DDoS 攻撃と WordPress サイトを安全に保つ方法
一般に、ビジネス オーナーは、トラフィックの流入を増やし、知名度を高めるためにランキングを高めるために WordPress サイトを最適化する戦略を常に考えています。しかし、サイトがハッキングされてしまうと、彼らの努力はすべて無駄になってしまい、費用がかかるだけでなく、ブランドの評判も傷つく可能性があります。
WordPress は強力な機能と安全なコードベースを提供しており、世界中で最も人気のある Web サイトビルダーの 1 つとなっています。しかし、だからといって、今日ますます蔓延している DDoS 攻撃など、さまざまな形の悪意のあるサイバー攻撃から免れるわけではありません。
このガイドでは、DDoS 攻撃について詳しく説明し、Web サイトのセキュリティを完全なプロのように管理するために実行できる手順について説明します。
DDoS 攻撃とは何ですか?
DDoS 攻撃は、分散型サービス拒否攻撃の略称です。これはサイバー攻撃の一種で、侵害されたコンピューターとデバイスを利用して WordPress ホスティング サーバーにデータを送信および要求し、悪意のあるユーザーがサイトを制御できるようにします。最も一般的な WordPress ホストには、暗号化された接続、継続的な監視、プラグインの脆弱性の軽減など、DDoS 攻撃のリスクを軽減するための対策が組み込まれています。
DDoS 攻撃は、DoS (Denial of Service 攻撃) がさらに進化したものであると考えてください。後者とは異なり、DDoS 攻撃者は複数の侵害されたマシンまたはサーバーを操作して、さまざまな地域への拡散を強化します。
その後、侵害されたマシンはネットワーク (ボットネットとも呼ばれます) を作成し、影響を受けるすべてのマシンがボットとして機能し、標的のサーバーまたはシステムに対して攻撃を開始します。これにより、しばらくの間検出されずにいることもでき、本当の所有者がブロックに成功する前に最大の損害を与えることができます。
DDoS 攻撃中に何が起こるのでしょうか?
侵害されたマシンが DDoS 攻撃でどのようにボットネットを作成するかについてはすでに説明しました。これらの攻撃の技術的側面を詳しく説明する前に、ボットとは、人間がこれまで実行できたよりもはるかに速い速度で特定のタスクをオンラインで実行する自動化されたプログラムであることを明確にしたいと思います。これはまさにハッカーが利用するものです。
DDoS 攻撃では、サーバーのリソースが枯渇し、Web サイトの読み込み時間が増加します。そのため、Web サイトに侵入すると、メモリ、CPU、場合によってはネットワーク全体などのサーバーのリソースに負荷がかかり、パフォーマンスの問題が発生したり、サーバーが完全にクラッシュしたりする可能性があります。
これらの攻撃の主な発信源は、ハッカーが制御する脆弱な IoT デバイスのボットネットです。モノのインターネット (IoT) は急速に成長しているインターネット分野であるため、一般的な IoT セキュリティ脅威、特に DDoS の影響を受けやすくなっています。最も一般的なデバイスは、家電製品、スマート TV、セキュリティ カメラ、家庭用照明システム、さらには冷蔵庫です。
DDoS 攻撃にはどのような種類がありますか?
興味深いことに、DDoS は単一の攻撃形式ではありません。機能のスタイルが異なるさまざまな種類があり、その結果、分類用にいくつかのサブカテゴリーが作成されます。以下で最も一般的なものについて詳しく説明しますので、読み続けてください。
大量の DDoS 攻撃
一般に単純な大量 DDoS 攻撃には、WordPress を直接ターゲットにすることなく、帯域幅容量を過負荷にするリクエストをターゲットに大量に送信することが含まれます。代わりに、これらの攻撃の主な目的は、Web サーバーとともに基盤となるオペレーティング システムをターゲットにすることです。それでも、大量の DDoS 攻撃は WordPress Web サイトに関連しています。
ハイジャッカーが成功すると、WordPress サイトは攻撃の間中、本物の訪問者にページを提供できなくなります。これらの攻撃の最も一般的なタイプには、NTP 増幅や UDP フラッドなどがあります。
アプリケーション層の DDoS 攻撃
適切なタイトルのアプリケーション層 DDoS 攻撃は、アプリケーション層である第 7 層に焦点を当てています。または、Apache または NGINX Web サーバーと WordPress Web サイト。すべてのタイプの中で、これは確かに、消費された帯域幅に対して最大の損害を引き起こします。
HTTP フラッドと Slow Post 攻撃がこのカテゴリに分類されます。
この場合の顕著な例は WordPress REST API です。この攻撃は、ホスト マシンの 1 つからの HTTP リクエストで始まり、ホスト上の比較的少量のリソースを使用します。ただし、これはターゲット サーバーに逆の影響を及ぼし、いくつかの操作をトリガーする可能性があります。一般的な例としては、サーバーによる資格情報の確認、Web ページの返し、データベースからの読み取りなどが挙げられます。
マルチベクター DDoS 攻撃
ハッカーは単一の種類の攻撃に限定せず、多くの場合、複数ベクトルのアプローチを採用します。ご想像のとおり、マルチベクトル DDoS 攻撃を実行する場合、ハッカーはターゲットを絞るために複数のテクニックを使用します。
