Cómo detener y prevenir un ataque DDoS en WordPress

WordPress es uno de los constructores de sitios web más populares del mundo porque ofrece características poderosas y una base de código segura. Sin embargo, eso no protege a WordPress ni a ningún otro software de los ataques DDoS maliciosos, que son comunes en Internet.

Los ataques DDoS pueden ralentizar los sitios web y finalmente hacerlos inaccesibles a los usuarios. Estos ataques pueden estar dirigidos tanto a sitios web pequeños como grandes.

Ahora, se preguntará cómo puede un sitio web de una pequeña empresa que utiliza WordPress evitar tales ataques DDoS con recursos limitados.

En esta guía, le mostraremos cómo detener y prevenir eficazmente un ataque DDoS en WordPress. Nuestro objetivo es ayudarle a aprender a manejar la seguridad de su sitio web contra un ataque DDoS como un profesional total.

¿Qué es un ataque DDoS?

El ataque DDoS, abreviatura de Distributed Denial of Service, es un tipo de ciberataque que utiliza computadoras y dispositivos comprometidos para enviar o solicitar datos de un servidor de alojamiento de WordPress. El propósito de estas solicitudes es ralentizar y eventualmente bloquear el servidor objetivo.

Los ataques DDoS son una forma evolucionada de los ataques DoS (Denegación de Servicio). A diferencia de un ataque DoS, se aprovechan de múltiples máquinas o servidores comprometidos repartidos en diferentes regiones.

Estas máquinas comprometidas forman una red, que a veces se llama botnet. Cada máquina afectada actúa como un bot y lanza ataques al sistema o servidor objetivo.

Esto les permite pasar desapercibidos por un tiempo y causar el máximo daño antes de ser bloqueados.

Incluso las mayores compañías de Internet son vulnerables a los ataques DDoS.

En 2018, GitHub, una popular plataforma de alojamiento de código, fue testigo de un ataque DDoS masivo que envió 1,3 terabytes de tráfico por segundo a sus servidores.

También puede recordar el notorio ataque de 2016 a DYN (un proveedor de servicios de DNS). Este ataque tuvo una cobertura mundial de noticias ya que afectó a muchos sitios web populares como Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit, y miles de otros sitios web.

¿Por qué ocurren los ataques DDoS?

Hay varias motivaciones detrás de los ataques DDoS. A continuación se presentan algunas comunes:

  • Gente técnicamente inteligente que sólo se aburre y lo encuentra aventurero
  • Personas y grupos que tratan de hacer un punto político
  • Grupos que se dirigen a sitios web y servicios de un país o región determinados
  • Ataques dirigidos a una empresa o proveedor de servicios específicos para causarles un daño monetario
  • Para chantajear y cobrar el dinero del rescate

¿Cuál es la diferencia entre un ataque de fuerza bruta y un ataque DDoS?

Los ataques de fuerza bruta suelen tratar de entrar en un sistema adivinando contraseñas o intentando combinaciones aleatorias para obtener acceso no autorizado a un sistema.

Los ataques DDoS se utilizan simplemente para bloquear el sistema objetivo haciéndolo inaccesible o ralentizándolo.

Para más detalles ver nuestra guía sobre cómo bloquear los ataques de fuerza bruta en WordPress con instrucciones paso a paso.

¿Qué daños puede causar un ataque DDoS?

Los ataques DDoS pueden hacer que un sitio web sea inaccesible o reducir el rendimiento. Esto puede causar una mala experiencia de usuario, pérdida de negocios, y los costos de mitigar el ataque pueden ser de miles de dólares.

Aquí está un desglose de estos costos:

  • Pérdida de negocio debido a la inaccesibilidad del sitio web
  • Costo de la asistencia al cliente para responder a las consultas relacionadas con la interrupción del servicio
  • Costo de mitigar el ataque contratando servicios de seguridad o apoyo
  • El mayor costo es la mala experiencia del usuario y la reputación de la marca

Cómo detener y prevenir el ataque DDoS en WordPress

Los ataques DDoS pueden ser inteligentemente disfrazados y difíciles de tratar. Sin embargo, con algunas buenas prácticas de seguridad básicas, puedes prevenir y detener fácilmente los ataques DDoS que afectan a tu sitio web de WordPress.

