¿Cómo prevenir ataques DDoS en WordPress?

Cualquier tipo de ataque, ya sea físico o digital, es peligroso. Sin embargo, con la pandemia en pleno apogeo en muchos países y la explosión de negocios en línea, los ataques digitales son cada vez más frecuentes y amenazantes. Algunos de los más comunes y peligrosos son Ataques DDoS. Entonces, en esta guía, te mostraremos cómo prevenir ataques DDoS en su sitio de WordPress.

¿Qué son los ataques DDoS?

Antes de saltar sobre cómo prevenir los ataques DDoS (denegación de servicio distribuida), primero comprendamos qué son. Simplemente poner, un ataque DDoS es un tipo de ataque de denegación de servicio (DoS) que involucra muchos dispositivos en línea conectados que los piratas informáticos utilizan para abrumar los servidores de un sitio web con tráfico falso.

En los ataques DDoS, estas máquinas y servidores conectados lanzan ataques por separado pero al mismo tiempo, lo que les permite pasar desapercibidos durante algún tiempo antes de ser bloqueados. Con esta táctica, pueden intensificar fácilmente el impacto de estos ataques, ralentizando y finalmente bloqueando el servidor al que apuntan.

Algo interesante sobre Los ataques DDoS es que no intente violar y acceder a su servidor directamente. En cambio, su objetivo es hacer que el sitio web y los servidores se bloqueen durante un cierto tiempo para que los usuarios no puedan acceder a ellos. Sin embargo, los ataques DDoS se pueden utilizar como cobertura para violar la seguridad del servidor.

Entonces, ¿qué sucede si es víctima de un ataque DDoS? Si los piratas informáticos han bloqueado con éxito su servidor, es posible que tenga problemas. Puede costarle miles de dólares recuperar su sistema, sin mencionar otros gastos como el ancho de banda. Más importante aún, el ataque cobrará peaje en su tráfico, reputación y resultados de ventas.

¿Son comunes los ataques DDoS?

Sí, lo son. De hecho, los ataques DDoS son cada vez más comunes. Según estudios recientes, actualmente existen 16 ataques DDoS cada 60 segundos! Y solo en 2019, hubo más de 8.4 millones de ataques DDoS en todo el mundo.

Por lo tanto, para evitar todos estos problemas, es de suma importancia prevenir ataques DDoS en su sitio de WordPress. En esta guía, le mostraremos qué hacer para evitarlos y mantener su sitio web seguro.

¿Cómo prevenir ataques DDoS en WordPress?

Estas son algunas ideas para prevenir ataques DDoS en WordPress y evitar que los piratas informáticos afecten a su sitio.

  1. Bloquear el acceso a wp-login.php
  2. Activar un WAF
  3. Supervisar el tráfico del sitio web
  4. Restringir el acceso al área de wp-admin
  5. Activar bloqueo de país
  6. Deshabilitar la API de ataque DDoS
    1. API XML RPC
    2. API REST
  7. Actualice WordPress con regularidad

1. Bloquear el acceso a wp-login.php

los wp-login.php file es una de las rutas más comunes que utilizan los piratas informáticos para ataques DDoS en WordPress. Por ejemplo, en QuadLayers, bloqueamos el acceso al wp-login.php archivos más de 250 veces al día!

Si usa un servicio como Cloudflare, puede comprobar cuántas veces alguien ha intentado acceder a su wp-login.php archivos. Y se sorprenderá de lo alto que es ese número. Por lo tanto, bloquear el acceso a esos archivos es una de las mejores formas de prevenir ataques DDoS en WordPress.

La mayoría de los servicios de seguridad ofrecen diferentes opciones para bloquear el acceso a wp-login.php. Usamos Cloudflare, por lo que le mostraremos cómo bloquear ataques a los archivos wp-login.php con este servicio. El plan gratuito de Cloudflare le permite configurar hasta 5 reglas para que pueda hacerlo sin gastar dinero.

En el tablero, vaya a Cortafuegos> Reglas de cortafuegos> Crear una regla de cortafuegos. Asigne un nombre a la regla y complete los espacios en blanco con la siguiente información:

Cómo prevenir ataques DDoS en WordPress - Wp-admin.php

  • Campo: Ruta de URI
  • Operador: contiene
  • Valor: /wp-login.php

Alternativamente, puede copiar y pegar el siguiente código en la sección Vista previa de expresión:

(http.request.uri.path contains "/wp-login.php")

Haga clic en el Salvar botón y ya está todo listo.


2. Activate a WAF

 

WAF is short for Web Application Firewall and serves as another layer of protection for your website. It guards your site against hazardous traffic by using a smart algorithm to identify and block seemingly malicious requests. This way, it allows you to only receive good traffic.

 

There are many WAF solutions to choose from. Before deciding which one you will use, check if the protection is suitable for your site as well as price and ease of use. Having used a couple of these over the years, we highly recommend Sucuri. It has a free plugin and a couple of pro plans that start at 199 USD per year for a single site. Cloudflare is also an excellent choice. It offers a free plugin and pro plans with DDoS attack mitigation for 20 USD per month.

 

Additionally, we recommend you follow some security tips to improve your site’s overall protection against all types of malware.

 

3. Supervise Website Traffic

 

A great surge in traffic doesn’t necessarily mean good news. Although not always, DDoS attacks are usually in the form of a huge amount of traffic. These volumetric attacks are network-based and are sometimes mistaken for new visitors. So, if you see tons of new visitors coming to your website, check whether it is new users or someone trying to take your site down.

 

The best solution for this is to install monitoring tools and have them check your logs and alert you if the number of requests/visitors suddenly increases. This way, you will prevent DDoS attacks on your WordPress site.

 

So to differentiate between new visitors and DDoS attacks, you may want to pay attention to:

 

    • Source of traffic: Does your traffic come from the region you target? If you target local customers, for example, but receive huge traffic from overseas, then there’s something weird going on.

 

    • Time of traffic: If you witness a surge of visits at 3:00 AM local time, then it might be the attacks as well.

 

    • Your business’s characteristics: Take into account your business type as well. If you sell swimwear and beachwear, for instance, a surge of visitors during the summer is normal.

 

Please note that Google bots and other search engine crawlers sometimes do make suspicious requests to your website. Mind the difference between them to make sure you will block DDoS attacks, not the bots.

 

4. Restrict access to the wp-admin area

 

You should be the only one who can get access to the wp-admin area as this is where you control all the most important activities in WordPress. However, when restricting access to the wp-admin area, make sure not to include certain files such as /wp-admin/admin-ajax.php and /wp-admin/theme-editor.php that are used by plugins and themes and need to access the wp-admin area from the outside. Additionally, you can exclude your IP and when the referrer comes from your website.

 

If you’re using a security service, this shouldn’t be hard to configure. In our case, this is how we did it using Cloudflare:

 

In the dashboard, go to Firewall > Firewall Rules > Create a Firewall rule. After naming the rule, fill in the blanks with the following information:

 

Cómo prevenir ataques DDoS en WordPress - área de WP-admin

 

    • Field: URI Path

 

    • Operator: contains

 

    • Value: /wp-admin/

 

[AND]

 

    • Field: URI Path

 

    • Operator: does not contain

 

    • Value: /wp-admin/admin-ajax.php

 

[AND]

 

    • Field: URI Path

 

    • Operator: does not contain

 

    • Value: /wp-admin/theme-editor.php

 

[AND]

 

    • Field: Referrer

 

    • Operator: does not contain

 

    • Value: quadlayers.com

 

[AND]

 

    • Field: IP Address

 

    • Operator: does not contain

 

    • Value: 182.189.59.210

 

Otherwise, you can just click Edit expression and paste the following code:

 

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php" and not http.referer contains "quadlayers.com" and ip.src ne 182.189.59.210)

5. Activar bloqueo de país

Al igual que el firewall de un sitio web, el bloqueo de país es un tipo de bloqueo geográfico que sirve para minimizar el riesgo de que su sitio web sea atacado. Aunque los propietarios de sitios no pueden descartar la posibilidad de ataques DDoS mediante el bloqueo de países únicamente, es una práctica típica aumentar la protección contra los ataques cumpliendo con las políticas de la organización. Dado que se han producido una gran cantidad de ciberataques de algunos países en los últimos tiempos, podría considerar bloquearlos para que no interactúen con su sitio web.

Como uno de los complementos de seguridad que permite un fácil bloqueo de países, Sucuri es una excelente opción para esto.

6. Deshabilite las API de ataques DDoS

El principio de este método es deshabilitar varias API para que los piratas informáticos no puedan usarlas para lanzar ataques hacia su sitio de WordPress. Normalmente, estas API son las puertas de enlace para que los complementos y servicios de terceros se integren en un sitio web. Sin embargo, los piratas informáticos a menudo los explotan para lanzar ataques DDoS o de fuerza bruta.

Hay dos API que debería considerar deshabilitar:

6.1) API XML RPC

Esta API ayuda a las aplicaciones de terceros a interactuar con su sitio, especialmente para usar la aplicación de WordPress en su teléfono móvil. La mala noticia es que es uno de los objetivos de ataque DDoS más comunes. Por lo tanto, si la mayoría de sus usuarios no usa la versión móvil de WordPress, puede considerar deshabilitar esta API para evitar ataques DDoS.

Para desactivar la API XML RPC y bloquear todas sus solicitudes, simplemente agregue el siguiente código a su sitio web .htaccess expediente.

# Block all the WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
deny from all
</Files>

6.2) API REST

Otra API que se puede desactivar para prevenir ataques DDoS en WordPress es la API REST. Esta API permite a los complementos y herramientas de terceros acceder a los datos de WordPress, así como modificar y eliminar contenido. La forma más sencilla de desactivar esta API es descargar la API Disable WP Rest complemento gratuito.

Después de descargarlo, actívelo y estará listo. La herramienta funcionará de inmediato y deshabilitará la API REST para todos los usuarios que no hayan iniciado sesión sin ninguna configuración adicional.

7. Actualice WordPress con regularidad

La actualización regular de WordPress no solo evita los ataques DDoS, sino que también protege su sitio web contra muchos otros tipos de ataques y hacks. Por eso es importante que actualice periódicamente:

  1. Instalación, temas y complementos de WordPress
  2. Versión de PHP en el servidor
  3. Apache, MySQL y SO
  4. Cualquier otro script y software

¿Qué hacer si está bajo un ataque DDoS en WordPress?

Aunque puede prepararse con anticipación e intentar prevenir ataques DDoS en WordPress, ¿qué debe hacer si está siendo atacado? Estas son las respuestas inmediatas que debe realizar durante un ataque DDoS:

1. Informe a su equipo

Trabajar juntos cuando golpea una crisis les dará el máximo poder. Cuando esté bajo un ataque DDoS, asegúrese de alertar a los miembros de su equipo para que estén al tanto de lo que sucede y lo ayuden con las contramedidas.

2. Notifique a sus clientes

Esto es especialmente importante si el sitio web atacado es una tienda WooCommerce, ya que los clientes no podrán iniciar sesión en su cuenta o comprar productos durante ese tiempo. No dar ningún anuncio ni explicación en un momento tan crítico podría dañar su reputación. Por lo tanto, le recomendamos que les haga saber a través de correos electrónicos o redes sociales que su sitio está sufriendo errores técnicos y que se reanudará pronto.

3. Comuníquese con su proveedor de alojamiento y seguridad.

Después de alertar a sus compañeros de trabajo y clientes, comuníquese también con su proveedor de alojamiento de WordPress. Como los atacantes podrían estar apuntando a sus sistemas, es mejor que lo sepan e incluso pueden ayudarlo con la situación. Además de eso, ponerse en contacto con su proveedor de seguridad en este momento es crucial. Como lidiar con los ataques está dentro de su profesión, pueden ayudarlo a formular respuestas de contramedidas mejores y más rápidas.

4. Implementar respuestas

Si tiene alguna contramedida lista para implementar, aquí es cuando vienen al rescate. Normalmente, las contramedidas funcionarán de inmediato tan pronto como ocurran los ataques. Es mejor si prepara esto con anticipación. Sin embargo, si no ha preparado ninguna solución de seguridad especializada, consulte a su proveedor de seguridad, ya que la mayoría ofrece respuestas de emergencia.

5. Evaluar el desempeño de las contramedidas

¡No olvide evaluar el desempeño de las contramedidas a medida que se estén llevando a cabo! ¿Son efectivos? ¿O están ganando los atacantes? De esa manera, puede ajustar sus respuestas en caso de que cualquier otro ataque se interponga en su camino. Esperemos que no sea el caso, pero es mejor prevenir que curar.

Conclusión

Con todo, los ataques DDoS son muy frecuentes en la actualidad. Cuanto más crece su sitio web de WordPress, más atractivo se vuelve para los piratas informáticos. Sin embargo, puede prevenir y estar preparado para esos ataques mediante la implementación de medidas preventivas. Los pasos mencionados anteriormente no solo lo ayudarán a prevenir ataques DDoS en WordPress, sino que también contribuirán a mantener su sitio web a salvo de ataques en general.

Pero, ¿y si ya estás bajo ataque? Que no cunda el pánico. Siga las recomendaciones mencionadas anteriormente para tratar de reducir los problemas y poner su sitio en funcionamiento lo antes posible. ¿Quiere mejorar aún más la seguridad de su sitio? ¡Consulta nuestros consejos de seguridad!

¿Tiene alguna otra táctica útil para prevenir ataques DDoS? ¡Compártelo con nosotros en la sección de comentarios a continuación!