{"id":313,"date":"2014-07-11T11:00:36","date_gmt":"2014-07-11T09:00:36","guid":{"rendered":"http:\/\/piotrgabriel.pl\/wiki\/?p=119"},"modified":"2021-06-29T07:02:53","modified_gmt":"2021-06-29T05:02:53","slug":"ataki-ddos-wordpress-porad-zabezpieczen","status":"publish","type":"post","link":"https:\/\/piotrgabriel.pl\/wiki\/ataki-ddos-wordpress-porad-zabezpieczen\/","title":{"rendered":"Ataki DDoS na WordPress, kilka porad i zabezpiecze\u0144"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-medium wp-image-120\" src=\"http:\/\/piotrgabriel.pl\/wiki\/wp-content\/uploads\/2014\/07\/ddos-wordpress-300x237.png\" alt=\"ddos-wordpress\" width=\"300\" height=\"237\" title=\"\">Z roku na rok coraz cz\u0119\u015bciej posiadacze blog\u00f3w na WordPressie skar\u017c\u0105 si\u0119 na nasilaj\u0105ce si\u0119 ataki DDoS (ataki ddos na wordpress). W sieci trwaj\u0105 dyskusje, w kt\u00f3rych blogerzy, pozycjonerzy i webmasterzy szukaj\u0105 luk na swoich stronach internetowych.<!--more-->Jak powszechnie si\u0119 utar\u0142o, je\u015bli co\u015b jest do wszystkiego to jest do d***. W przypadku WordPressa zgodzi\u0107 si\u0119 z tym stereotypem nie mog\u0119. Przyznaj\u0119, \u017ce faktycznie WP jest skryptem ci\u0119\u017ckim, wij\u0105cym si\u0119 jak tasiemiec oraz takim, kt\u00f3rego \u017ar\u00f3d\u0142o jest powszechnie dost\u0119pne. Jego bezp\u0142atna dost\u0119pno\u015b\u0107 pozwala analizowa\u0107 jego luki przez haker\u00f3w, kt\u00f3rzy za wszelk\u0105 cen\u0119 tworz\u0105c bota b\u0119d\u0105 mogli pr\u00f3bowa\u0107 dosta\u0107 si\u0119 do milion\u00f3w stron, kt\u00f3re zosta\u0142y postawione na WordPressie.<\/p>\n<p><strong>Co mo\u017cna zrobi\u0107 by zabezpieczy\u0107 si\u0119 przed atakami, kt\u00f3re wykorzystaj\u0105 wszelkie luki w naszej stronie?<\/strong><\/p>\n<p>Przede wszystkim nie instalowa\u0107 wtyczek, kt\u00f3re s\u0105 nieznanego pochodzenia, wtyczek, kt\u00f3re posiadaj\u0105 1 lub 0 ocen oraz (co najwa\u017cniejsze) wtyczek, kt\u00f3re posiadaj\u0105 swoje &#8222;darmowe&#8221; odpowiedniki, cz\u0119sto maj\u0105 w nazwie dodane s\u0142owo &#8222;nulled&#8221; lub &#8222;hacked by (&#8230;)&#8221;.<\/p>\n<p>Wtyczki (pluginy) czy sk\u00f3rki (templatki), kt\u00f3re mog\u0105 wzbudzi\u0107 nasz\u0105 w\u0105tpliwo\u015b\u0107 czy aby na pewno s\u0105 legalne i nam nie zaszkodz\u0105 powinni\u015bmy omin\u0105\u0107 szerokim \u0142ukiem i sprawdzi\u0107 ich cen\u0119 w sklepach online z tego typu gad\u017cetami. Zazwyczaj wtyczki kosztuj\u0105 10-45 dolar\u00f3w a sk\u00f3rki mo\u017cna znale\u017a\u0107 w podobnych cenach (m\u00f3wi\u0119 tutaj o p\u0142atnych rozwi\u0105zaniach). Na nasz zakup otrzymamy potwierdzenie, przyk\u0142adowo z systemu PayPal oraz z regu\u0142y jak\u0105\u015b informacj\u0119 z serwisu sprzedaj\u0105cego dany skrypcik. Mamy wi\u0119c kontakt, licencj\u0119 i zabezpieczamy si\u0119 cho\u0107 troszk\u0119, wiedz\u0105c, \u017ce je\u015bli atak b\u0119dzie poprzez luk\u0119 w kupionych plikach to po zg\u0142oszeniu producent go zabezpieczy i wyda aktualizacj\u0119. To tyle je\u015bli chodzi o zabezpieczanie WordPress przez umiej\u0119tne dobieranie jego dodatkowego oskryptowania.