WordPress es uno de los creadores de sitios web más populares del mundo porque ofrece potentes funciones y una base de código segura. Sin embargo, eso no protege a WordPress ni a ningún otro software de los ataques DDoS maliciosos, que son comunes en Internet.
Los ataques DDoS pueden ralentizar los sitios web y, finalmente, hacerlos inaccesibles para los usuarios. Estos ataques pueden dirigirse a sitios web grandes y pequeños.
Ahora, es posible que se pregunte cómo puede un sitio web para pequeñas empresas que utilice WordPress prevenir tales ataques DDoS con recursos limitados.
En esta guía, le mostraremos cómo detener y prevenir eficazmente un ataque DDoS en WordPress. Nuestro objetivo es ayudarlo a aprender cómo administrar la seguridad de su sitio web contra un ataque DDoS como un profesional total.
¿Qué es un ataque DDoS?
El ataque DDoS, abreviatura de ataque distribuido de denegación de servicio, es un tipo de ataque cibernético que utiliza computadoras y dispositivos comprometidos para enviar o solicitar datos desde un servidor de alojamiento de WordPress. El propósito de estas solicitudes es ralentizar y eventualmente bloquear el servidor de destino.
Los ataques DDoS son una forma evolucionada de ataques DoS (denegación de servicio). A diferencia de un ataque DoS, aprovechan múltiples máquinas o servidores comprometidos distribuidos en diferentes regiones.
Estas máquinas comprometidas forman una red, que a veces se denomina botnet. Cada máquina afectada actúa como un bot y lanza ataques al sistema o servidor de destino.
Esto les permite pasar desapercibidos por un tiempo y causar el máximo daño antes de que sean bloqueados.
Incluso las empresas de Internet más grandes son vulnerables a los ataques DDoS.
En 2018, GitHub, una popular plataforma de alojamiento de código, fue testigo de un ataque DDoS masivo que envió tráfico de 1,3 terabytes por segundo a sus servidores.
También puede recordar el notorio ataque de 2016 a DYN (un proveedor de servicios DNS). Este ataque obtuvo cobertura de noticias en todo el mundo, ya que afectó a muchos sitios web populares como Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit y miles de otros sitios web.
¿Por qué ocurren los ataques DDoS?
Hay varias motivaciones detrás de los ataques DDoS. A continuación se muestran algunos de los más comunes:
- Personas con conocimientos técnicos que simplemente están aburridos y les resulta aventurero
- Personas y grupos que intentan hacer un punto político.
- Grupos dirigidos a sitios web y servicios de un país o región en particular
- Ataques dirigidos a una empresa o proveedor de servicios específicos para causarles un daño monetario
- Para chantajear y cobrar el dinero del rescate
¿Cuál es la diferencia entre un ataque de fuerza bruta y un ataque DDoS?
Los ataques de fuerza bruta generalmente intentan ingresar a un sistema adivinando contraseñas o probando combinaciones aleatorias para obtener acceso no autorizado a un sistema.
Los ataques DDoS se utilizan únicamente para bloquear el sistema de destino haciéndolo inaccesible o ralentizándolo.
Para obtener más información, consulte nuestra guía sobre cómo bloquear los ataques de fuerza bruta en WordPress con instrucciones paso a paso.
¿Qué daños puede causar un ataque DDoS?
Los ataques DDoS pueden hacer que un sitio web sea inaccesible o reducir el rendimiento. Esto puede causar una mala experiencia del usuario, pérdida de negocio y los costos de mitigar el ataque pueden ascender a miles de dólares.
A continuación, se muestra un desglose de estos costos:
- Pérdida de negocio debido a la inaccesibilidad del sitio web.
- Costo de la atención al cliente para responder consultas relacionadas con la interrupción del servicio
- Costo de mitigar el ataque contratando servicios o soporte de seguridad
- El mayor costo es la mala experiencia del usuario y la reputación de la marca.
Cómo detener y prevenir un ataque DDoS en WordPress
Los ataques DDoS se pueden disfrazar inteligentemente y son difíciles de manejar. Sin embargo, con algunas de las mejores prácticas de seguridad básicas, puede prevenir y detener fácilmente los ataques DDoS para que no afecten a su sitio web de WordPress.
Estos son los pasos que debe seguir para prevenir y detener los ataques DDoS en su sitio de WordPress.
Eliminar verticales de ataque DDoS / fuerza bruta
Lo mejor de WordPress es que es muy flexible. WordPress permite que los complementos y herramientas de terceros se integren en su sitio web y agreguen nuevas funciones.
Para hacer eso, WordPress pone a disposición de los programadores varias API. Estas API son métodos en los que los complementos y servicios de WordPress de terceros pueden interactuar con WordPress.
Sin embargo, algunas de estas API también pueden explotarse durante un ataque DDoS enviando un montón de solicitudes. Puede deshabilitarlos de forma segura para reducir esas solicitudes.
Deshabilitar XML RPC en WordPress
XML-RPC permite que aplicaciones de terceros interactúen con su sitio web de WordPress. Por ejemplo, necesita XML-RPC para usar la aplicación de WordPress en su dispositivo móvil.
Si es como la gran mayoría de los usuarios que no usan la aplicación móvil, puede deshabilitar XML-RPC simplemente agregando el siguiente código al archivo .htaccess de su sitio web.
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all </Files>
Para conocer métodos alternativos, consulte nuestra guía sobre cómo deshabilitar fácilmente XML-RPC en WordPress.
Deshabilitar la API REST en WordPress
La API REST JSON de WordPress permite a los complementos y herramientas la capacidad de acceder a los datos de WordPress, actualizar el contenido y / o incluso eliminarlo. Así es como puede deshabilitar la API REST en WordPress.
Lo primero que debe hacer es instalar y activar el Deshabilitar WP Rest API enchufar. Para obtener más detalles, consulte nuestra guía paso a paso sobre cómo instalar un complemento de WordPress.
El complemento funciona de inmediato y simplemente deshabilitará la API REST para todos los usuarios que no hayan iniciado sesión.
Activar WAF (firewall de aplicaciones de sitios web)
La desactivación de vectores de ataque como REST API y XML-RPC proporciona una protección limitada contra ataques DDoS. Su sitio web sigue siendo vulnerable a las solicitudes HTTP normales.
Si bien puede mitigar un pequeño ataque de DOS tratando de detectar las direcciones IP de la máquina defectuosa y bloquearlas manualmente, este enfoque no es muy efectivo cuando se trata de un gran ataque DDoS.
La forma más fácil de bloquear solicitudes sospechosas es activando un firewall de aplicaciones de sitios web.
Un firewall de aplicaciones de sitios web actúa como un proxy entre su sitio web y todo el tráfico entrante. Utiliza un algoritmo inteligente para detectar todas las solicitudes sospechosas y bloquearlas antes de que lleguen al servidor de su sitio web.
Recomendamos usar Sucuri porque es el mejor complemento de seguridad de WordPress y el mejor firewall de sitios web. Se ejecuta en un nivel de DNS, lo que significa que pueden detectar un ataque DDoS antes de que pueda realizar una solicitud a su sitio web.
El precio de Sucuri comienza desde $ 20 por mes (pagado anualmente).
Usamos Sucuri en Themelocal. Vea nuestro estudio de caso sobre cómo ayudan a bloquear cientos de miles de ataques en nuestro sitio web.
Alternativamente, también puede usar Cloudflare. Sin embargo, el servicio gratuito de Cloudflare solo brinda protección DDoS limitada. Deberá registrarse al menos en su plan de negocios para la protección DDoS de capa 7, que cuesta alrededor de $ 200 por mes.
Consulte nuestro artículo sobre Sucuri vs Cloudflare para obtener una comparación detallada en paralelo.
Nota: Los firewalls de aplicaciones de sitios web (WAF) que se ejecutan a nivel de aplicación son menos efectivos durante un ataque DDoS. Bloquean el tráfico una vez que ya ha llegado a su servidor web, por lo que aún afecta el rendimiento general de su sitio web.
