Ataki DDoS na WordPress, kilka porad i zabezpieczeń

ddos-wordpressZ roku na rok coraz częściej posiadacze blogów na WordPressie skarżą się na nasilające się ataki DDoS (ataki ddos na wordpress). W sieci trwają dyskusje, w których blogerzy, pozycjonerzy i webmasterzy szukają luk na swoich stronach internetowych.Jak powszechnie się utarło, jeśli coś jest do wszystkiego to jest do d***. W przypadku WordPressa zgodzić się z tym stereotypem nie mogę. Przyznaję, że faktycznie WP jest skryptem ciężkim, wijącym się jak tasiemiec oraz takim, którego źródło jest powszechnie dostępne. Jego bezpłatna dostępność pozwala analizować jego luki przez hakerów, którzy za wszelką cenę tworząc bota będą mogli próbować dostać się do milionów stron, które zostały postawione na WordPressie.

Co można zrobić by zabezpieczyć się przed atakami, które wykorzystają wszelkie luki w naszej stronie?

Przede wszystkim nie instalować wtyczek, które są nieznanego pochodzenia, wtyczek, które posiadają 1 lub 0 ocen oraz (co najważniejsze) wtyczek, które posiadają swoje „darmowe” odpowiedniki, często mają w nazwie dodane słowo „nulled” lub „hacked by (…)”.

Wtyczki (pluginy) czy skórki (templatki), które mogą wzbudzić naszą wątpliwość czy aby na pewno są legalne i nam nie zaszkodzą powinniśmy ominąć szerokim łukiem i sprawdzić ich cenę w sklepach online z tego typu gadżetami. Zazwyczaj wtyczki kosztują 10-45 dolarów a skórki można znaleźć w podobnych cenach (mówię tutaj o płatnych rozwiązaniach). Na nasz zakup otrzymamy potwierdzenie, przykładowo z systemu PayPal oraz z reguły jakąś informację z serwisu sprzedającego dany skrypcik. Mamy więc kontakt, licencję i zabezpieczamy się choć troszkę, wiedząc, że jeśli atak będzie poprzez lukę w kupionych plikach to po zgłoszeniu producent go zabezpieczy i wyda aktualizację. To tyle jeśli chodzi o zabezpieczanie WordPress przez umiejętne dobieranie jego dodatkowego oskryptowania.

Przejdźmy teraz do tego czy sam WordPress jest bezpiecznym skryptem?

Otóż jak się okazuje nie do końca. WordPress ma bowiem wbudowaną obsługę interface’u XML-RPC, która pozwala choćby pozycjonerom do zdalnego i masowego publikowania na kilkuset czy kilku tysiącach blogów (np. zaplecze pozycjonerskie). XML-RPC jest również w tym przypadku narzędziem do wysylania PingBack’ów (pozwalających na szybką indeksację nowych treści na stronie) oraz TrackBacków, które zazwyczaj informują nas o tym, że na innym blogu znalazł się wpis z linkiem do naszego serwisu.

XML-RPC – protokół XML pierwszej generacji opierający się na protokole RPC (Remote Procedure Call).

XML-RPC definiuje zasady wymiany danych i ich reprezentację w formacie XML. Wymiana danych podczas zdalnego wywołania procedury (RPC), tzn. przesyłanie parametrów zdalnego wywołania i wyników, odbywa się z wykorzystaniem protokołu HTTP. Przesyłane parametry i wyniki (czyli dane) są zapisane w formacie XML.

Innym protokołem XML pierwszej generacji jest WDDX.

Protokoły pierwszej generacji charakteryzują się małą rozszerzalnością, np. wprowadzenie obsługi nowych formatów danych wymaga zmiany specyfikacji protokołów. Z uwagi na to opracowano protokoły XML drugiej generacji, której przedstawicielem jest protokół SOAP.

źródło: Wikipedia

Jak można przeczytać w definicji protokołu XML-RPC, służy on do wywoływania zdalnego poszczególnych procedur (w omawianym przypadku do publikowania na WordPressie). Dla pozycjonera, jest to rozwiązanie idealne, dla hakera to luka, pozwalająca dobrać się do naszej strony.

Zabezpieczenie WordPress przed DDoS z pomocą CloudFlare

W dużej części ataków DDoS pomoże nam CloudFlare, które kolejkować i filtrować będzie ruch do naszej strony poprzez prostą konfigurację serwerów DNS domeny, pod którą podpięty został blog. CloudFlare maskuje nasze prawdziwe serwery DNS na ich własne. To ich serwery DNS będą widoczne przy sprawdzaniu domeny w bazie WhoIS. CloudFlare posiada plany darmowe i płatne, przy tych rozszerzonych – płatnych – CF umożliwia nam większą konfigurację i skuteczniejszą ochronę naszej strony WWW.

CloudFlare korzysta dla nas z CDN (Content delivery network (ang. CDN) – duży rozproszony system dostarczania treści do wielu centrów danych i punktów wymiany ruchu w Internecie. Celem CDN jest udostępnianie zawartości o wysokiej dostępności i wydajności końcowym użytkownikom. – Wikipedia). CDN, pozwala na szybsze dostarczanie contentu użytkownikowi końcowemu, co wpływa pozytywnie na weryfikację naszej witryny przez wyszukiwarkę Google (skrócone czasy ładowania się poszczególnych podstron) oraz zabezpiecza nas przed atakami, o czym mowa w tym artykule. Dzieki przekierowaniu DNS  oraz korzystaniu z CDN, CloudFlare jest rozwiązaniem, które nawet w swojej darmowej wersji pomoże nam uchronić się od ataków DDoS. Jedynym minusem, który zauważymy w przypadku, gdy trwać będą ataki lub CF uzna nas za potencjalne zagrożenie to wyświetlenie komunikatu o tym, że serwis aktualnie sprawdza naszą przeglądarkę przed domniemanym atakiem DDoS a samą stronę docelową zobaczymypo kilku sekundach. Czy to minus? Dla niecierpliwych pewnie tak, jednak trzeba przyznać, że gra jest warta świeczki.

Informacja o CF i jego zastosowaniu czy DDoS lub też zastosowaniu i nieszczelności protokołu XML-RPC nie jest niczym nowym. Sam stosuję w większości swoich WordPressów CloudFlare z powodzeniem od kilku lat i polecam to rozwiązanie wszystkim tym, którzy chcą brać sprawy we własne ręce i zamierzają tracić czas na testy dziesiątek wtyczek zabezpieczających WP przed tego typu atakami.