WordPressは、強力な機能と安全なコードベースを提供するため、世界で最も人気のあるウェブサイトビルダーの1つです。しかし、この人気がDDoS攻撃の標的となる原因となっています。
ハッカーはDDoS攻撃を使用してウェブサイトの速度を低下させ、ユーザーがアクセスできないようにします。これらの攻撃は、小規模および大規模なウェブサイトの両方を標的にすることができます。DDoS攻撃の結果は深刻であり、収益の損失、評判の低下、およびユーザーの不満につながる可能性があります。
WPBeginnerはこれらの攻撃の多くを標的とされており、リスクを最小限に抑え、ウェブサイトを安全に保つための対策を学んできました。限られたリソースでWordPressを使用している小規模ビジネスのウェブサイトが、このようなDDoS攻撃を防ぐ方法について疑問に思っているかもしれません。
このガイドでは、WordPress で DDoS 攻撃を防止および停止する方法を説明します。これにより、プロのように自信を持ってウェブサイトのセキュリティを攻撃から管理できます。
DDoS攻撃とは何ですか?
DDoS(分散型サービス拒否)は、侵害されたコンピューターやデバイスを使用して、WordPressホスティングサーバーにデータを送信または要求するサイバー攻撃の一種です。これらの要求の目的は、標的のサーバーを遅くし、最終的にクラッシュさせることです。
DDoS攻撃は、DoS(サービス拒否)攻撃から進化しました。DoS攻撃とは異なり、複数の侵害されたマシンまたはサーバーが異なる地域に分散していることを利用します。
これらの侵害されたマシンはネットワークを形成し、これはボットネットと呼ばれることもあります。影響を受けた各マシンはボットとして機能し、標的システムまたはサーバーに攻撃を仕掛けます。これにより、ブロックされる前にしばらくの間気づかれずに、最大の損害を与えることができます。
最大手のインターネット企業でさえ、DDoS攻撃に対して脆弱です。
2018年、人気のコードホスティングプラットフォームであるGitHubは、毎秒1.3テラバイトのトラフィックをサーバーに送信する大規模なDDoS攻撃を目撃しました。
2016年にDNSサービスプロバイダーであるDYNに対する悪名高い攻撃を覚えているかもしれません。この攻撃は、Amazon、Netflix、PayPal、Visa、Airbnb、The New York Times、Redditなど、多くの人気ウェブサイトや数千もの他のウェブサイトに影響を与えたため、世界中でニュースになりました。
DDoS FAQ
DDoS攻撃に関するよくある質問への回答をいくつかご紹介します。
DDoS 攻撃はなぜ発生するのか?
DDoS攻撃の背後にはいくつかの動機があります。一般的なものをいくつか紹介します。
- 退屈している技術に精通した人々は、それを冒険だと感じます
- 政治的な主張をする個人やグループ
- 特定の国または地域のウェブサイトやサービスを標的とするグループ
- 金銭的損害を引き起こすために、特定のビジネスまたはサービスプロバイダーを標的とした攻撃
- 身代金を集めるための恐喝
ブルートフォース攻撃とDDoS攻撃の違いは何ですか?
ブルートフォース攻撃は、パスワードを推測したり、ランダムな組み合わせを試したりして、システムへの不正アクセスを試みるものです。
DDoS攻撃は、標的システムをクラッシュさせ、遅くしたりアクセス不能にしたりするためだけに利用されます。
詳細については、WordPressでブルートフォース攻撃をブロックする方法に関するガイドをご覧ください。WordPressでブルートフォース攻撃をブロックする方法。
DDoS攻撃によってどのような損害が発生する可能性がありますか?
DDoS攻撃は、ウェブサイトのパフォーマンスを低下させたり、アクセス不能にしたりする可能性があります。これにより、ユーザーエクスペリエンスの低下、ビジネス機会の損失、そして数千ドルにも及ぶ可能性のある攻撃緩和コストが発生します。
これらの費用の内訳は以下のとおりです。
- ウェブサイトにアクセスできないことによる事業損失
- サービス停止関連の問い合わせに対応するためのカスタマーサポート費用
- セキュリティサービスまたはサポートを雇って攻撃を緩和するためのコスト
- 最大のコストは、悪いユーザーエクスペリエンスとブランドの評判です
WordPressでDDoS攻撃を停止および防止するにはどうすればよいですか?
