Как устранить DDOS на WordPress, если денег нет?

Вордпресс прост, удобен, к нему масса плагинов. Но он уязвим для DDOS атак, особенно если вы не разбираетесь в настройках безопасности и не платите ежемесячно за защиту $500..

Ко мне обратился владелец блога на WordPress известный инфобизнесмен Владислав. Он был в отчаянии: блог атаковали DDoS, блокировали работу сайта и требовали денег, чтобы ее возобновить.

Ddos часто совмещен с шантажом
Ddos часто совмещен с шантажом

 

Сначала Владислав надеялся решить проблему с помощью хостера. Но тот предложил вручную банить ботсеть за 500р в день. Это хлопотно и дорого. Владислав сменил хостинг, но после переезда проблемы с хакерами возобновились.

Блоагер обратился за помощью к специализированным сервисам защиты от DDoS проксированием. Сервис запросил 400$ в месяц (что для клиента слишком накладно), и не предоставил  гарантий, что сервис поможет.

Чтобы устранить DDOS атаки в блоге на Вордпрессе, Владислав нашел эксперта в области информационной безопасности — меня.

Одна из моих услуг — размещение сайтов клиентов на собственном хостинге. Это облегчает работу с безопасностью, проще отследить сбои в работе сайта. Я перенес сайт Владислава на свой хостинг и начал работу.

Проблема с неквалифицированными хакерами решилась быстро. Для отсева наиболее тупых ботов я подключил бесплатный аккаунт cloudflare, настроил на хостинге правила, лимиты и бан. Клиент впервые за неделю вздохнул с облегчением.

На этом можно было бы завершить пост. Но через полдня «обрадовал»  Сloudflare:


CloudFlare has been temporarily deactivated for this site due to a large attack. We do not offer advanced DDOS protection in our Free or Pro plans. All temporary holds are based on a domain, so you cannot delete the website and re-add it. We will automatically resume the CloudFlare service in 5 to 7 business days.


CloudFlare includes advanced DDOS protection in its Business plan ($200/month). If you upgrade to the Business plan, your website will be re-activated.

Клаудфлейр посчитал, что атака слишком велика для бесплатного аккаунта. Сервис предложил перейти на платный аккаунт «Бизнес» и платить 200$ в месяц. Клиент платить был не готов.

Как устранить DDOS на WordPress, если нет денег?

Клиенты на WordPress встречаются часто, а CMS эта весьма тяжелая. Сколько запросов можно обработать под DDoSом на обычной связке nginx+apache, без перехода на php-fpm?

Решение казалось очевидным — использовать возможности кэширования в nginx. Консолидация одинаковых запросов там есть. Чтобы выработать несколько специфичных решений для сайтов на WordPress, пришлось тщательно анализировать CMS. Но в итоге я добился результата.

Теперь жестоко атакуемый сайт на Вордпрессе обрабатывает 1000 разных запросов в секунду, лимиты убраны, список забаненых адресов очищен.

Проблема решена креативно: злоумышленник не может перегрузить сайт запросами

DDoS превратился в обычную рабочую нагрузку. Я получил конфигурацию, на которой могу размещать сайты на WordPress и не переживать из-за нагрузки.

Если ваш сайт работает на Вордпрессе и вас атакуют с помощью DDoS, обращайтесь. Я знаю как решить вашу проблему.