プロトコルベースの DDoS 攻撃
これらの攻撃は他の攻撃と同じ強制力モデルに従いますが、主にアプリケーションやサービスではなくトランスポート層とネットワーク層に焦点を当てています。死の ping や syn フラッドのような攻撃を考えてください。
ハッカーは、基盤となる TCP/IP スタックやサーバー上で実行されているファイアウォールなどのアプライアンスをターゲットにして、サービスを拒否するためにこれらの攻撃を開始します。これにより、サーバーのネットワーク スタックが TCP 通信やネットワーク パケットなどのタスクを処理する方法の脆弱性を悪用できるようになります。
WordPress サイトを DDoS 攻撃から守る方法
DDoS 攻撃は従来の意味での WordPress ハッキングではないことを理解することが重要です。これらの攻撃は Web サイト訪問者の情報を盗むことはできません。さらに、これらの攻撃を実行する唯一の目的は、Web サイトのリソースに過負荷をかけることであり、時には恐喝や脅迫に使用されます。
2016 年の SaaS 企業の年間平均顧客離れ率は 10% でした。これは顧客の喪失を指す言葉です。しかし、潜在的な顧客が Web サイトを読み込むのが難しいと感じた場合、その数はさらに大きくなる可能性があります。このような状況では、ハッカーは、Web サイトの円滑な実行を維持するために、DDoS 攻撃を阻止するために Web サイトの所有者に身代金の支払いを要求する可能性があります。
これらの攻撃を防ぐためにできることは次のとおりです。
コンテンツ配信ネットワーク (CDN) を採用する
Web サイトのコピーをそれぞれのデータ センターにキャッシュするサービスは、CDN として知られています。彼らは、サイトの訪問者とあなた自身の間の仲介者であると考えてください。
CDN の使用の背後にある考え方は、パフォーマンスの最適化を目的として特別に構築されているため、サーバーへの負担を軽減し、結果的に全体の読み込み時間を短縮することにあります。これらは、結果として生じるトラフィックが Web サイトを圧倒するのを制限することで、DDoS 攻撃に対する一種の防火帯としても機能し、異常な攻撃やトラフィックのダウンを検出して効果的に軽減します。
多くのホスティング会社は組み込みの CDN を提供しており、大量の CDN プラグイン (Jetpack の一部としての Site Accelerator など) が存在するほか、サードパーティの無料 CDN を使用することもできます。 WPExplorer では Cloudflare を使用し、推奨していますが、自分に合ったオプションを選択してください。
新しい (より良い) ホスティング プロバイダーに切り替える
正直に言うと、Web ホストは同じではありません。
中程度の負荷に対処するための十分な設備が整っていないホスティング プロバイダーを選択すると、当然のことながら、サイトは DDoS 攻撃の完全な被害者になってしまいます。幸いなことに、サーバーレベルでのトラフィックフラッドに対する優れた保護プロトコルを備えた、WP Engine のような評判の良い WordPress ホスティングプロバイダーがいくつかあります。
DDoS 保護サービスを使用する
通常、CDN はインセンティブとして DDoS 保護を提供しますが、代わりに専用の DDoS 保護サービスにサインアップすることもできます。そして、ご想像のとおり、これらのサービスの利用は決して安くはなく、月額約 3,000 ドルの会社もいくつかあります。
疑わしい IP アドレスをブラックリストに登録する
不当に多いアクセス数、反復的なログイン試行、最終的に Web サイトにトラフィックをあふれさせる IP クラスターなど、不審なアクティビティを示す IP アドレスを必ず監視する必要があります。サードパーティのサービスやプラグインを使用したくない場合にも、これは実行可能なオプションです。
ファイアウォールをセットアップする
ファイアウォールは、コンピュータを不正アクセスから保護するための事前にプログラムされたルールを備えたソフトウェアです。ファイアウォールを構成して、特定の期間中に Web サイトにアクセスするユーザーの数を制限し、ボット (またはボットである可能性のある訪問者) をフィルターで除外することができます。
これを行うことは、ユーザー エクスペリエンスを損なうことなく DDoS 攻撃を最小限に抑えるのに非常に有益であり、以前よりもはるかに簡単になりました。現在、Web 開発セキュリティの多くのデジタル コースには、ファイアウォールと仮想プライベート ネットワークのセットアップ方法に関するレッスンが含まれています。そして、ほとんどの優れた WordPress セキュリティ プラグインは、機能リストの一部としてファイアウォールを提供します。
結論: Web サイトは、大小を問わず、DDoS 攻撃の餌食になることがよくあります。ハッカーはこれらの攻撃を企業に対する脅迫の形として使用するため、WordPress サイトの脆弱性をスキャンし、WordPress の DDoS 保護を設定する対策を講じる必要があります。
ほとんどの WordPress ユーザーは DDOS 攻撃を受ける可能性は低いですが、それでも被害を受ける可能性はあります。このことを念頭に置き、サイトの安全性を高めるために、セキュリティのベストプラクティスを一貫して適用することが常に賢明です。