DDoS 攻撃は巧妙に偽装され、対処が困難な場合があります。しかし、基本的なセキュリティのベストプラクティスに従うことで、DDoS 攻撃があなたの WordPress ウェブサイト に影響を与えるのを防ぎ、簡単に停止させることができます。
サイトへのDDoS攻撃を防ぎ、停止するために必要な手順は次のとおりです。
- DDoS / ブルートフォース攻撃の垂直項目を削除
- WAF(Webアプリケーションファイアウォール)を有効にする
- ブルートフォース攻撃かDDoS攻撃かを特定する
- DDoS攻撃中にすべきこと
- WordPressウェブサイトを安全に保つ方法
DDoS / ブルートフォース攻撃の垂直項目を削除
WordPressの最も良い点は、非常に柔軟であることです。WordPressは、サードパーティのプラグインやツールをウェブサイトに統合し、新機能を追加することを可能にします。
そのために、WordPress はプログラマーにいくつかの API を提供しています。これらの API は、サードパーティの WordPress プラグインやサービスが WordPress とやり取りするための方法です。
ただし、これらのAPIの一部は、大量のリクエストを送信することによってDDoS攻撃中に悪用される可能性もあります。これらのリクエストを減らすために安全に無効にすることができます。
WordPressでXML RPCを無効にする
XML-RPCは、サードパーティ製アプリがWordPressウェブサイトとやり取りできるようにします。例えば、モバイルデバイスでWordPressアプリを使用するにはXML-RPCが必要です。
ウェブサイトの運営にモバイルアプリを使用しないユーザーの大多数と同じように、サイトの.htaccessファイルに次のコードを追加するだけでXML-RPCを無効にできます。
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
代替方法については、WordPress で簡単に XML-RPC を無効にする方法 に関するガイドをご覧ください。
WordPressでREST APIを無効にする
WordPress JSON REST APIにより、プラグインやツールはWordPressデータにアクセスしたり、コンテンツを更新したり、さらには削除したりすることができます。ここでは、WordPressでREST APIを無効にする方法を説明します。
WPCodeプラグインの使用をお勧めします。これは、数回のクリックでREST APIを無効にできる、最高のコードスニペットプラグインです。
詳細については、WordPress で JSON REST API を無効にする方法 に関するガイドをご覧ください。
または、Disable WP Rest API プラグインを使用することもできます。このプラグインはすぐに機能し、ログインしていないすべてのユーザーに対して REST API を無効にします。
WAF(Webアプリケーションファイアウォール)を有効にする
REST APIやXML-RPCのような攻撃ベクトルを無効にしても、DDoS攻撃に対する保護は限定的です。ウェブサイトは通常のHTTPリクエストに対して依然として脆弱です。
悪意のあるIPアドレスを特定して手動でブロックしようとすることで小規模なDDoS攻撃を緩和することはできますが、大規模な攻撃に対処する場合、このアプローチは効果が低下します。
不審なリクエストをブロックする最も簡単な方法は、ウェブサイトアプリケーションファイアウォールを有効にすることです。
ウェブサイトアプリケーションファイアウォールは、ウェブサイトとすべての着信トラフィックの間にプロキシとして機能します。スマートアルゴリズムを使用して、疑わしいリクエストをすべて検出し、ウェブサイトサーバーに到達する前にブロックします。
Sucuriは、最高のWordPressセキュリティプラグインであり、ウェブサイトファイアウォールであるため、使用することをお勧めします。これはDNSレベルで動作するため、DDoS攻撃がウェブサイトにリクエストを送信する前に検出できます。
Sucuri の料金は年間 199.99 ドルからとなっています。
WPBeginnerではSucuriを使用しています。彼らがどのように私たちのウェブサイトへの何十万もの攻撃をブロックするのに役立ったかについてのケーススタディをご覧ください。
または、Cloudflareを使用することもできます。ただし、Cloudflareの無料サービスではDDoS保護が限定的です。レイヤー7 DDoS保護には、少なくともビジネスプランにサインアップする必要があります。これは月額約200ドルかかります。
