itdriver
@itdriver
Веб-мастер

Как защититься от DDOS-атаки запросом к al_profileEdit.php на WordPress-сайт?

Добрый день, коллеги. Нужна ваша помощь.

Есть сайт на shared-хостинге и CMS WordPress.

Если я правильно понимаю, то на сайт ведётся DDOS-атака, — каждый день в логах появляются по несколько десятков однотипных запросов в минуту, которые сильно нагружают сервер.

Первый выглядит так:

178.129.92.121 - - [02/Apr/2016:18:40:52 +0300] "GET /al_profileEdit.php?__query=edit&al=-1&al_id=vk HTTP/1.0" 403 2862 "mysite.ru/category/post.html" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.110 Safari/537.36"

Второй немного отличается хвостом после al_profileEdit.php и выглядит так:

178.129.92.121 - - [02/Apr/2016:18:40:52 +0300] "GET /al_profileEdit.php?__query=edit&act=contacts&al=-1&al_id=vk HTTP/1.0" 403 2862 "mysite.ru/category/post.html" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.110 Safari/537.36"

Где:
mysite.ru/category/post.html — моё условное обозначение URL'а, к которому обращается злоумышленник. Скорее всего, в качестве статьи-жертвы выбрана просто самая «тяжёлая»;
— вместо 403 бывает и 404;
— вместо 2862 бывают другие значения, например, 2892 или 30392.

Никакого al_profileEdit.php на моём сайте нет. В результатах выдачи поисковых систем этот файл связывают с социальной сетью ВКонтакте.

Атака ведётся каждый день с разных IP-адресов, вот некоторые из них:
109.187.175.241
109.187.180.170
178.129.26.148
178.129.92.121

Вопрос

Как защититься от такой атаки?
Может быть, можно добавит какой-нибудь код в .htaccess, чтобы запретить запросы такого вида? Или есть другие способы?

P. S. Есть ещё мысль, что это — не атака, а попытка какого-то парсера или бота-спамера как-то взаимодействовать с виджетом ВКонтакте, расположенном на сайте. Или всё же атака, но как-то связанная с этим виджетом.
  • Вопрос задан
  • 604 просмотра
Пригласить эксперта
Ответы на вопрос 1
@AndreyMyagkov
Нагрузка от того, что ваш вордпресс обрабатывает эти запросы, поэтому нужно перенаправить эти запросы, минуя вордпресс:

а) в .htaccess запретить доступ с этих подсетей IP - часть ботов сразу отсеится

б) в .htaccess сделать 301 редирект с al_profileEdit.php на IP бота
или
в) создать пустой файл al_profileEdit.php
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы