Inhaltsverzeichnis
WordPress ist einer der beliebtesten Website-Baukästen der Welt, weil er leistungsstarke Funktionen und eine sichere Codebasis bietet. Das macht ihn jedoch zu einem Ziel für DDoS-Angriffe.
Hacker setzen DDoS-Angriffe ein, um Websites zu verlangsamen und sie schließlich für die Nutzer unzugänglich zu machen. Diese Angriffe können sowohl kleine als auch große Websites betreffen.
Nun fragen Sie sich vielleicht, wie eine kleine Unternehmenswebsite, die WordPress verwendet, solche DDoS-Angriffe mit begrenzten Ressourcen verhindern kann.
In diesem Leitfaden zeigen wir Ihnen, wie Sie einen DDoS-Angriff auf WordPress effektiv stoppen und verhindern können. Unser Ziel ist es, Ihnen zu zeigen, wie Sie Ihre Website wie ein Profi vor einem DDoS-Angriff schützen können.
Was ist ein DDoS-Angriff?
DDoS (Distributed Denial of Service) ist eine Art von Cyberangriff, bei dem kompromittierte Computer und Geräte verwendet werden, um Daten von einem WordPress-Hosting-Server zu senden oder anzufordern. Das Ziel dieser Anfragen ist es, den Zielserver zu verlangsamen und schließlich zum Absturz zu bringen.
DDoS-Angriffe haben sich aus DoS-Angriffen (Denial of Service) entwickelt. Im Gegensatz zu einem DoS-Angriff nutzen sie die Vorteile vieler kompromittierter Rechner oder Server, die über verschiedene Regionen verteilt sind.
Diese kompromittierten Rechner bilden ein Netzwerk, das manchmal auch als Botnet bezeichnet wird. Jeder betroffene Rechner fungiert als Bot und startet Angriffe auf das Zielsystem oder den Server. So können sie eine Zeit lang unbemerkt bleiben und maximalen Schaden anrichten, bevor sie blockiert werden.
Selbst die größten Internetunternehmen sind anfällig für DDoS-Angriffe.
Im Jahr 2018 wurde GitHub, eine beliebte Code-Hosting-Plattform, Zeuge eines massiven DDoS-Angriffs, bei dem 1,3 Terabyte pro Sekunde an Datenverkehr auf die Server von GitHub geschickt wurden.
Vielleicht erinnern Sie sich noch an den berüchtigten Angriff auf DYN (einen DNS-Dienstleister) aus dem Jahr 2016, der weltweit für Schlagzeilen sorgte, da er viele beliebte Websites wie Amazon, Netflix, PayPal, Visa, Airbnb, die New York Times, Reddit und Tausende andere Websites betraf.
DDoS-FAQs
Hier finden Sie einige Antworten auf häufig gestellte Fragen zu DDoS-Angriffen.
Warum kommt es zu DDoS-Angriffen?
Für DDoS-Angriffe gibt es verschiedene Gründe, von denen hier einige genannt werden:
- Technisch versierte Menschen, die sich einfach nur langweilen, finden es abenteuerlich
- Personen und Gruppen, die einen politischen Standpunkt vertreten
- Gruppen, die auf Websites und Dienste eines bestimmten Landes oder einer bestimmten Region abzielen
- Gezielte Angriffe auf ein bestimmtes Unternehmen oder einen Dienstleistungsanbieter, um einen finanziellen Schaden zu verursachen
- Erpressung mit dem Ziel, Lösegeld zu erpressen
Was ist der Unterschied zwischen einer Brute-Force-Attacke und einer DDoS-Attacke?
Bei Brute-Force-Angriffen wird versucht, durch das Erraten von Passwörtern oder das Ausprobieren von Zufallskombinationen unbefugten Zugang zu einem System zu erhalten.
DDoS-Angriffe dienen ausschließlich dazu, das Zielsystem zum Absturz zu bringen und es langsam oder unzugänglich zu machen.
Weitere Einzelheiten finden Sie in unserer Anleitung zum Blockieren von Brute-Force-Angriffen auf WordPress.
Welche Schäden können durch einen DDoS-Angriff verursacht werden?
DDoS-Angriffe können die Leistung einer Website beeinträchtigen oder sie unzugänglich machen, was zu einer schlechten Benutzererfahrung, Geschäftseinbußen und Kosten für die Entschärfung des Angriffs führt, die Tausende von Dollar betragen können.
Hier eine Aufschlüsselung dieser Kosten:
- Geschäftseinbußen aufgrund der Unzugänglichkeit der Website
- Kosten für den Kundensupport zur Beantwortung von Fragen im Zusammenhang mit Dienstunterbrechungen
- Kosten für die Entschärfung von Angriffen durch Beauftragung von Sicherheitsdiensten oder Unterstützung
- Die größten Kosten sind die schlechte Nutzererfahrung und der schlechte Ruf der Marke.
Wie kann ich DDoS-Angriffe in WordPress stoppen und verhindern?