詳細な比較については、SucuriとCloudflareの比較の記事をご覧ください。
注意: アプリケーションレベルで実行されるWebアプリケーションファイアウォール(WAF)は、DDoS攻撃中は効果が低くなります。トラフィックがWebサーバーに到達した後にブロックするため、ウェブサイト全体のパフォーマンスに影響を与えます。
ブルートフォース攻撃かDDoS攻撃かを特定する
ブルートフォース攻撃とDDoS攻撃の両方でサーバーリソース集中的に使用されるため、その症状は非常に似ています。ウェブサイトは遅くなり、クラッシュする可能性があります。
Sucuriプラグインのログインレポートを確認することで、ブルートフォース攻撃なのかDDoS攻撃なのかを簡単に特定できます。
無料のSucuriプラグインをインストールして有効化し、Sucuri Security » Last Loginsページに移動するだけです。
大量のランダムなログインリクエストが表示されている場合、それはwp-adminがブルートフォース攻撃を受けていることを意味します。これを停止するには、WordPressでブルートフォース攻撃をブロックする方法に関するガイドを参照してください。
DDoS攻撃中にすべきこと
ウェブアプリケーションファイアウォールやその他の保護機能が導入されていても、DDoS攻撃は発生する可能性があります。CloudFlareやSucuriのような企業はこれらの攻撃に日常的に対処しており、ほとんどの場合、それらを容易に緩和できるため、あなたはそれらについて聞くことは決してないでしょう。
ただし、攻撃規模が大きい場合、影響を受ける可能性があります。その場合は、DDoS攻撃中および攻撃後に発生する可能性のある問題を軽減する準備をしておくのが最善です。
以下に、DDoS攻撃の影響を最小限に抑えるためにできることをいくつかご紹介します。
1. チームメンバーに警告する
チームがいる場合は、同僚に問題について通知する必要があります。
これは、カスタマーサポートの問い合わせに備え、潜在的な問題に注意を払い、攻撃中または攻撃後に支援するのに役立ちます。
2. 顧客への不便について通知する
DDoS攻撃は、ウェブサイトのユーザーエクスペリエンスに影響を与える可能性があります。WooCommerceストアを運営している場合、顧客が注文を送信したり、アカウントにログインしたりできなくなる可能性があります。
ウェブサイトに技術的な問題が発生しており、すぐにすべてが正常に戻ることをソーシャルメディアアカウントを通じて告知できます。
攻撃が大きい場合は、メールマーケティングサービスを使用して顧客とコミュニケーションを取り、ソーシャルメディアの最新情報をフォローするように依頼することもできます。
VIPカスタマーがいらっしゃる場合は、ビジネス電話サービスを使用して個別に電話をかけ、サービス復旧に向けてどのように取り組んでいるかをお知らせください。
このような困難な時期におけるコミュニケーションは、ブランドの評判を強く維持するために大きな違いを生みます。
3. ホスティングおよびセキュリティサポートに連絡する
WordPressホスティングプロバイダーに連絡してください。あなたのサイトへの攻撃は、彼らのシステムを標的としたより大きな攻撃の一部である可能性があります。その場合、彼らは状況に関する最新情報を提供できます。
ファイアウォールサービスに連絡し、ウェブサイトがDDoS攻撃を受けていることを伝えてください。彼らは状況をさらに迅速に緩和し、より多くの情報を提供できる可能性があります。
Sucuriのようなファイアウォールプロバイダーを使用すると、設定を「パラノイドモード」にすることもできます。これにより、多くの要求がブロックされ、通常のユーザーがウェブサイトにアクセスできるようになります。
WordPressウェブサイトを安全に保つ方法
WordPressは標準で非常に安全ですが、世界で最も人気のあるウェブサイトビルダーであるため、ハッカーの標的になることがよくあります。
幸いなことに、ウェブサイトをさらに安全にするために適用できる多くのセキュリティベストプラクティスがあります。
初心者向けの包括的なステップバイステップのWordPressセキュリティガイドをまとめました。一般的な脅威からウェブサイトとそのデータを保護するための最良のWordPressセキュリティ設定について、順を追って説明します。
WordPressのセキュリティを向上させるための他の記事もご覧ください。
- WordPressセキュリティ監査の実行方法(完全チェックリスト)
