Как защититься от DDOS-атаки запросом к al_profileEdit.php на WordPress-сайт?

Question

[Дмитрий]

Добрый день, коллеги. Нужна ваша помощь.

Есть сайт на shared-хостинге и CMS WordPress.

Если я правильно понимаю, то на сайт ведётся DDOS-атака, — каждый день в логах появляются по несколько десятков однотипных запросов в минуту, которые сильно нагружают сервер.

Первый выглядит так:

178.129.92.121 - - [02/Apr/2016:18:40:52 +0300] "GET /al_profileEdit.php?__query=edit&al=-1&al_id=vk HTTP/1.0" 403 2862 "mysite.ru/category/post.html" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.110 Safari/537.36"

Второй немного отличается хвостом после al_profileEdit.php и выглядит так:

178.129.92.121 - - [02/Apr/2016:18:40:52 +0300] "GET /al_profileEdit.php?__query=edit&act=contacts&al=-1&al_id=vk HTTP/1.0" 403 2862 "mysite.ru/category/post.html" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.110 Safari/537.36"

Где:
— mysite.ru/category/post.html — моё условное обозначение URL'а, к которому обращается злоумышленник. Скорее всего, в качестве статьи-жертвы выбрана просто самая «тяжёлая»;
— вместо 403 бывает и 404;
— вместо 2862 бывают другие значения, например, 2892 или 30392.

Никакого al_profileEdit.php на моём сайте нет. В результатах выдачи поисковых систем этот файл связывают с социальной сетью ВКонтакте.

Атака ведётся каждый день с разных IP-адресов, вот некоторые из них:
109.187.175.241
109.187.180.170
178.129.26.148
178.129.92.121

Вопрос

Как защититься от такой атаки?
Может быть, можно добавит какой-нибудь код в .htaccess, чтобы запретить запросы такого вида? Или есть другие способы?

P. S. Есть ещё мысль, что это — не атака, а попытка какого-то парсера или бота-спамера как-то взаимодействовать с виджетом ВКонтакте, расположенном на сайте. Или всё же атака, но как-то связанная с этим виджетом.

Comments

[Андрей]

mysite.ru/category/post.html - это разве не реферер?

[Дмитрий]

Андрей: Да, это реферер — статья на моём сайте. Я ссылку переименовал для примера, чтобы сайт не светить. Его тоже можно как-то использовать, чтобы защититься от атаки?

Answer 1

[Андрей]

Нагрузка от того, что ваш вордпресс обрабатывает эти запросы, поэтому нужно перенаправить эти запросы, минуя вордпресс:

а) в .htaccess запретить доступ с этих подсетей IP - часть ботов сразу отсеится

б) в .htaccess сделать 301 редирект с al_profileEdit.php на IP бота
или
в) создать пустой файл al_profileEdit.php

Comments

[Дмитрий]

Спасибо за ответ, Андрей.
а) Сначала так и делал, но IP-адреса постоянно меняются, поэтому это не вариант.
б) Сейчас сайт «поселился» за Сloudflare, поэтому реальных IP злоумышленника я уже не получаю, и посему редиректить запросы попросту некуда.
в) Создал. Но мне кажется, что всё равно нельзя допускать выполнение этих запросов из-за тяжёлого реферера, поэтому напридумывал (по-другому не скажешь) два варианта:

1. Запретить доступ к файлу al_profileEdit.php через .htaccess таким кодом:

order allow,deny
deny from all

2. Запретить выполнение этих GET-запросов таким кодом:
RewriteEngine On
RewriteCond %{QUERY_STRING} al_id=vk [NC]
RewriteRule ^.*$ - [R=503,L]

Вчера на полдня оставил работать второй вариант. Сегодня письмо от хостера о превышении лимита нагрузки на процессор, наконец-то, не получил. Но, возможно, что только потому, что первую половиду дня прятался за Сloudflare, который в режиме атаки не пропускал ни один подобный запрос.

P. S. Я вообще дилетант во всех этих делах, поэтому возможно, где-то написал чушь:).