Как настроить сервер с WordPress под высокую нагрузку и DDOS?

Question

[Дмитрий]

Имеется выделенный сервер с Plesk Panel:
Intel Core i7-2600 Quad Core
32 ГБ DDR3 RAM
2x 3 ТБ SATA III HDD

На сервере стоит PHP 7.3, работающий на Apache+FPM+Nginx. Можно включить чистый NGINX, но очень не хочеться постоянно возиться с ручной конфигурацией для всех WordPress (на сервере установлено множество WordPress сайтов и нужно чтобы работало .htaccess и все плагины зависимые от них). В WordPress установлен и настроен W3TotalCache.

Суть проблемы: под обычной нагрузкой все летает, даже при большой посещаемости. Но на сайты переодически происходит DDOS атака от конкурентов, как я понимаю с бот-нет сетей контролируемая вручную - как только я нахожу способ заблокировать текущий вариант атаки, они меняют ее на другой.

На сервере настроен fail2ban правила в котором я переодически меняю, чтобы подстроиться под изменяющуюся атаку.

Сейчас сайты находятся на старом сервере с примерно таким же железом, но более старым софтом (Apache FCGI, PHP5, без Nginx):

Заблокировать обычные попытки "долбежки" с одних и тех же ip легко с помощью fail2ban, но атаки переходят во все более изощренные:
1) Начинает долбить рандомные запросы к несуществующим страницам в WordPress, а так как это не дает 404 ошибок (WordPress пытается найти такие статьи и генерирует свою 404 страницу), то никакой кеш тут не помогает - каждый запрос генерирует новое кеширование. Пример запросов (десятки в секунду):
domain.com/DSADAJKFJASFJASFLKJ
2) IP меняются постоянно, практически перестали использовать повторы (каждый новый запрос с нового IP).
3) Рефереры были фейковые (все разные), бывают используют пустой, после того как те стали банится моими настройками.
4) Бывает долбят просто какую-то страницу с запросом (к примеру сортировка товаров по рейтингу).
5) Долбят /wp-admin/admin-ajax.php POST/GET запросами - это сильно вешает сервер. Заблокировать полностью файл не могу, так как frontend использует запросы на него от реальных посетителей. Получается заблочить через .htaccess если используют пустой реферер. Если нет - непонятно как отличий от нормальных пользователей.
6) Домен подключен к Cloudflare, но как я понял с такими типами атак (где все ip разные и определить что действия сомнительные трудно) он не особо поможет.

Собственно вопрос - как я понимаю настроить бан для таких атак автоматически очень сложно (тем более как только они видят что идет бан - тут же меняют запросы, рефереры и т.д.), поэтому возникает другой запрос - как правильно сконфигурировать и настроить новый сервер (куда я перенесу сайты со старого где сейчас атаки), чтобы такие атаки не вешали сервер, и он даже под ними работал нормально? Как я понимаю PHP7 и Apache FPM и NGINX должны с этим помочь? Что еще посоветуете установить и настроить? (Аккселераторы к PHP, базам данных?) Сильно ли поможет переход на чистый NGINX без Apache?

Какие настройки Apache/Nginx стоит указать (лимиты подключений и тд) - чтобы сервак не падал и у всех все работало? (не было 503/502 ошибок).

Сами сайты которые атакуют после создания практически не обновляются новой информацией (поэтому полное глубокое кеширование возможно), но имеют некоторые динамические функции (к примеру лайки публикаций), которые должны оставаться работать.

Подскажите какие программные связки стоит использовать чтобы сделать все это шустрым несмотря на нагрузку? Хватит ли указанного железа сервера?

Comments

[lamer350]

Я думаю для начала стоит все же определится Apache у вас или Nginx. Или у вас сразу оба стоят? но все же оба управлять одним сайтом они точно не могут.
Если у вас работа выполнена единожды и больше не меняются страницы, я бы просто собирал базу реальных страниц и делал проверку на существование по базе до генерации страниц и отправлял бы 404 если такой страницы нет.

[lamer350]

В Cloudflare есть настройка когда сайт переводится в боевой режим и до открытия сайта есть 5 секундная задержка которая по многим факторам определяет кто делает запрос - бот или человек. Есть режим где принудительно нужно проходить рекапчу перед посещением сайта.

Answer 1

[EvgenyMorozov]

На вашем месте я бы полностью перешел на Nginx + php-fpm.
На nginx можно ограничить количество запросов в секунду к сайту с помощью этого модуля, также с помощью Nginx можно жестко закешировать страницы, и еще можно ограничить доступ с нежелательных ip-адресов (допустим из Африки, Китая и других ненужных стран).

Comments

[Дмитрий]

Проблема в том что нужные страны могут быть любые (и Азия с Китаем в том числе). Как я понимаю ограничение запросов в секунду не поможет, так как IP все разные? А если ограничивать запросы в секунду в целом - то заблокируется и доступ обычным пользователям, кто зайдет в тоже время?

Answer 2

[Дмитрий]

если сайт позволяет, настройте более агрессивное кэширование. Отдавайте все как статику хотя бы во время атак.
Это можно сделать как плагинами (например тот же Wp Super Cache), так настройками nginx.

Ниже советы, как если б вы уже настроили все на отдачу статикой.

1) Начинает долбить рандомные запросы к несуществующим страницам в WordPress, а так как это не дает 404 ошибок (WordPress пытается найти такие статьи и генерирует свою 404 страницу), то никакой кеш тут не помогает - каждый запрос генерирует новое кеширование. Пример запросов (десятки в секунду):
domain.com/DSADAJKFJASFJASFLKJ

а зачем вы кэшируете такие страницы по отдельности?
отдавайте одну статическую 404ю страницу для всех несуществующих страниц

5) Долбят /wp-admin/admin-ajax.php POST/GET запросами - это сильно вешает сервер. Заблокировать полностью файл не могу, так как frontend использует запросы на него от реальных посетителей. Получается заблочить через .htaccess если используют пустой реферер. Если нет - непонятно как отличий от нормальных пользователей.

несколько вариантов:
1 добавить nounce (и сделать, чтоб оно работало корректно с кэшированными страницами)
2 перестать использовать admin-ajax.php на фронте. заменить на REST API/кастомный эндпоинт.
да это будет не по стандартам WP и потребует некоторой переделки кода/плагиов, но это будет более производительно, хотя бы за счет срабатывания несколько другого набора хуков у рест апи (rest api vs ajax). Плюс запросы к стандартному admin-ajax слабо кэшируются
а с кастомным эндпоинтом вообще можно только нужные части движка подгружать

6) Домен подключен к Cloudflare, но как я понял с такими типами атак (где все ip разные и определить что действия сомнительные трудно) он не особо поможет.

как минимум, оставьте только нужные вам страны, остальные блокируйте.
во время атаки выкрутите Basic Protection Level в максимальный режим (не помню, с какого тарифного плана это доступно)

Comments

[Дмитрий]

WordPress так кеширует 404 страницы (ведь пока страницу не открыли не ясно что она 404 - WordPress через mod_rewrite начинает искать есть ли пост с таким названием - ведь он может быть, так как это ЧПУ). До запроса к WordPress к БД никто не знает есть ли такая страница.

Пока тестирую бесплатный Cloudflare тариф, так как пока не совсем понимаю чем именно он помогает и как. Он автоматом должен не пускать тех кто пытается кучу раз сделать запросы с одних ip, или их все равно пропустит? Может ли он частично заменить fail2ban правильно фильтруя траффик, или он по другому работает? (имеет какие-то блек листы и по ним проверяет или как).

[Дмитрий]

Дмитрий,
1 так я ж написал - советы пишу, как если б отдавалась статика.
если на стороне сервера не получается, можно плагинами https://ru.wordpress.org/plugins/simply-static/
или есть сервисы https://www.hardypress.com/
Хотя бы на время атак такое включать.

2. https://support.cloudflare.com/hc/en-us/articles/2...

[Дмитрий]

Дмитрий,

ведь пока страницу не открыли не ясно что она 404 - WordPress через mod_rewrite начинает искать есть ли пост с таким названием - ведь он может быть, так как это ЧПУ

другими словами напишу)
на случай атаки считаем, что все, что у нас есть в кэше, это и есть все страницы, остальных страниц нет
возвращаем только статичный кэш
для всех остальных страниц отдаем статичную 404

это колхоз, но дешево, сердито и работает.

затем 404ю можно кэшировать плагинами
1 https://premium.wpmudev.org/blog/wp-content/upload...
2 wpsupercache_404 returns false by default but have it return true to cache 404 pages.
https://odd.blog/wp-super-cache-developers/

но правильнее будет настроить клаудфлеер на более параноидальный режим работы во время атаки.

Answer 3

[Владимир]

Посмотрите в сторону haproxy как фронтенда - там есть очень гибкий язык ACL который позволяет делать всевозомжные рейтлимиты, сброс неактивных конекшенов и тд, увернн что как минимум часть атак он вам поможет отбить.

Answer 4

[Станислав Бодро́в]

Суть проблемы: под обычной нагрузкой все летает, даже при большой посещаемости. Но на сайты переодически происходит DDOS атака от конкурентов, как я понимаю с бот-нет сетей контролируемая вручную - как только я нахожу способ заблокировать текущий вариант атаки, они меняют ее на другой.

На сервере настроен fail2ban правила в котором я переодически меняю, чтобы подстроиться под изменяющуюся атаку.

Сейчас сайты находятся на старом сервере с примерно таким же железом, но более старым софтом (Apache FCGI, PHP5, без Nginx):.....

Не надо лепить лыжи из соломы. Становись под защиту. Похлеще чем у тебя атаки сдерживают.