In unserer letzten Fallstudie haben wir dir gezeigt, wie wir einen negativen SEO-Angriff auf Kinsta beseitigt haben. Heute werden wir dir einige Schritte und Problemlösungen zeigen, die wir unternommen haben, um einen DDoS-Angriff auf eine kleine WordPress-E-Commerce-Seite zu stoppen. DDoS-Angriffe können aus dem Nichts kommen, und kleinere Websites sind in der Regel noch anfälliger, da sie nicht bereit sind, damit umzugehen, wenn es passiert.Leseempfehlung: Wie du Cloudflare APO für WordPress einrichtest.

Beschäftigen wir uns mit folgender Frage. Wenn deine Seite morgen angegriffen würde, was würdest du tun? Wenn du keine Ideen hast, dann solltest du vielleicht ein Lesezeichen setzen und diesen Artikel lesen.

Was ist ein DDoS-Angriff?

DDoS ist die Abkürzung für Distributed Denial of Service. Der Hauptzweck eines DDoS-Angriffs besteht darin, deinen Webserver einfach zu überfordern und ihn entweder lahmzulegen oder herunterzufahren. Eines der frustrierenden Dinge bei diesen Arten von Angriffen ist im Allgemeinen, dass der Angreifer nichts gewinnt und normalerweise nichts gehackt wird (lesen: WordPress Hacked: Was tun, wenn Ihre Website in Schwierigkeiten ist).

Das große Problem bei DDoS-Angriffen ist die damit verbundene überwältigende Last. Höchstwahrscheinlich wirst du auch sehen, wie deine Bandbreite auf einen unglaublichen Betrag ansteigt, und das könnte dich Hunderte oder sogar Tausende von Dollar kosten. Wenn du auf einem billigeren oder gemeinsam genutzten Host unterwegs bist, kann dies leicht zu einer Sperrung deines Kontos führen.

Am 21. Oktober 2016 fand der größte DDoS-Angriff (DNS-bezogen) der Geschichte statt, bei dem große Unternehmen wie PayPal, Spotify, Twitter, Reddit und eBay zu Fall kamen. Einige nannten es sogar den DNS Doomsday des Internets. Da das Web weiter wächst, ist es nicht verwunderlich, dass DDoS-Angriffe mit alarmierender Geschwindigkeit zunehmen. Tatsächlich werden DDoS-Angriffe nach den Daten von easyDNS im Laufe der Zeit immer schlimmer. Für viele Websites könnte es nur eine Frage der Zeit sein, bis sie getroffen werden.

DDoS-Angriffe im Laufe der Zeit
DDoS-Angriffe im Laufe der Zeit

Hier bei Kinsta sind wir in der Regel in der Lage, mehr Angriffe abzuwehren als billigere Hosts, nur weil wir zusätzliche Sicherheitsvorkehrungen getroffen haben. Wir empfehlen jedoch auch die Verwendung von Unternehmen, die über große Infrastrukturen und Software verfügen, die speziell zur Abwehr von DDoS-Angriffen entwickelt wurden.

Wir werden uns immer dafür aussprechen, dass man die Experten das tun lässt, was sie am besten können. Cloudflare und Sucuri sind zwei, die wir für WordPress-Anwender oder jede Art von Plattform empfehlen. Die Investition in einen angemessenen DDoS-Schutz kann dir Zeit, Geld und Frustration ersparen. Wenn deine Seite auf Kinsta gehostet wird, musst du dich nicht mit der Einrichtung von Cloudflare oder Sucuri befassen. Alle Seiten, die auf Kinsta gehostet werden, sind automatisch durch unsere Cloudflare-Integration geschützt, die eine sichere Firewall mit kostenlosem DDoS-Schutz beinhaltet.

Stoppen eines DDoS-Angriffs auf eine kleine EDD-Site

In dieser Fallstudie hatten wir eine kleine WordPress E-Commerce-Seite, auf der Easy Digital Downloads lief. Die Website erzeugte in der Regel nur zwischen 30-40 MB pro Tag an Bandbreite und ein paar hundert Besuchern pro Tag. Im Juni wurde aus heiterem Himmel viel Bandbreite genutzt, ohne dass Google Analytics zusätzlichen Traffic zeigte. Die Website umfasste sofort zwischen 15-19 GB Datentransfer pro Tag! Das ist eine Steigerung von 4650%. Nicht gut. Und es ist definitiv nicht nur eine kleine Zunahme des Bot-Verkehrs. Glücklicherweise konnte der Besitzer dies in Kinsta’s Analytics schnell erkennen.

Hohe Bandbreitenauslastung auf der WordPress-Seite
Hohe Bandbreitenauslastung auf der WordPress-Seite

Nachdem man die Zunahme gesehen hatte, ging es darum, die Serverprotokolle zu überprüfen, um zu untersuchen, was geschah. Sowas kann leicht außer Kontrolle geraten. Die letzten 7 Tage zeigten, dass die /account/-Seite der Website 5.110,00 Mal angefordert wurde und insgesamt 66 GB Traffic produzierte. Und das auf einer Website, die typischerweise etwas mehr als 1 GB an Gesamtdaten in einem ganzen Monat erzeugt. So wussten wir sofort, dass etwas nicht stimmte.

Die Analyse der Top 10 Client-IPS der letzten 7 Tage auf der Website zeigte sofort einige verdächtige Aktivitäten. Viele von ihnen hatten über 10.000 Anfragen, und es gab eine Hand voll von ihnen. Denke daran, dies ist eine kleine Website, die nur ein paar tausend Anfragen insgesamt pro Monat erhalten sollte.

Top 10 Client-IPs (aus Sicherheitsgründen gesperrt)
Top 10 Client-IPs (aus Sicherheitsgründen gesperrt)

Man kann sich immer darauf verlassen, dass Google einem Daten zur Verfügung stellt. Wenn wir ein paar der Top-IPs in die Suche eintragen, konnten wir leicht erkennen, dass die meisten von ihnen alle Proxy-Adressen waren, was bedeutet, dass jemand höchstwahrscheinlich seinen Traffic verstecken wollte.

Proxy-IP
Proxy-IP

URLs ändern

Das allererste, was wir getan haben, war, die URL der /account/-Seite in etwas Anderes zu ändern. Dies ist immer eine gute erste Maßnahme. Dies stoppte den Angriff jedoch nur für kurze Zeit, bis sie die neue URL entdeckten. Denke daran, weil dies eine E-Commerce-Website ist, muss sie eine Seite mit einem öffentlichen Konto haben.

Selbstverständlich wird bei einem Blog allein das Ändern der WordPress-Login-URL und das vollständige Verstecken dieser URL viele dieser Arten von Angriffen stoppen, aber das würde in diesem Fall nicht funktionieren. Wir nennen es WordPress Security bei Dunkelheit.

Hacken oder Brute-Force-Versuche?

Eine weitere Tatsache, die du in solchen Fällen bestätigen kannst, ist, dass es sich nicht um einen Hackerversuch handelt, was hier auch nicht der Fall war. WP Security Audit Log ist ein großartiges Plugin, um schnell zu überwachen und zu sehen, ob es ungültige Anmeldeversuche auf einer Seite gibt.

Man kann auch seine Protokolle überprüfen, um zu sehen, ob es irgendwelche POST-Aktionen gibt, die in hoher Anzahl stattfinden. Dies schien ein klassischer DDoS-Angriff zu sein, bei dem sie einfach einen Haufen Traffic an einen Teil der Website senden, um zu versuchen, sie zu überlasten.

IP-Blockierung

Wenn du auf deinem eigenen Server arbeitest, wäre der nächste Schritt wahrscheinlich die Installation eines IP-Blockings- oder Firewall-Plugins wie WordFence. Für Webseiten, die auf Kinsta laufen, empfehlen wir diese Methode aus mehreren Gründen nicht.

Zunächst einmal können Sicherheits- und Firewall-Plugins einen großen Einfluss auf die Leistung haben, insbesondere auf die Scan-Fähigkeiten. Zweitens verwenden wir Load Balancer mit der Google Cloud Platform, was bedeutet, dass ihre IP-Blockingfunktionalität nicht wie beabsichtigt funktioniert.

Deshalb haben wir ein eigenes Werkzeug entwickelt. Du kannst IP-Adressen nun ganz einfach manuell mit dem IP Deny-Tool im MyKinsta Dashboard blockieren. Oder du kannst dich jederzeit an unser Support-Team wenden, da wir auch Geoblocking unterstützen.

IP Deny tool
IP Deny tool

Je nach Dauer und Umfang des Angriffs könnte dies jedoch ein endloser Prozess der Blacklistung von IPs sein, der das Problem in den meisten Fällen nicht schnell genug löst. Viele DDoS-Angriffe, wenn sie in einem Bereich blockiert werden, tauchen einfach in einem anderen auf oder ändern IPs und Proxy-Adressen. In diesem Fall ist es daher sinnvoll, eine DDoS-Lösung zu nutzen, die helfen könnte, den Prozess mit ihren bereits eingebauten Regeln, die aus jahrelang zusammengetragenen Daten zusammengestellt wurden, zu automatisieren.

Das Verschieben der Seite in den Cloudflare hat nicht geholfen

Oftmals leistet Cloudflare gute Arbeit, um grundlegenden Bot-Traffic zu stoppen, aber bei ihrem kostenlosen Plan ist ihr DDoS-Schutz nicht der beste. Tatsächlich haben wir die Seite auf Cloudflare verschoben, und es führte zu noch mehr verdächtigem Traffic, der die Seite traf. Obwohl wir denken, dass dies einfach auf den Angriff zurückzuführen ist, dass ihre Bemühungen verstärkt wurden. Wie unten zu sehen ist, stieg es auf fast 50.000 Anfragen pro Stunde an. Cloudflares CDN-Bereich funktioniert großartig, aber wenn man mehr braucht, muss man höchstwahrscheinlich bezahlen.

Cloudflare-Anfragen
Cloudflare-Anfragen

Anschließend haben wir auf der Website eine „Ratenbegrenzung“ implementiert. Die Ratenbegrenzung ermöglicht es dir, Regeln basierend auf Traffic zu erstellen, der mit einer URL übereinstimmt, und sie dann auf der Grundlage der Aktivität zu blockieren/begrenzen. Dies kann im Rahmen des kostenlosen Plans aktiviert werden und kostet $0,05 pro 10.000 Anfragen. Bei der Geschwindigkeit, mit der wir jedoch Anfragen sahen, wären es etwa 36 Millionen Anfragen pro Monat gewesen, was allein 180 Dollar pro Monat gekostet hätte. Das war also offensichtlich keine Lösung, die das Problem behebt. Und ja, wir haben alle Arten von Musterregeln ausprobiert.

IP-Ratenbegrenzung
IP-Ratenbegrenzung

Hinweis: Die Preisbegrenzung wird basierend auf der Anzahl der guten (nicht blockierten) Anfragen berechnet, die Ihren definierten Regeln auf allen deinen Websites entsprechen. Aber in diesem Fall funktionierte es nicht.

Der nächste Schritt, von dem wir wussten, dass er bereits bevorsteht, war die Untersuchung einer echten Web Application Firewall. Viele Benutzer erkennen dies nicht, aber der kostenlose Plan von Cloudflare beinhaltet dies nicht. Und das ist heutzutage fast schon notwendig, um DDoS-Angriffe zu stoppen. Die nächste Option wäre also ein Upgrade auf den Pro-Plan von Cloudflare für 20 $/Monat. Hier solltest du dir jedoch etwas Zeit nehmen und andere Lösungen von Drittanbietern vergleichen.

Vergleich von Cloudflare mit Sucuri

Unserer Meinung nach sind Cloudflare und Sucuri zwei der besten Lösungen für Web Application Firewalls, die für jede Art von Website einfach zu implementieren sind. Hinweis: Wir sind mit keinem dieser Unternehmen verbunden. Wenn du jedoch wirklich in diese hineinblickst, wirst du sehen, dass Sucuri vielleicht ein viel besserer Deal für dein Geld ist. Schauen wir es uns an, denn sie haben beide Pläne für 20 Dollar/Monat.

Cloudflare

Mit dem Pro-Plan von Cloudflare erhältst du nur Advanced DDoS Protection auf Layer 3 und 4 (lies mehr über Layer 3 und 4 DDoS-Angriffe). Dies wird helfen, TCP-SYN-, UDP- und ICMP-Angriffe auf ihren Edge-Servern automatisch zu stoppen, so dass sie nie deinen ursprünglichen Server erreichen.

Um den Schutz auf Layer 7 zu erhalten, musst du auf den 200 $/Monatsplan upgraden. Für eine sehr kleine E-Commerce-Website wären $200/Monat ziemlich teuer, zusätzlich zu ihren Hosting-Gebühren.

Leseempfehlung: Wie du Cloudflare APO für WordPress einrichtest.

Alle Seiten auf Kinsta sind mit einer kostenlosen Cloudflare-Integration ausgestattet, die ein leistungsstarkes HTTP/3-fähiges CDN und eine Firewall auf Unternehmensebene mit integriertem DDoS-Schutz umfasst. Im Gegensatz zu anderen Hosts, die exorbitante Gebühren für SSL-Zertifikate verlangen, bietet Kinsta kostenlose SSL-Zertifikate auf Unternehmensebene mit Unterstützung für Wildcard-Domains über Cloudflare.

Das Beste ist, dass du für unsere Cloudflare-Integration kein eigenes Cloudflare-Konto brauchst. Das bedeutet, dass du die Vorteile der zusätzlichen Geschwindigkeit und Sicherheit nutzen kannst, ohne dich für eine weitere monatliche Leistung anmelden und diese verwalten zu müssen.

Als Teil unserer Cloudflare-Integration speichert Edge Caching den Cache deiner Kinsta-Seite in einem der Rechenzentren des globalen Cloudflare-Netzwerks 260+.

Edge Caching ist in allen Kinsta-Plänen kostenlos enthalten, erfordert kein separates Plugin und verkürzt die Zeit, die für die Bereitstellung von gecachetem WordPress-HTML benötigt wird, um durchschnittlich mehr als 50%!

Sucuri

Mit dem 20 $/Monatsplan von Sucuri erhältst du erweiterten DDoS-Schutz auf Layer 3 und 4 sowie auf Layer 7. Dies hilft, plötzliche Änderungen im Datenverkehr automatisch zu erkennen und schützt vor POST-Fluten und DNS-basierten Angriffen, so dass sie nie deinen ursprünglichen Server erreichen. So aus dem Stegreif, bekommst du wahrscheinlich eine bessere DDoS-Minderung mit Sucuri. Und in diesem Fall brauchten wir Layer 7 für HTTP-Flood-Angriffe.

Ein HTTP-Flood-Angriff ist eine Art Layer-7-Anwendungsangriff, der die standardmäßig gültigen GET/POST-Anfragen zum Abrufen von Informationen verwendet, wie bei typischen URL-Datenabrufen (Bilder, Informationen usw.) während SSL-Sitzungen. Eine HTTP GET/POST-Flut ist eine volumetrische Attacke, die keine fehlgeleiteten Pakete, Spoofing- oder Reflexionstechniken verwendet. – Sucuri

Sucuri bietet auch Load Balancing in seinem 70 $/Monatsplan an, während Cloudflare einige Gebühren für verschiedene Aspekte seiner Load Balancing-Funktion anbietet, wie z.B. nutzungsabhängige Preise, ob man Geo-Load Balancing möchte, etc.

Beide haben ähnliche Funktionen, wie z.B. die Möglichkeit, bestimmten Seiten Herausforderungen hinzuzufügen, Blacklisting von IPs, etc. Was den DDoS-Schutz betrifft, bietet Sucuri jedoch mehr. Wir mögen auch die IP-Blacklisting-Benutzeroberfläche auf Sucuri und wie bestimmte Dinge im Vergleich zu Cloudflare eingerichtet sind.

Und denke jedoch daran, kein Unternehmen kann dir 100% DDoS-Schutz versprechen, alles, was sie tun können, ist, dir zu helfen, ihn automatisch zu reduzieren.

Verschieben der Website nach Sucuri

Die Verlagerung deiner Website nach Sucuri ist ziemlich einfach. Genau wie bei Cloudflare gibt es technisch nichts, was du installieren musst, da es als vollständiger Proxy-Dienst fungiert. Das bedeutet, dass du deinen DNS auf sie verweist, und dann zeigen sie auf deinen Host. Und im Wesentlichen befindet sich die Web Application Firewall (oder WAF) in der Mitte.

Deren Dashboard ist unserer Meinung nach nicht so auffällig oder modern wie Cloudflare, aber wenn es um eine WAF geht, solltest du dich wirklich nur darum kümmern, wie gut es funktioniert. Wie du unten sehen kannst, erkennt es im Grunde genommen deine aktuelle Hosting-IP, und sie stellen dir eine Firewall-IP zur Verfügung. Darauf verweist du dein DNS (A name record + AAAA record).

Sucuri Dashboard
Sucuri Dashboard

Man kann auf Sucuri in wenigen Minuten einsatzbereit sein. Was bei einem aktuellen DDoS-Angriff gut ist. Die einzige Wartezeit ist wirklich die DNS-Propagierung. Du bekommst auch ein HTTP/2 Anycast CDN. Es ist also mehr als nur eine Firewall. Es kann auch helfen, deine WordPress-Seite zu beschleunigen. Optional kannst du aber auch dein eigenes CDN wie KeyCDN mit Sucuri verwenden.

Es beinhaltet ein kostenloses SSL-Zertifikat mit Let’s Encrypt oder du kannst dein eigenes hochladen. Ein Nachteil ist, dass Let’s Encrypt nicht automatisiert ist, man muss also ein Ticket öffnen. Aber ihr benutzerdefinierter SSL Zertifikatsprozess ist schnell.

Ein weiterer Tipp für die Performance ist, dass du vielleicht die Option Site Caching aktivieren möchtest. Dadurch wird der Cache deines Originalservers berücksichtigt, anstatt den von Sucuri zu verwenden. Höchstwahrscheinlich hast du das Caching-Setup auf deinem WordPress Host schon nach deinen Wünschen eingerichtet.

Sucuri Seiten-Caching
Sucuri Seiten-Caching

Erweiterte Sicherheitsoptionen

Unter dem Sicherheitsbildschirm kannst du einfach den gesamten XML-RPC-Verkehr, aggressive Bots, zusätzliche Sicherheitsheader wie HSTS und vieles mehr blockieren. Hinweis: Der XML-RPC-Datenverkehr auf dieser speziellen Seite war bereits blockiert.

Erweiterte Sicherheitsoptionen von Sucuri
Erweiterte Sicherheitsoptionen von Sucuri

Echtzeit-Ansicht

Eine Sache, die uns wirklich gefällt, war die Echtzeit-DDoS-Schutzansicht. Du kannst ganz einfach dahin navigieren und ein ganzes Protokoll der aktuellen Anfragen einsehen. Man kann mit einem Klick auf die Blacklist oder Whitelist alles Verdächtige auswählen, und es wird einem sogar ein Grund genannt, falls es bereits blockiert wurde.

DDoS-Schutz in Echtzeit
DDoS-Schutz in Echtzeit

Weitere nützliche Berichte

Es gibt viele andere nützliche Berichte, wie z.B. das Diagramm der blockierten Angriffe. Auf diese Weise kannst du schnell einen Prozentsatz der Angriffstypen erkennen, die blockiert werden, einschließlich DDoS-Angriffe. Einige andere Diagramme in diesem Fenster enthalten den Datenverkehr nach Browsertyp, Geräten und HTTP-Antwortcodes.

