Trong trường hợp đó, họ có thể cung cấp cho bạn thông tin cập nhật mới nhất về tình hình.
Liên hệ với dịch vụ Firewall và cho họ biết rằng trang web của bạn đang bị tấn công DDoS. Họ có thể khắc phục tình huống nhanh hơn và cung cấp cho bạn nhiều thông tin hơn.
Bạn cũng có thể đặt cài đặt chế độ Paranoid để chặn nhiều yêu cầu và giúp người dùng truy cập trang web của bạn bình thường.
Giữ trang web WordPress của bạn an toàn
WordPress khá an toàn. Tuy nhiên, là nền tảng xây dựng trang web phổ biến nhất thế giới, công cụ này là đối tượng số một mà các hacker nhắm tới.
May mắn là có nhiều phương pháp bảo mật tốt mà bạn có thể áp dụng để bảo vệ trang web của mình an toàn hơn.
CunghocWP đã biên soạn một hướng dẫn bảo mật WordPress hoàn chỉnh dành cho người mới bắt đầu. Đó là các cài đặt bảo mật WordPress tốt nhất để bảo vệ trang web của bạn và dữ liệu trước các mối đe dọa phổ biến.
CunghocWP hi vọng bài viết này sẽ giúp bạn tìm hiểu cách phòng tránh và ngăn chặn các cuộc tấn công DDoS trên WordPress. Bạn cũng có thể muốn xem hướng dẫn của chúng tôi về các lỗi phổ biến nhất của WordPress và cách khắc phục.
Nếu thích bài viết này, hãy theo dõi YouTube Channel để xem thêm các video hướng dẫn về WordPress. Bạn cũng có thể tìm kiếm chúng tôi trên Twitter hoặc Facebook.