DDoS-Angriffe können raffiniert getarnt und schwer zu bewältigen sein. Mit einigen grundlegenden bewährten Sicherheitspraktiken können Sie jedoch verhindern, dass Ihre WordPress-Website durch DDoS-Angriffe beeinträchtigt wird, und diese einfach stoppen.
Hier sind die Schritte, die Sie unternehmen müssen, um DDoS-Angriffe auf Ihre Website zu verhindern und zu stoppen:
Vertikale DDoS-/Brute-Force-Angriffe entfernen
Das Beste an WordPress ist seine hohe Flexibilität: WordPress erlaubt es, Plugins und Tools von Drittanbietern in Ihre Website zu integrieren und neue Funktionen hinzuzufügen.
Zu diesem Zweck stellt WordPress Programmierern mehrere APIs zur Verfügung, über die WordPress-Plugins und -Dienste von Drittanbietern mit WordPress interagieren können.
Einige dieser APIs können jedoch auch während eines DDoS-Angriffs ausgenutzt werden, indem sie eine große Anzahl von Anfragen senden. Sie können sie sicher deaktivieren, um diese Anfragen zu reduzieren.
XML RPC in WordPress deaktivieren
XML-RPC ermöglicht es Anwendungen von Drittanbietern, mit Ihrer WordPress-Website zu interagieren. Sie benötigen XML-RPC zum Beispiel, um die WordPress-App auf Ihrem mobilen Gerät zu verwenden.
Wenn Sie wie die große Mehrheit der Nutzer die mobile App nicht zum Betrieb ihrer Website verwenden, können Sie XML-RPC deaktivieren, indem Sie einfach den folgenden Code in die .htaccess-Datei Ihrer Website einfügen.
# WordPress xmlrpc.php Anfragen blockieren order deny,allow deny from allVeranstaltet mit ❤️ von WPCode 1-Klick-Verwendung in WordPress
Alternative Methoden finden Sie in unserer Anleitung zur einfachen Deaktivierung von XML-RPC in WordPress.
REST API in WordPress deaktivieren
Die WordPress JSON REST API ermöglicht es Plugins und Tools, auf WordPress-Daten zuzugreifen, Inhalte zu aktualisieren und/oder sogar zu löschen. Hier erfahren Sie, wie Sie die REST API in WordPress deaktivieren können.
Wir empfehlen die Verwendung des WPCode-Plugins, des besten Plugins für Codeschnipsel, mit dem Sie die REST-API mit nur wenigen Klicks deaktivieren können.
Weitere Informationen finden Sie in unserer Anleitung zur Deaktivierung der JSON REST API in WordPress.
Alternativ können Sie das Plugin Disable WP Rest API verwenden, das die REST-API für alle nicht eingeloggten Benutzer deaktiviert.
Aktivieren Sie eine WAF (Website Application Firewall)
Die Deaktivierung von Angriffsvektoren wie REST-API und XML-RPC bietet nur begrenzten Schutz vor DDoS-Angriffen, da Ihre Website weiterhin für normale HTTP-Anfragen anfällig ist.
Während Sie einen kleinen DDoS-Angriff entschärfen können, indem Sie versuchen, die IPs der bösartigen Rechner abzufangen und sie manuell zu blockieren, ist dieser Ansatz weniger effektiv, wenn es um einen großen Angriff geht.
Der einfachste Weg, verdächtige Anfragen zu blockieren, ist die Aktivierung einer Website-Anwendungsfirewall.
Eine Website Application Firewall fungiert als Proxy zwischen Ihrer Website und dem gesamten eingehenden Datenverkehr. Sie verwendet einen intelligenten Algorithmus, um alle verdächtigen Anfragen abzufangen und zu blockieren, bevor sie Ihren Website-Server erreichen.
Wir empfehlen die Verwendung von Sucuri, weil es das beste WordPress-Sicherheits-Plugin und die beste Website-Firewall ist. Es läuft auf DNS-Ebene, was bedeutet, dass es einen DDoS-Angriff abfangen kann, bevor er eine Anfrage an Ihre Website stellen kann.
Die Preise für Sucuri beginnen bei $199,99 pro Jahr.
In unserer Fallstudie erfahren Sie, wie Sucuri dabei hilft, Hunderttausende von Angriffen auf unsere Website abzuwehren.
Alternativ können Sie auch Cloudflare verwenden. Der kostenlose Service von Cloudflare bietet jedoch nur einen begrenzten DDoS-Schutz. Für einen Layer-7-DDoS-Schutz müssen Sie sich mindestens für den Business-Plan von Cloudflare anmelden, der etwa 200 US-Dollar pro Monat kostet.
In unserem Artikel über Sucuri vs. Cloudflare finden Sie einen detaillierten Vergleich.
Anmerkung: Website Application Firewalls (WAFs), die auf der Anwendungsebene laufen, sind während eines DDoS-Angriffs weniger effektiv: Sie blockieren den Datenverkehr, wenn er Ihren Webserver bereits erreicht hat, und beeinträchtigen somit weiterhin die Gesamtleistung Ihrer Website.