<\/p>\n<p><strong>Przejd\u017amy teraz do tego czy sam WordPress jest bezpiecznym skryptem?<\/strong><\/p>\n<p>Ot\u00f3\u017c jak si\u0119 okazuje nie do ko\u0144ca. WordPress ma bowiem wbudowan\u0105 obs\u0142ug\u0119 interface&#8217;u XML-RPC, kt\u00f3ra pozwala cho\u0107by pozycjonerom do zdalnego i masowego publikowania na kilkuset czy kilku tysi\u0105cach blog\u00f3w (np. zaplecze pozycjonerskie). XML-RPC jest r\u00f3wnie\u017c w tym przypadku narz\u0119dziem do wysylania PingBack&#8217;\u00f3w (pozwalaj\u0105cych na szybk\u0105 indeksacj\u0119 nowych tre\u015bci na stronie) oraz TrackBack\u00f3w, kt\u00f3re zazwyczaj informuj\u0105 nas o tym, \u017ce na innym blogu znalaz\u0142 si\u0119 wpis z linkiem do naszego serwisu.<\/p>\n<blockquote><p><b>XML-RPC<\/b> \u2013 protok\u00f3\u0142 XML pierwszej generacji opieraj\u0105cy si\u0119 na protokole RPC (Remote Procedure Call).<\/p>\n<p>XML-RPC definiuje zasady wymiany danych i ich reprezentacj\u0119 w formacie XML. Wymiana danych podczas zdalnego wywo\u0142ania procedury (RPC), tzn. przesy\u0142anie parametr\u00f3w zdalnego wywo\u0142ania i wynik\u00f3w, odbywa si\u0119 z wykorzystaniem protoko\u0142u HTTP. Przesy\u0142ane parametry i wyniki (czyli dane) s\u0105 zapisane w formacie XML.<\/p>\n<p>Innym protoko\u0142em XML pierwszej generacji jest WDDX.<\/p>\n<p>Protoko\u0142y pierwszej generacji charakteryzuj\u0105 si\u0119 ma\u0142\u0105 rozszerzalno\u015bci\u0105, np. wprowadzenie obs\u0142ugi nowych format\u00f3w danych wymaga zmiany specyfikacji protoko\u0142\u00f3w. Z uwagi na to opracowano protoko\u0142y XML drugiej generacji, kt\u00f3rej przedstawicielem jest protok\u00f3\u0142 SOAP.<\/p><\/blockquote>\n<p style=\"text-align: right;\">\u017ar\u00f3d\u0142o: Wikipedia<\/p>\n<p style=\"text-align: left;\">Jak mo\u017cna przeczyta\u0107 w definicji protoko\u0142u XML-RPC, s\u0142u\u017cy on do wywo\u0142ywania zdalnego poszczeg\u00f3lnych procedur (w omawianym przypadku do publikowania na WordPressie). Dla pozycjonera, jest to rozwi\u0105zanie idealne, dla hakera to luka, pozwalaj\u0105ca dobra\u0107 si\u0119 do naszej strony.<\/p>\n<p style=\"text-align: left;\"><strong>Zabezpieczenie WordPress przed DDoS z pomoc\u0105 CloudFlare<br \/>\n<\/strong><\/p>\n<p style=\"text-align: left;\">W du\u017cej cz\u0119\u015bci atak\u00f3w DDoS pomo\u017ce nam CloudFlare, kt\u00f3re kolejkowa\u0107 i filtrowa\u0107 b\u0119dzie ruch do naszej strony poprzez prost\u0105 konfiguracj\u0119 serwer\u00f3w DNS domeny, pod kt\u00f3r\u0105 podpi\u0119ty zosta\u0142 blog. CloudFlare maskuje nasze prawdziwe serwery DNS na ich w\u0142asne. To ich serwery DNS b\u0119d\u0105 widoczne przy sprawdzaniu domeny w bazie WhoIS. CloudFlare posiada plany darmowe i p\u0142atne, przy tych rozszerzonych &#8211; p\u0142atnych &#8211; CF umo\u017cliwia nam wi\u0119ksz\u0105 konfiguracj\u0119 i skuteczniejsz\u0105 ochron\u0119 naszej strony WWW.<\/p>\n<p style=\"text-align: left;\">CloudFlare korzysta dla nas z CDN (<em><b>Content delivery network<\/b> (ang. CDN) &#8211; du\u017cy rozproszony system dostarczania tre\u015bci do wielu centr\u00f3w danych i punkt\u00f3w wymiany ruchu w Internecie. Celem CDN jest udost\u0119pnianie zawarto\u015bci o wysokiej dost\u0119pno\u015bci i wydajno\u015bci ko\u0144cowym u\u017cytkownikom.<\/em> &#8211; Wikipedia). CDN, pozwala na szybsze dostarczanie contentu u\u017cytkownikowi ko\u0144cowemu, co wp\u0142ywa pozytywnie na weryfikacj\u0119 naszej witryny przez wyszukiwark\u0119 Google (skr\u00f3cone czasy \u0142adowania si\u0119 poszczeg\u00f3lnych podstron) oraz zabezpiecza nas przed atakami, o czym mowa w tym artykule. Dzieki przekierowaniu DNS\u00a0 oraz korzystaniu z CDN, CloudFlare jest rozwi\u0105zaniem, kt\u00f3re nawet w swojej darmowej wersji pomo\u017ce nam uchroni\u0107 si\u0119 od atak\u00f3w DDoS. Jedynym minusem, kt\u00f3ry zauwa\u017cymy w przypadku, gdy trwa\u0107 b\u0119d\u0105 ataki lub CF uzna nas za potencjalne zagro\u017cenie to wy\u015bwietlenie komunikatu o tym, \u017ce serwis aktualnie sprawdza nasz\u0105 przegl\u0105dark\u0119 przed domniemanym atakiem DDoS a sam\u0105 stron\u0119 docelow\u0105 zobaczymypo kilku sekundach. Czy to minus? Dla niecierpliwych pewnie tak, jednak trzeba przyzna\u0107, \u017ce gra jest warta \u015bwieczki.<\/p>\n<p style=\"text-align: left;\">Informacja o CF i jego zastosowaniu czy DDoS lub te\u017c zastosowaniu i nieszczelno\u015bci protoko\u0142u XML-RPC nie jest niczym nowym. Sam stosuj\u0119 w wi\u0119kszo\u015bci swoich WordPress\u00f3w CloudFlare z powodzeniem od kilku lat i polecam to rozwi\u0105zanie wszystkim tym, kt\u00f3rzy chc\u0105 bra\u0107 sprawy we w\u0142asne r\u0119ce i zamierzaj\u0105 traci\u0107 czas na testy dziesi\u0105tek wtyczek zabezpieczaj\u0105cych WP przed tego typu atakami.<\/p>\n<p style=\"text-align: left;\">\n","protected":false},"excerpt":{"rendered":"<p>Z roku na rok coraz cz\u0119\u015bciej posiadacze blog\u00f3w na WordPressie skar\u017c\u0105 si\u0119 na nasilaj\u0105ce si\u0119 ataki DDoS (ataki ddos na wordpress). W sieci trwaj\u0105 dyskusje, w kt\u00f3rych blogerzy, pozycjonerzy i webmasterzy szukaj\u0105 luk na swoich stronach internetowych.<\/p>\n","protected":false},"author":1,"featured_media":120,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[218],"tags":[143,144,145,146],"class_list":["post-313","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-archiwum","tag-atak","tag-cloudflare","tag-ddos","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/piotrgabriel.pl\/wiki\/wp-json\/wp\/v2\/posts\/313","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/piotrgabriel.pl\/wiki\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/piotrgabriel.pl\/wiki\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/piotrgabriel.pl\/wiki\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/piotrgabriel.pl\/wiki\/wp-json\/wp\/v2\/comments?post=313"}],"version-history":[{"count":0,"href":"https:\/\/piotrgabriel.pl\/wiki\/wp-json\/wp\/v2\/posts\/313\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/piotrgabriel.pl\/wiki\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/piotrgabriel.pl\/wiki\/wp-json\/wp\/v2\/media?parent=313"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/piotrgabriel.pl\/wiki\/wp-json\/wp\/v2\/categories?post=313"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/piotrgabriel.pl\/wiki\/wp-json\/wp\/v2\/tags?post=313"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}