Cómo prevenir ataques DDoS en WordPress

Con la pandemia en pleno apogeo en muchos países y la explosión de los negocios online, los ataques digitales son cada vez más frecuentes y amenazantes. Algunos de los más comunes y peligrosos son los ataques DDoS . En esta guía, le mostraremos cómo prevenir ataques DDoS en su sitio de WordPress .

¿Qué son los ataques DDoS?

Antes de saltar a cómo prevenir los ataques DDoS (Distributed Denial of Service), primero comprendamos qué son. En pocas palabras, un ataque DDoS es un tipo de ataque de denegación de servicio (DoS) que involucra muchos dispositivos en línea conectados que los piratas informáticos usan para sobrecargar los servidores de un sitio web con tráfico falso .

En los ataques DDoS, estas máquinas y servidores conectados lanzan ataques por separado pero al mismo tiempo, lo que les permite pasar desapercibidos durante un tiempo antes de ser bloqueados. Con esta táctica, pueden intensificar fácilmente el impacto de estos ataques, ralentizando y finalmente bloqueando el servidor al que apuntan.

Una cosa interesante acerca de los ataques DDoS es que no intentan violar y acceder a su servidor directamente . En cambio, su objetivo es hacer que el sitio web y los servidores se bloqueen durante un tiempo determinado para que los usuarios no puedan acceder a ellos. Sin embargo, los ataques DDoS se pueden utilizar como tapadera para violar la seguridad del servidor.

Entonces, ¿qué sucede si eres víctima de un ataque DDoS? Si los piratas informáticos bloquearon con éxito su servidor, es posible que tenga problemas. Puede costarle miles de dólares recuperar su sistema, sin mencionar otros gastos como el ancho de banda. Más importante aún, el ataque afectará su tráfico, reputación y resultados de ventas.

¿Son comunes los ataques DDoS?

Sí lo son. De hecho, los ataques DDoS son cada vez más comunes. Según estudios recientes, actualmente hay 16 ataques DDoS cada 60 segundos . Y solo en 2019, hubo más de 8,4 millones de ataques DDoS en todo el mundo.

Para evitar todos estos problemas, es de suma importancia prevenir los ataques DDoS en su sitio de WordPress . En esta guía, le mostraremos qué hacer para evitarlos y mantener su sitio web seguro.

Cómo prevenir ataques DDoS en WordPress

Estas son algunas ideas para prevenir ataques DDoS en WordPress y evitar que los hackers afecten tu sitio.

1. Bloquear el acceso a wp-login.php
2. Activar un WAF
3. Supervisar el tráfico del sitio web
4. Restringir el acceso al área de wp-admin
5. Activar bloqueo de país
6. Desactivar API de ataque DDoS
   1. API XML RPC
   2. API REST
7. Actualizar WordPress regularmente

1. Bloquea el acceso a wp-login.php

El archivo wp-login.php es una de las rutas más comunes que usan los piratas informáticos para los ataques DDoS en WordPress. Por ejemplo, en QuadLayers, ¡bloqueamos el acceso a los archivos wp-login.php más de 250 veces al día!

Si usa un servicio como Cloudflare, puede verificar cuántas veces alguien ha intentado acceder a sus archivos wp-login.php . Y se sorprenderá de lo alto que es ese número. Bloquear el acceso a esos archivos es una de las mejores formas de prevenir ataques DDoS en WordPress.

La mayoría de los servicios de seguridad ofrecen diferentes opciones para bloquear el acceso a wp-login.php . Usamos Cloudflare, por lo que le mostraremos cómo bloquear los ataques a los archivos wp-login.php con este servicio. El plan gratuito de Cloudflare te permite configurar hasta 5 reglas para que puedas hacerlo sin gastar dinero.

En el tablero, vaya a Cortafuegos > Reglas de cortafuegos > Crear una regla de cortafuegos . Asigne un nombre a la regla y complete los espacios en blanco con la siguiente información:

• Campo : Ruta URI
• Operador : contiene
• Valor : /wp-login.php

Como alternativa, puede copiar y pegar el siguiente código en la sección Vista previa de la expresión:

 (http.request.uri.path contiene "/wp-login.php")

Haga clic en el botón Guardar y ya está todo listo.

2. Activar un WAF

WAF es la abreviatura de Web Application Firewall y sirve como otra capa de protección para su sitio web. Protege su sitio contra el tráfico peligroso mediante el uso de un algoritmo inteligente para identificar y bloquear solicitudes aparentemente maliciosas. De esta manera, te permite recibir solo buen tráfico.

Hay muchas soluciones WAF para elegir. Antes de decidir cuál utilizará, verifique si la protección es adecuada para su sitio, así como el precio y la facilidad de uso. Habiendo usado un par de estos a lo largo de los años, recomendamos Sucuri. Tiene un complemento gratuito y un par de planes profesionales que comienzan en 199 USD por año para un solo sitio. Cloudflare también es una excelente opción. Ofrece un complemento gratuito y planes profesionales con mitigación de ataques DDoS por 20 USD al mes.