Estos son los pasos que debes tomar para prevenir y detener los ataques DDoS en tu sitio de WordPress.

Quitar DDoS / Verticales de Ataque por Fuerza Bruta

Lo mejor de WordPress es que es muy flexible. WordPress permite que los plugins y herramientas de terceros se integren en su sitio web y añadan nuevas características.

Para ello, WordPress pone a disposición de los programadores varias APIs. Estas APIs son métodos en los que los plugins y servicios de WordPress de terceros pueden interactuar con WordPress.

Sin embargo, algunas de estas API también pueden ser explotadas durante un ataque DDoS enviando una tonelada de solicitudes. Puedes deshabilitarlas de forma segura para reducir esas solicitudes.

Deshabilitar XML RPC en WordPress

XML-RPC permite que las aplicaciones de terceros interactúen con tu sitio web de WordPress. Por ejemplo, necesitas XML-RPC para usar la aplicación de WordPress en tu dispositivo móvil.

Si eres como la gran mayoría de los usuarios que no usan la aplicación móvil, entonces puedes deshabilitar XML-RPC simplemente añadiendo el siguiente código al archivo .htaccess de tu sitio web.

12345# Block WordPress xmlrpc.php requestsorder deny,allowdeny from all

Para métodos alternativos, vea nuestra guía sobre cómo desactivar fácilmente XML-RPC en WordPress.

Deshabilitar REST API en WordPress

La API de WordPress JSON REST permite a los plugins y herramientas la posibilidad de acceder a los datos de WordPress, actualizar el contenido, y/o incluso eliminarlo. Así es como puedes deshabilitar la API REST en WordPress.

Lo primero que tienes que hacer es instalar y activar el plugin de la API de WP Rest. Para obtener más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.

El plugin funciona fuera de la caja, y simplemente deshabilitará la API de REST para todos los usuarios no registrados.

Activar WAF (Website Application Firewall)

Desactivar los vectores de ataque como REST API y XML-RPC proporciona una protección limitada contra los ataques DDoS. Su sitio web sigue siendo vulnerable a las solicitudes HTTP normales.

Aunque se puede mitigar un pequeño ataque DOS tratando de atrapar las IPs de las máquinas malas y bloquearlas manualmente, este enfoque no es muy efectivo cuando se trata de un gran ataque DDoS.

La forma más fácil de bloquear las solicitudes sospechosas es activando un firewall de aplicaciones web.

Un cortafuegos de aplicación web actúa como un proxy entre su sitio web y todo el tráfico entrante. Utiliza un algoritmo inteligente para atrapar todas las solicitudes sospechosas y bloquearlas antes de que lleguen al servidor de su sitio web.

Recomendamos usar Sucuri porque es el mejor plugin de seguridad de WordPress y el mejor cortafuegos para sitios web. Funciona a nivel DNS, lo que significa que pueden atrapar un ataque DDoS antes de que pueda hacer una solicitud a su sitio web.

El precio de Sucuri comienza a partir de 20 dólares al mes (pagados anualmente).

Usamos Sucuri en WPBeginner. Vea nuestro caso de estudio sobre cómo ayudan a bloquear cientos de miles de ataques a nuestro sitio web.

Alternativamente, también puedes usar Cloudflare. Sin embargo, el servicio gratuito de Cloudflare sólo da una protección DDoS limitada. Tendrás que registrarte al menos en su plan de negocios para la protección DDoS de capa 7, que cuesta alrededor de 200 dólares al mes.

Vea nuestro artículo sobre Sucuri vs. Cloudflare para una comparación detallada lado a lado.

Nota: Los cortafuegos de aplicaciones web (WAF) que se ejecutan a nivel de aplicación son menos efectivos durante un ataque DDoS. Bloquean el tráfico una vez que ya ha llegado a su servidor web, por lo que sigue afectando el rendimiento general de su sitio web.

