Como proteger seu site WordPress de ataques DDoS

Publicados: 2022-09-01

Somente em 2021, os cibercriminosos lançaram mais de 9,75 milhões de ataques DDoS. Dada a grande porcentagem de sites que executam o WordPress, proteger o seu contra possíveis ameaças DDoS deve ser uma prioridade.

O WordPress é a plataforma CMS mais popular do mundo, alimentando mais de 43% dos sites online. Como o CMS é gratuito e fácil de usar, muitos indivíduos que administram sites WordPress podem não ter segurança abrangente.

Assim como você deve otimizar suas postagens do WordPress antes de clicar em “publicar”, seu site WordPress precisa de alguma proteção antes de abrir ao público.

O que é um ataque DDoS

Um ataque de negação de serviço distribuído (DDoS) é um método que invasores maliciosos usam para direcionar sites do WordPress. O objetivo desses ataques é simples. Os invasores inundarão o site de destino com tantas solicitações que ele travará ou ficará tão lento que se tornará inútil.

Ao fazer isso, os invasores impedem que visitantes legítimos acessem o site. Também pode forçar os proprietários do site a aumentar as despesas de segurança cibernética por algum período.

Como funciona um ataque DDoS


O objetivo de um ataque DDoS é sobrecarregar um site de destino. No entanto, os ataques originados de um único servidor são fáceis de bloquear. Por causa disso, os cibercriminosos costumam usar botnets. São redes de computadores comprometidos infectados com malware que o invasor pode controlar.

O uso de botnets também torna mais difícil para as equipes forenses identificar a origem do ataque assim que as investigações começarem.

Danos potenciais que um DDoS pode causar

Quando um ataque DDoS atinge seu site WordPress, pode causar muitos danos. O impacto financeiro em sites WordPress não comerciais pode ser menor, mas não menos devastador. Se um DDoS atingir seu site, você pode simplesmente perder o acesso ao seu site por um curto período.

Os sites de negócios correm um risco muito maior e podem sofrer uma perda considerável. Aqui estão algumas das consequências potenciais;

  • O impacto financeiro imediato de uma perda de vendas
  • Altas taxas incorridas para análise forense pós-ataque
  • Risco potencial de violações de dados
  • Potencial dano à marca devido à opinião negativa do cliente

E mais.

O problema com os ataques DDoS é que eles podem ser difíceis de mitigar. Independentemente disso, existem várias maneiras de melhorar a resiliência do seu site WordPress contra esses ataques;

Protegendo seu site WordPress contra ataques DDoS

  1. Escolha um host confiável

    A primeira linha de defesa para qualquer site WordPress é sempre o provedor de serviços de hospedagem na web. Muitos novos usuários geralmente se concentram no básico da hospedagem na web. Isso inclui preço, recursos, tipo de plano e quais brindes eles recebem.

    A segurança é um aspecto essencial, mas muitas vezes esquecido. Alguns provedores de hospedagem na web fazem parceria com marcas de segurança reconhecidas como a Sucuri para proteger melhor suas redes. Outros, como UltaHost, têm planos VPS DDoS dedicados.

    Não se preocupe se isso o confundir. Como o WordPress é tão popular, muitos hosts também oferecem opções de hospedagem gerenciada do WordPress. Esses planos específicos permitem que você se concentre na criação e execução do seu site WordPress enquanto o provedor de serviços lida com os detalhes técnicos, como segurança.

  2. Use uma rede de entrega de conteúdo


    Uma Content Delivery Network (CDN) é uma coleção de servidores distribuídos em todo o mundo que trabalham juntos para entregar os ativos estáticos do seu site de forma rápida e confiável. O objetivo é garantir que seu site carregue rapidamente.

    No entanto, os CDNs também trazem benefícios extras de segurança dos quais você pode não estar ciente. Graças às redes globais de servidores, os sites podem reduzir a área de superfície de ataque potencial distribuindo cargas. Essencialmente, você está emprestando os servidores CDN para aumentar o tráfego do seu site artificialmente.

    Graças a esse recurso, os invasores precisarão gastar consideravelmente mais recursos se quiserem que seu ataque DDoS seja bem-sucedido. Se o invasor for determinado, ele ainda poderá superar um site que usa uma CDN.

