Een DDoS aanval op WordPress voorkomen

Een DDoS aanval op WordPress voorkomen

DDoS aanvallen zijn soms heel slim verpakt. Maar met een aantal eenvoudige maatregelen kun je het risico op een DDoS aanval op WordPress aanzienlijk reduceren. We gaan er voor het gemak even van uit dat je alle standaard veiligheidsmaatregelen al hebt genomen. Dus: https instellen, een security plugin installeren, regelmatig je site scannen op kwetsbaarheden, en zorgen dat de WordPress core, je thema’s en plugins up-to-date zijn.

Een DDoS aanval op WordPress voorkomen

API’s uitschakelen

WordPress is heel flexibel. Dat komt voornamelijk doordat je plugins van derden in je website kunt integreren en zo nieuwe features kunt toevoegen. Voor dat doel maakt WordPress API’s beschikbaar voor programmeurs. Die API’s maken het mogelijk voor plugins en diensten van derden om met WordPress te communiceren. Maar sommige van die API’s kunnen ook misbruikt worden tijdens een DDoS aanval. Om dat te voorkomen kun je ze uitschakelen.

XML RPC uitschakelen: XML-RPC maakt het mogelijk voor apps van derden om met je WordPress website te communiceren. Zo heb je XML-RPC bijvoorbeeld nodig om de mobiele WordPress apps te gebruiken. Maar als je geen mobiele app gebruikt voor het beheren van je site, dan kun je XML-RPC uitschakelen door de onderstaande code aan het .htaccess bestand van je site toe te voegen:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

WordPress REST API uitschakelen: De WordPress JSON REST API geeft plugins en tools toegang tot WordPress data. Maar je kunt deze API ook uitschakelen door de Disable WP Rest API plugin te installeren. De plugin werkt out of the box en zal simpelweg de REST API uitschakelen voor alle niet-ingelogde gebruikers.

WAF (Website Application Firewall) activeren

Hoewel je een kleine DOS aanval kunt voorkomen door handmatig IP adressen te blokkeren, is die aanpak niet heel effectief wanneer je geconfronteerd wordt met grote DDoS aanvallen op WordPress.

De makkelijkste manier om verdachte verzoeken te blokkeren is door een WAF (Website Application Firewall) te activeren. Zo’n WAF fungeert als een proxy tussen jouw website en al het binnenkomende webverkeer. Er wordt een algoritme gebruikt om verdachte verzoeken te identificeren en deze te blokkeren voordat ze de server van je website bereiken. Een goede WAF is die van Sucuri. Een alternatief is Cloudflare.

Opmerking: WAFs die op applicatie-niveau draaien zijn minder effectief tijdens een DDoS aanval. Deze blokkeren het webverkeer namelijk pas als het je server al heeft bereikt, waardoor de algehele performance van je site toch beïnvloed wordt.

Tot slot

De kans dat je geconfronteerd wordt met een DDoS aanval op je WordPress site is relatief klein. Toch is het goed om te weten wat je kunt doen om een DDoS aanval op WordPress te voorkomen. Het is uiteindelijk aan jou om te beoordelen of de hierboven genoemde maatregelen in jouw geval nodig zijn of niet.

Wil jij meer leren over Wordpress?

In de kennisbank vertellen we je alles over de belangrijkste onderwerpen

  • Snel en gemakkelijk contact met een WordPress expert
  • Ontvang als eerste nieuwtjes & leuke acties
  • Overleg met andere WordPress fans

Je WordPress vraag of probleem razendsnel opgelost met de hulp van een echte WordPress developer!

Join de grootste WordPress community van Nederland & stel je vraag via ons WordPress ticketsysteem.

Blijf op de hoogte van het laatste WordPress nieuws.

Schrijf je in voor onze wekelijkse nieuwsbrief.