WordPressは、強力な機能と安全なコードベースを提供するため、世界で最も人気のあるサイトビルダーの1つです。しかし、そのためにDDoS攻撃の標的にもなっています。
ハッカーはDDoS攻撃を使ってサイトの速度を落とし、最終的にユーザーがアクセスできないようにする。このような攻撃は、小規模なサイトから大規模なサイトまでターゲットにすることができます。
さて、WordPressを使用している中小企業のサイトが、限られたリソースでどのようにしてこのようなDDoS攻撃を防ぐことができるのか、不思議に思われるかもしれません。
このガイドでは、WordPressのDDoS攻撃を効果的に阻止・防止する方法を紹介します。私たちの目標は、DDoS攻撃に対するあなたのサイトのセキュリティを完全なプロのように管理する方法を学んでいただくことです。
DDoS攻撃とは何か?
DDoS(Distributed Denial of Service)とは、危険なコンピューターや端末を使用してWordPressホスティングサービスサーバーにデータを送信または要求するサイバー攻撃の一種です。これらのリクエストの目的は、標的となるサーバーの速度を低下させ、最終的にクラッシュさせることです。
DDoS攻撃は、DoS(サービス拒否)攻撃から発展したものである。DoS攻撃とは異なり、DDoS攻撃は、さまざまな地域に広がる多数の侵害されたマシンやサーバーを利用します。
これらの侵害されたマシンはネットワークを形成し、ボットネットと呼ばれることもある。感染したマシンはそれぞれボットとして動作し、標的となるシステムやサーバーに攻撃を仕掛けます。これにより、ボットはしばらくの間気づかれることなく、ブロックされる前に最大限のダメージを与えることができる。
最大手のインターネット企業でさえ、DDoS攻撃には弱い。
2018年、人気のコードホスティングサービスであるGitHubは、サーバーに毎秒1.3テラバイトのトラフィックを送る大規模なDDoS攻撃を目撃した。
また、DYN(DNSサービスプロバイダー)への悪名高い2016年の攻撃を覚えているかもしれない。この攻撃は、Amazon、Netflix、PayPal、Visa、Airbnb、The New York Times、Reddit、その他何千ものサイトなど、多くの人気サイトに影響を与えたため、世界的なニュースとして報道された。
DDoS FAQ
DDoS攻撃に関するよくある質問にお答えします。
DDoS攻撃はなぜ起こるのか?
DDoS攻撃の背景にはいくつかの動機があります。ここでは一般的なものをいくつか紹介します:
- 技術に精通し、ただ退屈している人たちは、冒険的だと感じる。
- 政治的主張をする人々やグループ
- 特定の国や地域のサイトやサービスを対象とするグループ
- 特定の企業やサービスプロバイダーを標的に、金銭的な損害を与える攻撃を行う。
- 身代金目的の恐喝
ブルートフォース攻撃とDDoS攻撃の違いとは?
ブルートフォース攻撃は、パスワードを推測したり、ランダムな組み合わせを試したりすることで、システムへの不正アクセスを試みる。
DDoS攻撃は、純粋に標的のシステムをクラッシュさせ、低速にしたりアクセス不能にしたりするために使われる。
詳しくは、WordPressでブルートフォース攻撃をブロックする方法をご覧ください。
DDoS攻撃はどのような被害をもたらすのか?
DDoS攻撃は、サイトのパフォーマンスを低下させたり、アクセス不能にしたりします。その結果、ユーザーエクスペリエンスが低下し、ビジネスを失い、攻撃を軽減するためのコストが数千ドルに上ることもあります。
以下はその内訳である:
- サイトにアクセスできないことによる事業の損失
- サービス停止に関連するクエリーに対応するためのカスタマサポートのコスト
- セキュリティ・サービスやサポートを雇うことによって攻撃を軽減するコスト
- 最大のコストは、ユーザー・エクスペリエンスとブランド評価の低下である。
WordPressでDDoS攻撃を阻止・防止するには?
DDoS攻撃は巧妙に偽装され、対処が難しい場合があります。しかし、基本的なセキュリティのベストプラクティスを実践すれば、WordPress サイトへの DDoS 攻撃を防ぎ、簡単に阻止することができます。
ここでは、サイトへのDDoS攻撃を防ぎ、阻止するために必要な手順を説明します:
DDoS/ブルートフォース・アタック・バーティカルの削除
WordPressの最も優れた点は、柔軟性が高いことです。WordPressでは、サードパーティのプラグインやツールをサイトに統合し、新しい機能を追加することができます。
そのために、WordPressはいくつかのAPIをプログラマーに公開している。これらのAPIは、サードパーティのWordPressプラグインやサービスがWordPressとやりとりするためのメソッドです。
しかし、これらのAPIのいくつかは、DDoS攻撃中に大量のリクエストを送信することで悪用される可能性もある。これらのリクエストを減らすために、安全に無効化することができます。
WordPressでXML-RPCを無効化する
XML-RPCを使用すると、サードパーティのアプリがWordPressサイトとやり取りできるようになります。例えば、携帯端末でWordPressアプリを使用するにはXML-RPCが必要です。
モバイル・アプリを使ってサイトを運営していない大多数のユーザーと同じであれば、サイトの.htaccessファイルに以下のコードを追加するだけで、XML-RPCを無効化することができます:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
別の方法については、WordPressでXML-RPCを簡単に無効化する方法をご覧ください。
WordPressでREST APIを無効化する
WordPress JSON REST APIにより、プラグインやツールはWordPressのデータにアクセスしたり、コンテンツを更新したり、削除したりすることができます。ここでは、WordPress の REST API を無効化する方法を説明します。
WPCodeプラグインの使用をお勧めします。これは、わずか数クリックでREST APIを無効化することを有効化する最高のコードスニペットプラグインです。
詳しくは、WordPress で JSON REST API を無効化する方法をご覧ください。
あるいは、Disable WP Rest APIプラグインを使用することもできます。このプラグインはログアウト中に動作し、ログイン中でないすべてのユーザーに対してREST APIを無効化します。
WAF(サイトアプリケーションファイアウォール)の有効化
REST APIやXML-RPCのような攻撃ベクトルを無効化しても、DDoS攻撃に対する防御には限界があります。あなたのサイトは通常の HTTP リクエストに対してまだ脆弱です。
小規模なDDoS攻撃であれば、悪質なマシンのIPをキャッチして手動でブロックすることで軽減できますが、大規模な攻撃に対処する場合、この方法はあまり効果的ではありません。
不審なリクエストをブロックする最も簡単な方法は、サイトアプリケーションファイアウォールを有効化することです。
ウェブサイトアプリケーションファイアウォールは、あなたのウェブサイトとすべての受信トラフィックの間のプロキシとして機能します。スマートなアルゴリズムを使用して、疑わしいリクエストをすべてキャッチし、サイトサーバーに到達する前にブロックします。
Sucuriの使用をお勧めするのは、WordPressのセキュリティプラグインおよびサイトファイアウォールとして最高だからです。SucuriはDNSレベルで動作するため、DDoS攻撃がサイトにリクエストを送る前にキャッチすることができます。
Sucuriの価格は年間199.99ドルから。
WPBeginnerではSucuriを使用しています。私たちのサイトへの何十万もの攻撃をどのようにブロックしているかについては、私たちのケーススタディをご覧ください。
あるいは、Cloudflareを使うこともできます。ただし、Cloudflareの無料サービスでは、限定的なDDoS防御しかできません。少なくとも、レイヤー7のDDoS防御のためのビジネスプランにサインアップする必要があります。
詳細な比較は、SucuriとCloudflareの比較投稿をご覧ください。
注:アプリケーション・レベルで動作するサイト・アプリケーション・ファイアウォール(WAF)は、DDoS攻撃時にはあまり効果がありません。すでにWebサーバーに到達したトラフィックをブロックするため、サイト全体のパフォーマンスに影響を与えます。
ブルートフォース攻撃かDDoS攻撃かを識別する
ブルートフォース攻撃とDDoS攻撃はどちらもサーバーリソースを集中的に使用するため、その症状はよく似ています。サイトが遅くなり、クラッシュする可能性があります。
ブルートフォース攻撃かDDoS攻撃かは、Sucuriプラグインのログインレポートを見れば簡単にわかります。
無料のSucuriプラグインをインストールして有効化し、Sucuri Security ” Last Loginsページにアクセスするだけです。
ランダムなログイン要求が大量に表示される場合は、wp-adminがブルートフォース攻撃を受けていることを意味します。ブルートフォースアタックを阻止するには、WordPressでブルートフォースアタックをブロックする方法をご覧ください。
DDoS攻撃時の対処法
DDoS攻撃は、ウェブ・アプリケーション・ファイアウォールやその他の保護策を講じていても発生する可能性があります。CloudFlareやSucuriのような企業は、このような攻撃に定期的に対処しており、たいていの場合、攻撃を簡単に軽減できるため、このような攻撃について耳にすることはありません。
しかし、このような攻撃が大規模なものである場合でも、影響を受けるケースがあります。その場合、DDoS攻撃中および攻撃後に発生する可能性のある問題を軽減するための準備をしておくのが最善です。
以下は、DDoS攻撃の影響を最小限に抑えるためにできることです。
1.チームメンバーへの注意喚起
チームに所属しているなら、同僚にこの問題を知らせる必要がある。
これは、カスタマーサポートへのクエリーに備え、起こりうる問題に注意し、攻撃中や攻撃後に支援するのに役立つ。
2.不便をカスタマイザーに知らせる
DDoS攻撃はサイトのユーザーエクスペリエンスに影響を与えます。WooCommerceストアを運営している場合、カスタマイザーが注文できなかったり、アカウントにログインできなかったりする可能性があります。
ソーシャルメディアのアカウントを通じて、サイトが技術的な問題を抱えており、すべてが間もなく正常に戻ることを発表することができます。
攻撃が大規模なものであれば、メールマーケティングサービスを使ってカスタマイザーとコミュニケーションをとり、ソーシャルメディアの更新をフォローしてもらうこともできる。
もしVIPカスタマイザーがいるのであれば、ビジネスフォンサービスを使って個別に電話をかけ、サービス復旧のためにどのように取り組んでいるかを伝えるとよいだろう。
このような厳しい時期におけるコミュニケーションは、ブランドの評判を維持する上で大きな違いを生む。
3.ホスティングサービスおよびセキュリティサポートへのお問い合わせ
WordPressホスティングサービスプロバイダーに連絡してください。あなたのサイトへの攻撃は、プロバイダーのシステムを標的とした大規模な攻撃の一部かもしれません。その場合、プロバイダーは状況について最新の更新情報を提供してくれるでしょう。
ファイアウォールサービスに連絡し、あなたのサイトがDDoS攻撃を受けていることを伝えましょう。より早く状況を緩和し、より多くの情報を提供してくれるかもしれません。
Sucuriのようなファイアウォール・プロバイダーでは、設定を「パラノイド・モード」にすることもでき、多くのリクエストをブロックし、通常のユーザーがサイトにアクセスできるようにすることができます。
WordPressサイトを安全に保つ方法
WordPressは箱から出してもかなり安全だ。しかし、世界で最も人気のあるサイトビルダーであるため、ハッカーに狙われることも多い。
幸いなことに、あなたのサイトに適用できるセキュリティのベストプラクティスはたくさんあります。
初心者のためのWordPressセキュリティガイドをステップごとにまとめました。一般的な脅威からサイトとそのデータを保護するために、WordPressの最適なセキュリティ設定を順を追って説明します。
WordPressのセキュリティ向上に関する他の投稿もご覧ください:
- WordPressセキュリティ監査の実施方法(完全なチェックリスト)
- サイトを守るWordPressセキュリティプラグイン(比較版)
- マルウェアやハッキングを検出するためのベストWordPressセキュリティスキャナー
- WordPressサイトの潜在的な悪意のあるコードをスキャンする方法
- WordPressサイトがハッキングされるトップ理由(とその防止策)
- ブルートフォース攻撃からWordPressサイトを守る方法
- ハッキングされたWordPressサイトのバックドアを見つけて修正する方法
- セキュリティ監査ログでWordPressのユーザーアクティビティを監視する方法
- WordPressでHTTPセキュリティ・ヘッダを追加する方法(初心者ガイド)
この投稿がWordPressのDDoS攻撃をブロックし、防ぐ方法を学ぶのにお役に立てば幸いです。また、最も一般的な WordPress エラーの修正方法や、専門家が選ぶ最高の WordPress マネージドホスティングサービスプロバイダーのガイドもご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Mrteesurez
Helpful article, I have learnt and understood what DDoS attack is and how to stop and prevent them on website but how can a some say whether it’s a brutal force or DDoS attack when he has not been using any firewall plugin ?
WPBeginner Support
Your hosting provider can help narrow down what type of attack was affecting your site.
管理者
Jiří Vaněk
Currently, I dare to say that an excellent and free protection against DDoS attacks is Cloudflare. The DNS A record is hidden behind a proxy DNS, so the attack is mostly directed not at the target server but at the Cloudflare server. Cloudflare then effectively filters out the DDoS attack. For me, currently one of the best solutions available.
Prabuddh
Disable XML RPC in WordPress Code is wrong,
The code ends with but you ended with which gives an error, Please solve this.
Thanks
WPBeginner Support
We di bit see your recommendations in your comment but we did find a typo and it should be fixed
管理者
Mohamad EL-Wakeel
great articles, but would you make one as comparison between
DDoS Attack & Brute Force Attack, and how to detect both.
Thanks.