Intereting Posts
wp_logout_url () – Уведомление об ошибке WordPress Как я могу использовать разные группы редакторов только для редактирования некоторых родительских + подстраниц? Список и отображение загруженных файлов PDF динамически get_query_var () и permalinks Помогите решить ошибку t_echo php при использовании echo do_shortcode Обновление старых ссылок веб-сайта на новые ссылки на сайты Случайная функция Аватарка по умолчанию Как исправить неинициализированное смещение строки: ошибка на флажке в WP Settings API Как удалить фильтр Unattached в списке медиатеки? Single.php различное поведение от admin до non-admin Если дочерняя тема имеет одну и ту же строку параметров темы как родительскую, или должна ли она иметь собственную строку параметров? сравнить meta_query в аргументах get_posts Категории, которые не отображаются на страницах после редактирования Shortcode с атрибутом пользовательского контента? Использование media-upload.php для загрузки mp3 через пользовательские поля

Веб-сайт затоплен

На нашем веб-сайте заливается тысячи запросов на страницу. Журналы доступа выглядят следующим образом:

**.**.250.*9 - - [24/Oct/2017:09:16:32 -0400] "GET /about-our-company/?screw-you HTTP/1.0" 200 14959 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" **.**.250.*9 - - [24/Oct/2017:09:16:32 -0400] "GET /about-our-company/?screw-you HTTP/1.0" 200 14959 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" **.**.250.*9 - - [24/Oct/2017:09:16:33 -0400] "GET /about-our-company/?screw-you HTTP/1.0" 200 14959 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" **.**.250.*9 - - [24/Oct/2017:09:16:33 -0400] "GET /about-our-company/?screw-you HTTP/1.0" 200 14959 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" **.**.250.*9 - - [24/Oct/2017:09:16:33 -0400] "GET /about-our-company/?screw-you HTTP/1.0" 200 14959 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" **.**.250.*9 - - [24/Oct/2017:09:16:34 -0400] "GET /about-our-company/?screw-you HTTP/1.0" 200 14959 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" **.**.250.*9 - - [24/Oct/2017:09:16:34 -0400] "GET /about-our-company/?screw-you HTTP/1.0" 200 14959 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" **.**.250.*9 - - [24/Oct/2017:09:16:34 -0400] "GET /about-our-company/?screw-you HTTP/1.0" 200 14959 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" 

Помимо блокировки IP-адресов вручную, что мы можем сделать, чтобы остановить эти атаки?

Solutions Collecting From Web of "Веб-сайт затоплен"

Прежде всего, сообщите, кто это делает.

Очевидно, вы могли бы заблокировать что-либо с помощью строки запроса, содержащей screw-you , но это поможет только в этом случае.

Возможно, отбросить любые запросы с помощью HTTP / 1.0 (браузер не использует его, а «хорошие» боты, такие как google, тоже нет, но если вам нужно предоставить доступ к специальным инструментам, вы можете не захотеть этого делать), но вы следует внимательно следить за тем, какие запросы отбрасываются этим, чтобы убедиться, что вы не потеряете законный трафик.

И, конечно же, есть технические решения, которые пытаются автоматически обнаружить такой тип трафика и заблокировать его. Посмотрите на CloudFlare, Incapsula, StackPath и т. Д.

С точки зрения WordPress наиболее уязвимой частью является ресурсоемкая загрузка ядра WordPress и генерации страниц.

Поэтому для примитивной атаки ваш приоритет – никогда не позволять этим достичь ядра WP . Это означало бы перехват их на каком-то этапе раньше на веб-сервере, обратном прокси или уровне брандмауэра. Зависит от стека серверов и параметров конфигурации, доступных вам.

Если вы используете управляемый хостинг, связавшись с ним, это хорошая идея как для осознания, так и для того, чтобы услышать их рекомендации.

Если у вас есть доступ к серверу, у вас есть некоторые опции, такие как использование mod_evasive (если используется apache2) – это закроет запросы.

Также стоит поместить ваш веб-сайт в некоторый кеш, например WP Super Cache, принудительно предустановить кеширование и позволить ему обслуживать статические файлы, что уменьшит шансы на вас узким местом.