Cách chặn các cuộc tấn công DDoS vào WordPress

Kiến thức về WordPress 25/09/2020 27/09/2023 In trang này

Sơ đồ trang

Tấn công DDoS là gì?
DoS hay DDoS là gì?
Tấn công DDoS để làm gì?
Cách ngăn chặn các cuộc tấn công DDoS khi sử dụng WordPress
Bảo mật toàn diện cho WordPress

WordPress là mã nguồn giúp xây dựng trang web phổ biến nhất trên thế giới vì các chức năng mạnh mẽ, thân thiện với các công cụ tìm kiếm và dễ sử dụng cho bất kỳ ai muốn tiếp cận.

Tuy nhiên, không phải lúc nào website của bạn cũng được bình yên mà sẽ gặp phải các cuộc tấn công DDOS từ đối thủ hoặc 1 nhóm hacker nào đó

Các cuộc tấn công DDoS tiêu tốn rất nhiều tài nguyên của máy chủ, website của bạn sẽ trở nên ì ạch 1 cách bất thường và cuối cùng người dùng không thể truy cập được nữa.

Trong bài viết này, chúng tôi sẽ chỉ cho bạn cách để ngăn chặn và ứng phó hiệu quả với các cuộc tấn công DDoS trên mã nguồn WordPress. Mục tiêu của chúng tôi là giúp bạn hiểu cách quản lý bảo mật trang web chống lại các cuộc tấn công DDoS như 1 chuyên gia.

Tấn công DDoS là gì?

Sự Khác Nhau Giữa Dos Và Ddos

DoS hay DDoS là gì?

“Dos” tên đầy đủ là “Denial Of Service” là một hình thức tấn công từ chối dịch vụ. Nó khiến cho máy tính mục tiêu không thể xử lý kịp các tác vụ và dẫn đến quá tải. Tấn công DOS thường chỉ được tấn công từ một nơi duy nhất và chỉ có một dải IP. Chính vì vậy nếu phát hiện được dải IP đang tấn công, bạn có thể phát hiện và ngăn chặn được.

Tấn công DDoS là viết tắt của từ “Denial of Service”, một loại tấn công mạng sử dụng máy tính và thiết bị botnet để gửi hoặc yêu cầu dữ liệu liên tục từ máy chủ lưu trữ WordPress. Mục đích của những yêu cầu này là làm máy chủ quá tải và không thể phản hồi (hay thường gọi là bị “sập“)

Tấn công DDoS sử dụng nhiều máy tính bị nhiễm malware, virus hoặc máy chủ được phân phối ở các khu vực khác nhau để tấn công vào máy chủ lưu trữ WordPress.

Các máy tính bị nhiễm này tạo thành một mạng lưới gọi là botnet. Mỗi máy hoạt động như một robot và phát động một cuộc tấn công vào hệ thống hoặc máy chủ mục tiêu.

Shortcode bài viết liên quan theo chuyên mục / tag trong WordPress

Xoá giao hàng tới địa chỉ khác trong WooCommerce

Xác định mã nhúng Youtube và thay thế bằng Regex

Bạn cũng nên biết là ngay cả những công ty lớn nhất thế giới cũng bị tấn công DDoS.

Vào năm 2018, nền tảng lưu trữ GitHub đã bị tấn công DDoS quy mô lớn, với 1,3 TB lưu lượng truy cập đến các máy chủ trên mỗi giây.

Có cũng có thể tìm hiểu vụ tấn công DYN (nhà cung cấp dịch vụ DNS) khét tiếng vào năm 2016. Cuộc tấn công đã ảnh hưởng đến nhiều trang web phổ biến, chẳng hạn như Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit và hàng nghìn trang web khác.

Tấn công DDoS để làm gì?

Có nhiều động cơ đằng sau các cuộc tấn công DDoS. Dưới đây là một số vấn đề phổ biến:

Những người am hiểu công nghệ thường nhàm chán và thích làm điều nào 😀
Các nhóm Hacker muốn đưa ra quan điểm chính trị khi có 1 sự kiện nào đó
Các cuộc tấn công có chủ đích vào các công ty hoặc nhà cung cấp dịch vụ cụ thể, gây tổn hại về tiền
Tống tiền và đòi tiền chuộc

Cách ngăn chặn các cuộc tấn công DDoS khi sử dụng WordPress

Ddos Protection

Các cuộc tấn công DDoS có thể được ngụy trang khéo léo và khó đối phó. Tuy nhiên, với một số thao tác bảo mật cơ bản, bạn có thể ngăn chặn và dễ dàng ngăn chặn các cuộc tấn công DDoS ảnh hưởng đến trang web WordPress của mình.

Bạn cần thực hiện các bước sau để ngăn chặn và chặn các cuộc tấn công DDoS trên trang web WordPress của mình.

Loại bỏ các nguy cơ tấn công DDoS qua brute force

Một cuộc tấn công Bruteforce attack wordpres là một nỗ lực để dò mật khẩu hoặc tên đăng nhập. Bruteforce hoạt động bằng cách dò tên người dùng và mật khẩu, lặp đi lặp lại, cho đến khi tìm được thông tin chính xác. Đây là một phương thức tấn công cũ, nhưng nó vẫn hiệu quả và phổ biến với tin tặc.

Bạn có thể cài đặt plugin Limit Login Attempts Reloaded để ngăn các cuộc tấn công brute force

1. Tắt XML RPC trong WordPress

XML-RPC cho phép các ứng dụng của bên thứ ba tương tác với trang web WordPress của bạn. Ví dụ: bạn cần XML-RPC để sử dụng ứng dụng WordPress trên thiết bị di động.

Nhiều hacker lợi dụng khe hỡ này để tấn công vào website của bạn, nếu không sử dụng tính năng này bạn có thể tắt XML-RPC bằng cách thêm mã sau vào tệp .htaccess trên trang web của bạn.

Đối với máy chủ Apache:

# Block WordPress xmlrpc.php requests

order deny,allow
deny from all

Đối với máy chủ Nginx

location ~* /xmlrpc.php$ {
    allow 172.0.1.1;
    deny all;
}

2. Tắt API REST trong WordPress

API WordPress JSON REST cho phép các plugin và công cụ truy cập vào dữ liệu WordPress, cập nhật nội dung. Nếu trang web của bạn không sử dụng JSON REST API, bạn có thể cân nhắc việc vô hiệu hóa nó.

Để vô hiệu hóa API REST trong WordPress, bạn có thể cài đặt plugin Disable WP Rest API ngay để ngăn chặn các cuộc tấn công DDOS . Plugin hoạt động hiệu quả và nó sẽ chỉ vô hiệu hóa API REST cho tất cả người dùng chưa đăng nhập vào website.

3. Kích hoạt WAF (Tường lửa ứng dụng web)

Tường lửa cho WordPress

Mặc dù bạn có thể giảm thiểu các cuộc tấn công DOS nhỏ bằng cách cố gắng nắm bắt các IP xấu và chặn chúng theo cách thủ công, nhưng phương pháp này không hiệu quả khi đối phó với các cuộc tấn công DDoS với quy mô lớn.

Cách dễ dàng để chặn các yêu cầu đáng ngờ là kích hoạt tường lửa ứng dụng cho trang web.

Tường lửa ứng dụng web hoạt động như một proxy giữa trang web và tất cả lưu lượng truy cập đến. Nó sử dụng các thuật toán thông minh để nắm bắt tất cả các yêu cầu đáng ngờ và chặn chúng trước khi chúng đến máy chủ trang web của bạn.

Firewall cho WordPress

Để có tường lửa thông minh bạn nên sử dụng Sucuri ($9.99/tháng) hoặc Cloudflare Pro ($20/tháng) , các ứng dụng này có thể tự động phân tích và ngăn chặn các cuộc tấn công DDOS một cách hiệu quả nhất cho người dùng.

Bảo mật toàn diện cho WordPress

WordPress rất an toàn, tuy nhiên, đây là mã nguồn phổ biến nhất trên thế giới nên thường là mục tiêu tấn công DDOS của tin tặc, các nhóm hacker …

May mắn thay, bạn có thể áp dụng nhiều phương pháp bảo mật tốt nhất trên trang web của mình để làm cho nó an toàn hơn bằng các thành phần cài thêm vào website (plugin) như:

Wordfence Security
iThemes Security
MalCare Security
All in One WP Security & Firewall
SecuPress
WP Cerber Security

Hy vọng bài viết trên đã gợi ý một số tùy chọn để bạn có thể đối phó với các cuộc tấn công DDOS vào website WordPress, nếu khó khăn trong vấn đề bảo mật và config bảo mật để chống các cuộc tấn công DDOS bạn có thể liên hệ với chúng tôi để được hỗ trợ tức thì.

Vũ Trụ Số

Phone: 035.45.48.599
Email: info@vutruso.com
Facebook : fb.com/vutruso

Xin cảm ơn.

Từ khóa Bảo mật WordPressCloudFlareLinuxUbuntu

Nếu bạn thấy bài viết có ích hãy sao chép link và chia sẻ bài viết

Tiến Dũng Đào

Tiến Dũng Đào chuyên quản lý, vận hành các dịch vụ website. Anh có nhiều năm kinh nghiệm về VPS, Hosting, technical SEO, CMS. Đặc biệt yêu thích WordPress với hơn 5 năm phát triển theme và plugin. Sở thích của anh là đọc, viết blog, đi du lịch, tập võ và chia sẻ các kiến thức cho mọi người.