Además, le recomendamos que siga algunos consejos de seguridad para mejorar la protección general de su sitio contra todo tipo de malware.

3. Supervisar el tráfico del sitio web

Un gran aumento en el tráfico no significa necesariamente buenas noticias. Aunque no siempre, los ataques DDoS suelen tener la forma de una gran cantidad de tráfico. Estos ataques volumétricos se basan en la red y, a veces, se confunden con nuevos visitantes. Si ve toneladas de nuevos visitantes que ingresan a su sitio web, verifique si son nuevos usuarios o alguien que intenta cerrar su sitio.

La mejor solución para esto es instalar herramientas de monitoreo y hacer que verifiquen sus registros y le avisen si la cantidad de solicitudes/visitantes aumenta repentinamente. De esta manera, evitará ataques DDoS en su sitio de WordPress.

Para diferenciar entre nuevos visitantes y ataques DDoS, es posible que desee prestar atención a:

• Fuente de tráfico: ¿Tu tráfico proviene de la región a la que te diriges? Si te diriges a clientes locales, por ejemplo, pero recibes un gran tráfico del extranjero, entonces está sucediendo algo extraño.
• Hora del tráfico: si observa un aumento de visitas a las 3:00 a. m., hora local, es posible que también se deba a los ataques.
• Las características de tu negocio: Toma en cuenta también tu tipo de negocio. Si vende ropa de baño y ropa de playa, por ejemplo, es normal que haya una oleada de visitantes durante el verano.

Tenga en cuenta que los robots de Google y otros rastreadores de motores de búsqueda a veces realizan solicitudes sospechosas a su sitio web. Tenga en cuenta la diferencia entre ellos para asegurarse de que bloqueará los ataques DDoS, no los bots.

4. Restringe el acceso al área de wp-admin

Debes ser el único que pueda acceder al área de administración de wp, ya que aquí es donde controlas todas las actividades más importantes de WordPress. Sin embargo, al restringir el acceso al área de wp-admin , asegúrese de no incluir ciertos archivos como /wp-admin/admin-ajax.php y /wp-admin/theme-editor.php que son utilizados por complementos y temas que necesita acceder al área de wp-admin desde el exterior. Además, puede excluir su IP y cuándo el remitente proviene de su sitio web.

Si está utilizando un servicio de seguridad, esto no debería ser difícil de configurar. En nuestro caso, así lo hicimos usando Cloudflare:

En el tablero, vaya a Cortafuegos > Reglas de cortafuegos > Crear una regla de cortafuegos . Después de nombrar la regla, complete los espacios en blanco con la siguiente información:

• Campo: Ruta URI
• Operador: contiene
• Valor: /wp-admin/

[Y]

• Campo: Ruta URI
• Operador: no contiene
• Valor: /wp-admin/admin-ajax.php

[Y]

• Campo: Ruta URI
• Operador: no contiene
• Valor: /wp-admin/theme-editor.php

[Y]

• Campo: Remitente
• Operador: no contiene
• Valor: quadlayers.com

[Y]

• Campo: Dirección IP
• Operador: no contiene
• Valor: 182.189.59.210

De lo contrario, puede simplemente hacer clic en Editar expresión y pegar el siguiente código:

 (http.request.uri.path contiene "/wp-admin/" y no http.request.uri.path contiene "/wp-admin/admin-ajax.php" y no http.request.uri.path contiene "/ wp-admin/theme-editor.php" y no http.referer contiene "quadlayers.com" e ip.src ne 182.189.59.210)

5. Activar bloqueo de país

Similar al firewall de un sitio web, el bloqueo de países es un tipo de bloqueo geográfico que sirve para minimizar el riesgo de que su sitio web sea atacado. Aunque los propietarios de los sitios no pueden descartar la posibilidad de ataques DDoS solo con el bloqueo de países, es una práctica típica aumentar el nivel de protección contra los ataques mientras se cumplen las políticas de la organización. Dado que una gran cantidad de ataques cibernéticos provienen de algunos países en los últimos tiempos, podría considerar bloquearlos para que no interactúen con su sitio web.

Como uno de los complementos de seguridad que permite un fácil bloqueo de países, Sucuri es una excelente opción para esto.

6. Deshabilitar las API de ataques DDoS

El principio de este método es deshabilitar varias API para que los piratas informáticos no puedan usarlas para lanzar ataques en su sitio de WordPress. Normalmente, estas API son las puertas de enlace para que los complementos y servicios de terceros se integren en un sitio web. Sin embargo, los piratas informáticos a menudo los explotan para lanzar DDoS o ataques de fuerza bruta.