    Embora a maioria das CDNs exija uma assinatura paga, a Cloudflare oferece um plano gratuito que deve funcionar bem para indivíduos e pequenas empresas. Alternativamente, alguns CDNs também têm preços muito acessíveis, como o BunnyCDN.

  3. Use um firewall de aplicativo da Web

    Outro recurso de segurança que você pode usar é um Web Application Firewall (WAF). Um WAF é um software que fica entre seu site e a Internet, protegendo-o de usuários mal-intencionados. Ele faz isso filtrando solicitações, verificando comportamentos suspeitos e interrompendo tráfego potencialmente perigoso antes que ele chegue ao seu servidor.

    Você pode usar um WAF para fazer muitas coisas. Além de proteger contra ataques DDoS, eles podem bloquear injeções de SQL ou XSS, impedir tentativas de login de força bruta em sites WordPress e muito mais. Muitos CDNs incluirão um recurso WAF – às vezes gratuito ou com um pequeno custo adicional.

  4. Desabilitar Pingbacks XML-RPC

    Desabilitar os Pingbacks XML-RPC é essencial para reduzir o número de solicitações que seu site recebe. Esse recurso é o que permite que os usuários deixem comentários em seu blog ou site por meio de um pingback. Infelizmente, também é frequentemente abusado por invasores DDoS.

    Para fazer isso, vá para Configurações> Discussão e clique em “ Desativar pings e trackbacks ”.

    Depois de fazer isso, role para baixo até ver XML-RPC Pingbacks . Clique em “ Desativar ” ao lado e salve as alterações .

    Se não houver opção para desabilitar Pingbacks XML-RPC na página de configurações do seu tema ou no painel de plug-ins (como no próprio WordPress), você também pode considerar o uso de um plug-in de segurança. Bons plugins a serem considerados incluem WordFence ou Sucuri Security.

  5. Atualize o WordPress regularmente para reduzir vulnerabilidades

    Para ajudar a proteger seu site contra ataques DDoS, você deve manter o WordPress e seus plugins, temas e plugins de segurança atualizados. Os desenvolvedores geralmente revisam esses aplicativos para solucionar deficiências como falhas de segurança – além de introduzir novos recursos.

    Você pode atualizar o WordPress manualmente ou automaticamente seguindo estas etapas:

    1. Faça login na sua conta do site WordPress
    2. Clique em Dashboard no menu de navegação à esquerda
    3. Selecionar atualizações
    4. Atualize os plugins mostrados nessa tela

    Muitos hosts da web também oferecem aos clientes a opção de atualizar o WordPress automaticamente por meio do painel de controle de hospedagem na web. Para saber mais sobre isso, fale com seu provedor de hospedagem na web.

    Além disso, sempre tenha cuidado com os plugins que você escolhe adicionar ao seu site WordPress. Nem todos os plugins são iguais em qualidade. Alguns introduzem vulnerabilidades ou bugs desagradáveis, como bloqueá-lo do painel de administração do WordPress.

  6. Desabilitar a API REST

    O WordPress vem com a API REST habilitada por padrão. Esse recurso é um vetor potencial para ataques DDoS, pois permite que usuários externos façam solicitações ao seu servidor. Os invasores podem usar isso para sobrecarregar o site ou fazer com que ele trave.

    No entanto, a API REST não é necessária para o WordPress funcionar ou ser seguro ou eficiente. Se desabilitado, você não perderá nenhuma funcionalidade que possui atualmente em seu site — ela permanecerá como estava antes de desabilitar a API REST.

    A melhor maneira de desabilitar a API REST do WordPress é usando um plugin como o Perfmatters. Plugins como esse permitirão que você modifique facilmente algumas configurações com botões de alternância - sem necessidade de codificação.

Conclusão

O WordPress é uma ótima plataforma para criação e gerenciamento de conteúdo. Mas não é perfeito e não o protegerá de todas as ameaças de segurança. Você precisa ser proativo na proteção de seu site, e é por isso que recomendamos o uso de um firewall de aplicativo da Web ou outros serviços semelhantes que possam verificar o tráfego proveniente de fontes externas.

Mesmo se você desconsiderar todas as outras opções, um bom host e um CDN confiável são o mínimo necessário para proteger seu site WordPress contra ataques DDoS.