- サイトを保護するための最高のWordPressセキュリティプラグイン(比較)
- マルウェアやハッキングを検出するための最高のWordPressセキュリティスキャナー
- WordPressサイトを悪意のある可能性のあるコードからスキャンする方法
- WordPressサイトがハッキングされる主な理由(&それを防ぐ方法)
- WordPressサイトをブルートフォース攻撃から保護する方法
- ハッキングされた WordPress サイトのバックドアを見つけて修正する方法
- セキュリティ監査ログを使用してWordPressでユーザーアクティビティを監視する方法
- WordPressでHTTPセキュリティヘッダーを追加する方法(初心者ガイド)
この記事がWordPressでのDDoS攻撃のブロックと防止方法を学ぶのに役立ったことを願っています。また、WordPress SQLインジェクション攻撃を防ぐ方法に関するガイドや、WordPressで定期的に実行すべき重要なメンテナンスタスクの必須チェックリストも参照してください。
この記事が気に入ったら、WordPressのビデオチュートリアルについては、YouTubeチャンネルを購読してください。 TwitterやFacebookでもフォローできます。
デニス・ムトミ
クライアントのサイトでSucuriを使って素晴らしい結果を得ています。本当に効果があります!
私の経験からの簡単なヒントです。プラグインとテーマを最新の状態に保つことを忘れないでください。古いプラグイン/テーマは攻撃中の弱点になり得ます。
これらのセキュリティのヒントは間違いなくクライアントに伝えます。WordPressのセキュリティを常に把握しておくことは非常に重要であり、後で問題に陥らないようにすることが大切です。
Olaf
予防は常に基本的です。私はしばしば、ウェブプロバイダー自体がどのようなDDoSソリューションを持っているかを調査します。彼らはしばしば、これらの攻撃を最初から検出できる、素晴らしく高価な自動ソフトウェアを持っています。もう一つの優れたソリューションはCloudFlareです。彼らは市場で最高です。時折、ニュースで彼らがフィルタリングした大規模な攻撃について耳にすると、私は彼らのおかげで私のウェブサイトは常に安全だと知っています。
オヤトグン・オルワセウン・サミュエル
DDoS攻撃に関するこの洞察をありがとうございます。DDoSとブルートフォースを区別できることは、Sucuriプラグインが役立つソリューションを提供する上で重要なステップの1つです。WordPressセキュリティの場合、特に中小企業には通常Sucuriプラグが推奨されます。手頃な価格なので、その後Cloudfareにアップグレードできます。私の意見では、Cloudfareは優れたサービスを提供しています。また、WordPress専用のホスティングサービスを使用することも有益です。なぜなら、それらのほとんどはWordPressサイトに影響を与える可能性のあるセキュリティ問題に対して、システムを導入しているからです。
Mrteesurez
役立つ記事です。DDoS攻撃とは何か、ウェブサイトでDDoS攻撃を停止・防止する方法を学び、理解しましたが、ファイアウォールプラグインを使用していない場合、それがブルートフォース攻撃なのかDDoS攻撃なのかをどのように判断できるのでしょうか?
WPBeginnerサポート
ホスティングプロバイダーは、どのような種類の攻撃があなたのサイトに影響を与えていたかを特定するのに役立ちます。
管理者
イジー・ヴァネック
現在、DDoS攻撃に対する優れた無料の保護はCloudflareであると敢えて言います。DNS AレコードはプロキシDNSの背後に隠されているため、攻撃は標的サーバーではなくCloudflareサーバーに向けられることがほとんどです。CloudflareはDDoS攻撃を効果的にフィルタリングします。現時点では、利用可能な最良のソリューションの1つです。
Prabuddh
WordPressのXML RPCを無効にするコードが間違っています。
コードはで終わるべきですが、あなたはで終わらせており、エラーが発生します。これを解決してください。
ありがとう
WPBeginnerサポート
We di bit see your recommendations in your comment but we did find a typo and it should be fixed
管理者
Mohamad EL-Wakeel
素晴らしい記事ですが、DDoS攻撃とブルートフォース攻撃の比較、および両方の検出方法についての記事を作成していただけますか?
ありがとう。