Hay dos API que debería considerar deshabilitar:

6.1) API RPC XML

Esta API ayuda a las aplicaciones de terceros a interactuar con su sitio, especialmente para usar la aplicación de WordPress en su teléfono móvil. La mala noticia es que es uno de los objetivos de ataques DDoS más comunes . Entonces, si la mayoría de sus usuarios no usan la versión móvil de WordPress, puede considerar deshabilitar esta API para evitar ataques DDoS.

Para desactivar la API XML RPC y bloquear todas sus solicitudes, simplemente agregue el siguiente código al archivo .htaccess de su sitio web.

 # Bloquea todas las solicitudes de WordPress xmlrpc.php
<Archivos xmlrpc.php>
orden denegar, permitir
Negar todo
</Archivos>

6.2) API REST

Otra API que se puede deshabilitar para evitar ataques DDoS en WordPress es la API REST. Esta API permite que los complementos y herramientas de terceros accedan a los datos de WordPress, así como también modifiquen y eliminen contenido. La forma más fácil de deshabilitar esta API es descargar el complemento gratuito Disable WP Rest API.

Después de descargarlo, actívelo y ya está todo listo. La herramienta funcionará de inmediato y deshabilitará la API REST para todos los usuarios que no hayan iniciado sesión sin ninguna configuración adicional.

7. Actualiza WordPress regularmente

La actualización periódica de WordPress no solo previene los ataques DDoS, sino que también protege su sitio web contra muchos otros tipos de ataques y piratería. Es por eso que debes actualizar regularmente:

1. Instalación de WordPress, temas y complementos
2. Versión de PHP en el servidor
3. Apache, MySQL y SO
4. Cualquier otro script y software

¿Qué hacer si estás bajo un ataque DDoS en WordPress?

Aunque puede prepararse con anticipación e intentar prevenir ataques DDoS en WordPress, ¿qué debe hacer si está bajo ataque? Estas son las respuestas inmediatas que debes llevar a cabo durante un ataque DDoS:

1. Informa a tu equipo

Trabajar juntos cuando golpea la crisis le dará el máximo poder. Cuando se encuentre bajo un ataque DDoS, asegúrese de alertar a los miembros de su equipo para que estén al tanto de lo que sucede y puedan ayudarlo con las contramedidas.

2. Notifica a tus clientes

Esto es especialmente importante si el sitio web atacado es una tienda de WooCommerce, ya que los clientes no podrán iniciar sesión en su cuenta ni comprar productos durante ese tiempo. No dar ningún anuncio ni explicación en un momento tan crítico podría dañar su reputación. Por lo tanto, le recomendamos que les informe a través de correos electrónicos o redes sociales que su sitio está experimentando errores técnicos y que pronto volverá a estar en línea.

3. Póngase en contacto con su proveedor de alojamiento y seguridad

Después de alertar a los compañeros de trabajo y clientes, comuníquese también con su proveedor de alojamiento de WordPress. Como los atacantes podrían estar apuntando a sus sistemas, es mejor que lo sepan e incluso pueden ayudarlo con la situación. Además de eso, ponerse en contacto con su proveedor de seguridad en este punto es crucial. Como lidiar con los ataques está dentro de su profesión, pueden ayudarlo a formular contramedidas mejores y más rápidas.

4. Implementar respuestas

Si tiene alguna contramedida lista para implementar, aquí es cuando vienen al rescate. Normalmente, las contramedidas funcionarán tan pronto como ocurran los ataques. Es mejor si preparas esto con anticipación. Sin embargo, si no ha preparado ninguna solución de seguridad especializada, pregunte a su proveedor de seguridad, ya que la mayoría de ellos ofrecen respuestas de emergencia.

5. Evaluar el desempeño de las contramedidas

¡No olvide evaluar el rendimiento de las contramedidas a medida que se llevan a cabo! ¿Son efectivos? ¿O están ganando los atacantes? De esa manera, puede ajustar sus respuestas en caso de que se le presente algún otro ataque. Esperemos que no sea así, pero más vale prevenir que curar.

Conclusión

Con todo, los ataques DDoS son muy frecuentes hoy en día. Cuanto más crece su sitio web de WordPress, más atractivo se vuelve para los piratas informáticos. Sin embargo, puede prevenir y prepararse para esos ataques implementando medidas preventivas. Los pasos mencionados anteriormente no solo lo ayudarán a prevenir ataques DDoS en WordPress, sino que también ayudarán a mantener su sitio web a salvo de ataques en general.

Pero, ¿y si ya estás bajo ataque? No se asuste. Siga las recomendaciones mencionadas anteriormente para tratar de reducir los problemas y poner su sitio en funcionamiento lo antes posible. ¿Quiere mejorar aún más la seguridad de su sitio? ¡Consulta nuestros consejos de seguridad!

¿Tiene alguna otra táctica útil para prevenir ataques DDoS? ¡Por favor compártalo con nosotros en la sección de comentarios a continuación!