<b>DDoS-защита арбитражного сайта: чек-лист без лишней магии</b>
Первый слой — CDN перед origin. Cloudflare, Bunny или аналог должны принимать весь публичный трафик, а не только статику. Закрой прямой доступ к VPS: origin-IP не светим в DNS, а на сервере разрешаем вход только с IP CDN. Иначе атакующий просто обходит защиту.
Второй слой — лимиты на уровне edge и сервера. Для Cloudflare включи WAF, rate limiting на логин, формы и поиск, а ещё challenge для подозрительных ASN, стран и пустых user-agent. На Nginx/Apache ставь лимит соединений и запросов, чтобы бот-сетка не съела CPU и RAM раньше кеша.
Третий слой — сайт должен переживать всплеск без PHP на каждом запросе. Статика, page cache, отдельный health-check URL без тяжёлых плагинов, отключённый XML-RPC, минимальный набор форм и комментариев. Чем меньше динамики, тем меньше точек для дешёвого flood-атаки. Для WordPress это особенно критично: тяжелые плагины DDoS не остановят, но урон усилят.
Четвёртый слой — план реакции. Должны быть заранее готовы: правило на блок страны/ASN, временное усиление challenge, выключение дорогих эндпоинтов, переключение DNS на запасной origin и список контактов хостинга. Логи сохраняй отдельно, иначе после атаки не поймёшь, где был вход.
Если у сайта нет CDN, кеша и лимитов — DDoS лечится не «мощностью», а архитектурой. Сделай так, чтобы 90% мусора отваливалось на edge, а сервер видел только очищенный трафик.
Webmaster Stack — хостинг, CDN, безопасность
@webmaster_stack
<b>DDoS-защита арбитражного сайта: чек-лист без лишней магии</b>
Этот пост опубликован в Telegram-канале Webmaster Stack — хостинг, CDN, безопасность. Подписаться можно по ссылке: @webmaster_stack.