Averiguar si se trata de un ataque de fuerza bruta o DDoS
Tanto los ataques de fuerza bruta como los DDoS utilizan de forma intensiva los recursos del servidor, lo que significa que sus síntomas son bastante similares. Su sitio web se volverá más lento y puede fallar.
Puede averiguar fácilmente si se trata de un ataque de fuerza bruta o un ataque DDoS simplemente mirando los informes de inicio de sesión del complemento Sucuri.
Simplemente, instale y active el Sucuri plugin y luego vaya a Sucuri Security »Últimos inicios de sesión página.
Si está viendo una gran cantidad de solicitudes de inicio de sesión aleatorias, esto significa que su wp-admin está bajo un ataque de fuerza bruta. Para mitigarlo, puede ver nuestra guía sobre cómo bloquear ataques de fuerza bruta en WordPress.
Qué hacer durante un ataque DDoS
Los ataques DDoS pueden ocurrir incluso si tiene un firewall de aplicaciones web y otras protecciones implementadas. Empresas como CloudFlare y Sucuri se ocupan de estos ataques de forma regular, y la mayoría de las veces nunca se enterará de ello, ya que pueden mitigarlo fácilmente.
Sin embargo, en algunos casos, cuando estos ataques son grandes, aún pueden afectarlo. En ese caso, es mejor estar preparado para mitigar los problemas que puedan surgir durante y después del ataque DDoS.
A continuación se muestran algunas cosas que puede hacer para minimizar el impacto de un ataque DDoS.
1. Alerta a los miembros de tu equipo
Si tiene un equipo, debe informar a sus compañeros de trabajo sobre el problema. Esto los ayudará a prepararse para las consultas de soporte al cliente, a buscar posibles problemas y ayudar durante o después del ataque.
2. Informar a los clientes sobre las molestias.
Un ataque DDoS puede afectar la experiencia del usuario en su sitio web. Si tiene una tienda WooCommerce, es posible que sus clientes no puedan realizar un pedido o iniciar sesión en su cuenta.
Puede anunciar a través de sus cuentas de redes sociales que su sitio web está teniendo dificultades técnicas y que pronto todo volverá a la normalidad.
Si el ataque es grande, también puede utilizar su servicio de marketing por correo electrónico para comunicarse con los clientes y pedirles que sigan las actualizaciones de sus redes sociales.
Si tiene clientes VIP, es posible que desee utilizar el servicio telefónico de su empresa para realizar llamadas telefónicas individuales y hacerles saber cómo está trabajando para restaurar los servicios.
La comunicación durante estos tiempos difíciles marca una gran diferencia para mantener sólida la reputación de su marca.
3. Póngase en contacto con el soporte de seguridad y alojamiento
Póngase en contacto con su proveedor de alojamiento de WordPress. El ataque que puede estar presenciando podría ser parte de un ataque más grande dirigido a sus sistemas. En ese caso, podrán proporcionarle las últimas actualizaciones sobre la situación.
Comuníquese con su servicio de firewall y hágales saber que su sitio web está bajo un ataque DDoS. Es posible que puedan mitigar la situación aún más rápido y pueden brindarle más información.
En los proveedores de firewall como Sucuri, también puede configurar su configuración para que esté en modo Paranoid, lo que ayuda a bloquear muchas solicitudes y hacer que su sitio web sea accesible para usuarios normales.
Mantener seguro su sitio web de WordPress
WordPress es bastante seguro desde el primer momento. Sin embargo, como el creador de sitios web más popular del mundo, a menudo es el objetivo de los piratas informáticos.
Afortunadamente, existen muchas mejores prácticas de seguridad que puede aplicar en su sitio web para hacerlo aún más seguro.
Hemos compilado una completa guía de seguridad de WordPress paso a paso para principiantes. Lo guiará a través de las mejores configuraciones de seguridad de WordPress para proteger su sitio web y sus datos contra amenazas comunes.
Esperamos que este artículo le haya ayudado a aprender a bloquear y prevenir un ataque DDoS en WordPress. Es posible que también desee ver nuestra guía sobre los errores más comunes de WordPress y cómo solucionarlos.