DDoS-Schutz in Echtzeit
DDoS-Schutz in Echtzeit

Das durchschnittliche Traffic-pro-Stunde-Diagramm ist praktisch, um zu sehen, wann die Spitzenzeiten für deinen Traffic sind und wie viele Anfragen blockiert werden.

Durchschnittlicher Traffic pro Stunde
Durchschnittlicher Traffic pro Stunde

Die Tabelle Traffic nach Ländern kann dir helfen festzustellen, ob etwas von einer bestimmten Geolokalisierung kommt. Unter deren Zugangskontrolle kannst du dann mit einem einzigen Klick ein ganzes Land vorübergehend sperren.

Traffic nach Ländern
Traffic nach Ländern

Weitere Funktionen unter Zugriffskontrolle umfassen die Möglichkeit, IPs und Pfade auf die Whitelist und Blacklist zu setzen, Benutzeragenten zu blockieren, Cookies zu blockieren, HTTP-Verweiser zu blockieren und auch eine bestimmte Seite mit einem Captcha-, Zwei-Faktor- oder einfachen Passwort zu schützen.

Sucuri Zugangskontrolle
Sucuri Zugangskontrolle

Hat Sucuri unserer kleinen WordPress E-Commerce-Seite geholfen? Tatsächlich, eine Stunde nachdem das DNS mit der Verbreitung fertig war, sank die gesamte Bandbreite und die Anfragen sofort auf der Website (wie unten gezeigt) und es gab seitdem kein einziges Problem mehr. Also definitiv eine gute Investition und Zeitersparnis, wenn du auf solche Probleme stoßen solltest.

Sucuri Web Application Firewall hinzugefügt
Sucuri Web Application Firewall hinzugefügt

Und hier ist, wie die Seite eine Weile nach dem Umzug auf Sucuri sich geschlagen hat. Wie du sehen kannst, ist es jetzt wieder auf seine ursprünglichen 30-40 MB Datentransfer pro Tag heruntergefahren.

Geringe Bandbreitenauslastung
Geringe Bandbreitenauslastung

Selbst wenn du nicht angegriffen wirst, willst du vielleicht nur einen einfacheren Weg, um Bots davon abzuhalten, die Bandbreite deines Hosts zu stehlen.

Wenn du bereits andere Optionen ausprobiert hast, versuche es vielleicht bei Sucuri. Und verstehe uns nicht falsch, Cloudflare ist immer noch eine großartige Lösung für viele Websites, da wir sie den meisten unserer Kunden empfehlen. Ihre höher dotierten Pläne bei 200 $/Monat hätten höchstwahrscheinlich auch den Angriff sehr gut abgeschwächt. Es ist jedoch immer gut, über andere Lösungen da draußen Bescheid zu wissen. Vor allem, wenn man auf das Geld müssen.

Zusammenfassung

Hoffentlich geben dir die obigen Informationen einen kleinen Einblick, wie du einen DDoS-Angriff stoppen kannst. Dies ist natürlich nur eine von vielen verschiedenen Möglichkeiten, wie man die Situation angehen kann. Aber wenn bei dir bereits Panik ausgebrochen ist, kann die Umstellung auf Cloudflare oder Sucuri dich in kürzester Zeit wieder in Gang bringen. Wenn du nur versuchst, Geld bei der Bandbreite von Spam-Bots zu sparen, kann eine Firewall für Webanwendungen auch eine sehr effektive Lösung sein.

Was denkst du über Cloudflare vs. Sucuri? Und hättest du gerne diese Fallstudien mit Live-Daten gesehen? Wenn ja, lass es uns unten wissen, denn das hilft uns zu entscheiden, welche Art von Inhalten wir in Zukunft veröffentlichen sollen.

Brian Jackson

Brian hat eine große Leidenschaft für WordPress, verwendet es seit über einem Jahrzehnt und entwickelt sogar einige Premium-Plugins. Brian liebt Blogging, Filme und Wandern. Verbinde dich mit Brian auf Twitter.