Webmaster Stack — хостинг, CDN, безопасность

<b>DDoS-защита арбитражного сайта: чек-лист без лишней магии</b>

<b>DDoS-защита арбитражного сайта: чек-лист без лишней магии</b>

Первый слой — CDN перед origin. Cloudflare, Bunny или аналог должны принимать весь публичный трафик, а не только статику. Закрой прямой доступ к VPS: origin-IP не светим в DNS, а на сервере разрешаем вход только с IP CDN. Иначе атакующий просто обходит защиту.

Второй слой — лимиты на уровне edge и сервера. Для Cloudflare включи WAF, rate limiting на логин, формы и поиск, а ещё challenge для подозрительных ASN, стран и пустых user-agent. На Nginx/Apache ставь лимит соединений и запросов, чтобы бот-сетка не съела CPU и RAM раньше кеша.

Третий слой — сайт должен переживать всплеск без PHP на каждом запросе. Статика, page cache, отдельный health-check URL без тяжёлых плагинов, отключённый XML-RPC, минимальный набор форм и комментариев. Чем меньше динамики, тем меньше точек для дешёвого flood-атаки. Для WordPress это особенно критично: тяжелые плагины DDoS не остановят, но урон усилят.

Четвёртый слой — план реакции. Должны быть заранее готовы: правило на блок страны/ASN, временное усиление challenge, выключение дорогих эндпоинтов, переключение DNS на запасной origin и список контактов хостинга. Логи сохраняй отдельно, иначе после атаки не поймёшь, где был вход.

Если у сайта нет CDN, кеша и лимитов — DDoS лечится не «мощностью», а архитектурой. Сделай так, чтобы 90% мусора отваливалось на edge, а сервер видел только очищенный трафик.
Этот пост опубликован в Telegram-канале Webmaster Stack — хостинг, CDN, безопасность. Подписаться можно по ссылке: @webmaster_stack.
tech

Свежие посты в категории «Tech Infrastructure»

Все каналы категории →

start

Готовы запустить рекламу через сеть public.tg?

Новый оффер, продукт, GEO, кейс, событие или партнёрский запуск — соберём маршрут под задачу и отдадим медиаплан.

Telegram для медиаплана: @dumay. Быстрый тест: $20 за канал, $1000 за пакет по сети.