Erkennen, ob es sich um einen Brute-Force- oder DDoS-Angriff handelt
Sowohl Brute-Force- als auch DDoS-Angriffe beanspruchen intensiv Server-Ressourcen, was bedeutet, dass ihre Symptome recht ähnlich aussehen. Ihre Website wird langsamer und kann abstürzen.
Sie können leicht herausfinden, ob es sich um einen Brute-Force-Angriff oder einen DDoS-Angriff handelt, indem Sie sich die Login-Berichte des Sucuri-Plugins ansehen.
Installieren und aktivieren Sie einfach das kostenlose Sucuri-Plugin und gehen Sie dann auf die Seite Sucuri Security " Letzte Anmeldungen Seite.
Wenn Sie eine große Anzahl von zufälligen Login-Anfragen sehen, dann bedeutet dies, dass Ihr wp-admin einem Brute-Force-Angriff ausgesetzt ist. Um dies zu entschärfen, können Sie unseren Leitfaden zum Blockieren von Brute-Force-Angriffen in WordPress lesen.
Was ist bei einer DDoS-Attacke zu tun?
DDoS-Angriffe können auch dann auftreten, wenn Sie eine Web Application Firewall und andere Schutzmechanismen einsetzen. Unternehmen wie CloudFlare und Sucuri haben regelmäßig mit solchen Angriffen zu tun, von denen Sie in den meisten Fällen nichts mitbekommen, da sie sie leicht entschärfen können.
In einigen Fällen, wenn es sich um große Angriffe handelt, können sie sich dennoch auf Sie auswirken. In diesem Fall ist es am besten, wenn Sie darauf vorbereitet sind, die Probleme, die während und nach dem DDoS-Angriff auftreten können, zu entschärfen.
Im Folgenden finden Sie einige Maßnahmen, die Sie ergreifen können, um die Auswirkungen eines DDoS-Angriffs zu minimieren.
1. alarmieren Sie Ihre Teammitglieder
Wenn Sie ein Team haben, müssen Sie Ihre Kollegen über das Problem informieren.
So können sie sich auf Kundenanfragen vorbereiten, auf mögliche Probleme achten und während oder nach dem Angriff helfen.
2. die Kunden über die Unannehmlichkeiten informieren
Ein DDoS-Angriff kann die Benutzerfreundlichkeit Ihrer Website beeinträchtigen. Wenn Sie einen WooCommerce-Shop betreiben, können Ihre Kunden möglicherweise keine Bestellungen aufgeben oder sich nicht bei ihren Konten anmelden.
Sie können über Ihre Konten in den sozialen Medien ankündigen, dass es auf Ihrer Website technische Schwierigkeiten gibt und alles bald wieder normal sein wird.
Wenn der Angriff groß ist, können Sie auch Ihren E-Mail-Marketingdienst nutzen, um mit den Kunden zu kommunizieren und sie aufzufordern, Ihren Updates in den sozialen Medien zu folgen.
Wenn Sie VIP-Kunden haben, möchten Sie vielleicht Ihren geschäftlichen Telefondienst nutzen, um einzelne Anrufe zu tätigen und sie über Ihre Bemühungen zur Wiederherstellung der Dienste zu informieren.
Die Kommunikation in diesen schwierigen Zeiten trägt entscheidend dazu bei, den Ruf Ihrer Marke aufrechtzuerhalten.
3. den Support für Hosting und Sicherheit kontaktieren
Setzen Sie sich mit Ihrem WordPress-Hosting-Provider in Verbindung. Der Angriff auf Ihre Website könnte Teil eines größeren Angriffs sein, der auf dessen Systeme abzielt. In diesem Fall kann er Sie über den aktuellen Stand der Dinge informieren.
Wenden Sie sich an Ihren Firewall-Dienst und teilen Sie ihm mit, dass Ihre Website von einem DDoS-Angriff betroffen ist. Er kann die Situation möglicherweise noch schneller entschärfen und Ihnen weitere Informationen liefern.
Bei Firewall-Anbietern wie Sucuri können Sie auch einen "Paranoid-Modus" einstellen, der viele Anfragen blockiert und Ihre Website für normale Benutzer zugänglich macht.
Wie Sie Ihre WordPress-Website sicher halten
WordPress ist von Haus aus recht sicher, aber als weltweit beliebtester Website-Baukasten wird es häufig von Hackern angegriffen.
Glücklicherweise gibt es viele bewährte Sicherheitsverfahren, die Sie auf Ihre Website anwenden können, um sie noch sicherer zu machen.
Wir haben einen kompletten WordPress-Sicherheitsleitfaden für Anfänger zusammengestellt, der Sie Schritt für Schritt durch die besten WordPress-Sicherheitseinstellungen führt, um Ihre Website und ihre Daten vor den üblichen Bedrohungen zu schützen.
Wir hoffen, dass dieser Artikel Ihnen geholfen hat, zu lernen, wie Sie einen DDoS-Angriff auf WordPress blockieren und verhindern können. Vielleicht möchten Sie auch unsere Liste der häufigsten WordPress-Fehler und deren Behebung lesen und unsere Expertenauswahl für die besten WordPress-Managed-Hosting-Anbieter sehen.
Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.