Averiguar si se trata de fuerza bruta o de un ataque DDoS

Tanto los ataques de fuerza bruta como los de DDoS utilizan intensamente los recursos del servidor, lo que significa que sus síntomas son bastante similares. Su sitio web se volverá más lento y puede colapsar.

Puedes averiguar fácilmente si se trata de un ataque de fuerza bruta o un ataque DDoS con sólo mirar los informes de acceso del plugin de Sucuri.

Simplemente, instale y active el plugin gratuito de Sucuri y luego vaya a la página de Seguridad de Sucuri " Últimos accesos .

Si estás viendo un gran número de solicitudes de acceso aleatorio, significa que tu administrador de wp está bajo un ataque de fuerza bruta. Para mitigarlo, puedes ver nuestra guía sobre cómo bloquear los ataques de fuerza bruta en WordPress.

Cosas que hacer durante un ataque DDoS

Los ataques DDoS pueden ocurrir incluso si tienes un firewall de aplicación web y otras protecciones en su lugar. Compañías como CloudFlare y Sucuri tratan estos ataques de manera regular, y la mayoría de las veces nunca oirás hablar de ello ya que pueden mitigarlo fácilmente.

Sin embargo, en algunos casos, cuando estos ataques son grandes, todavía puede impactar en ti. En ese caso, es mejor estar preparado para mitigar los problemas que puedan surgir durante y después del ataque DDoS.

A continuación, algunas cosas que puede hacer para minimizar el impacto de un ataque DDoS.

1. Alerta a los miembros de tu equipo

Si tienes un equipo, entonces necesitas informar a tus compañeros de trabajo sobre el tema. Esto les ayudará a prepararse para las consultas del servicio de atención al cliente, buscar posibles problemas y ayudar durante o después del ataque.

2. Informar a los clientes sobre la inconviencia

Un ataque DDoS puede afectar la experiencia del usuario en su sitio web. Si tienes una tienda de WooCommerce, entonces tus clientes no podrán hacer un pedido o acceder a su cuenta.

Puede anunciar a través de sus cuentas de medios sociales que su sitio web está teniendo dificultades técnicas y que todo volverá a la normalidad pronto.

Si el ataque es grande, entonces también puede utilizar su servicio de marketing por correo electrónico para comunicarse con los clientes y pedirles que sigan las actualizaciones de sus medios sociales.

Si tiene clientes VIP, entonces tal vez quiera usar el servicio telefónico de su empresa para hacer llamadas individuales y hacerles saber cómo está trabajando para restaurar los servicios.

La comunicación en estos tiempos difíciles hace una gran diferencia para mantener la reputación de su marca fuerte.

3. 3. Contactar con el Soporte de Seguridad y Hospedaje

Ponte en contacto con tu proveedor de alojamiento de WordPress. El ataque que puede estar presenciando podría ser parte de un ataque más grande dirigido a sus sistemas. En ese caso, ellos podrán proporcionarte las últimas actualizaciones sobre la situación.

Contacte con su servicio de Firewall y hágales saber que su sitio web está bajo un ataque DDoS. Ellos pueden ser capaces de mitigar la situación aún más rápido y pueden proporcionarle más información.

En los proveedores de firewall como Sucuri, también se puede configurar para que esté en modo paranoico, lo que ayuda a bloquear muchas solicitudes y hacer que su sitio web sea accesible para los usuarios normales.

Manteniendo tu sitio web de WordPress seguro

WordPress es bastante seguro fuera de la caja. Sin embargo, como el constructor de sitios web más popular del mundo, a menudo es blanco de los hackers.

Afortunadamente, hay muchas prácticas óptimas de seguridad que puede aplicar en su sitio web para hacerlo aún más seguro.

Hemos compilado una completa guía de seguridad paso a paso de WordPress para principiantes. Te guiará a través de las mejores configuraciones de seguridad de WordPress para proteger tu sitio web y sus datos contra las amenazas comunes.

Esperamos que este artículo te haya ayudado a aprender a bloquear y prevenir un ataque DDoS en WordPress. También puede que quieras ver nuestra guía sobre los errores más comunes de WordPress y cómo corregirlos.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para ver los video tutoriales de WordPress. También puedes encontrarnos en Twitter y Facebook.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir