Cómo detener y prevenir un ataque DDoS en WordPress

WordPress es uno de los creadores de sitios web m√°s populares del mundo porque ofrece funciones potentes y una base de c√≥digo segura. Sin embargo, eso no protege a WordPress ni a ning√ļn otro software de ataques DDoS maliciosos, que son comunes en Internet.

Los ataques DDoS pueden ralentizar los sitios web y eventualmente hacerlos inaccesibles para los usuarios. Estos ataques pueden dirigirse a sitios web peque√Īos y grandes.

Ahora, puede que se pregunte c√≥mo puede un sitio web de una peque√Īa empresa que utiliza WordPress evitar tales ataques DDoS con recursos limitados.

En esta guía, le mostraremos cómo detener y prevenir efectivamente un ataque DDoS en WordPress. Nuestro objetivo es ayudarlo a aprender cómo administrar la seguridad de su sitio web contra un ataque DDoS como un profesional total.

Detener y prevenir un ataque DDOS en un sitio de WordPress

¬ŅQu√© es un ataque DDoS?

El ataque DDoS, abreviatura de ataque de denegación de servicio distribuido, es un tipo de ataque cibernético que utiliza computadoras y dispositivos comprometidos para enviar o solicitar datos de un servidor de alojamiento de WordPress. El propósito de estas solicitudes es reducir la velocidad y eventualmente bloquear el servidor de destino.

Los ataques DDoS son una forma evolucionada de ataques DoS (denegaci√≥n de servicio). A diferencia de un ataque DoS, aprovechan m√ļltiples m√°quinas o servidores comprometidos distribuidos en diferentes regiones.

Estas m√°quinas comprometidas forman una red, que a veces se denomina botnet. Cada m√°quina afectada act√ļa como un bot y lanza ataques contra el sistema o servidor de destino.

Esto les permite pasar desapercibidos por un tiempo y causar el m√°ximo da√Īo antes de que sean bloqueados.

Diagrama de ataque DDoS

Incluso las compa√Ī√≠as de Internet m√°s grandes son vulnerables a los ataques DDoS.

En 2018, GitHub, una plataforma de alojamiento de código popular, fue testigo de un ataque masivo de DDoS que envió 1,3 terabytes por segundo de tráfico a sus servidores.

También puede recordar el famoso ataque de 2016 a DYN (un proveedor de servicios de DNS). Este ataque tuvo cobertura mundial de noticias, ya que afectó a muchos sitios web populares como Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit y miles de otros sitios web.

¬ŅPor qu√© ocurren los ataques DDoS?

Hay varias motivaciones detrás de los ataques DDoS. A continuación hay algunos comunes:

  • Personas con conocimientos t√©cnicos que simplemente est√°n aburridos y les resulta aventurero
  • Gente y grupos que intentan hacer un punto pol√≠tico
  • Grupos dirigidos a sitios web y servicios de un pa√≠s o regi√≥n en particular
  • Ataques dirigidos a un negocio o proveedor de servicios espec√≠fico para causarles da√Īo monetario
  • Para chantajear y recaudar dinero de rescate

¬ŅCu√°l es la diferencia entre un ataque de fuerza bruta y un ataque DDoS?

Ataque de fuerza bruta

Los ataques de fuerza bruta generalmente intentan entrar en un sistema adivinando contrase√Īas o probando combinaciones aleatorias para obtener acceso no autorizado a un sistema.

Los ataques DDoS se utilizan simplemente para bloquear el sistema de destino, haciéndolo inaccesible o ralentizándolo.

Para obtener más información, consulte nuestra guía sobre cómo bloquear los ataques de fuerza bruta en WordPress con instrucciones paso a paso.

¬ŅQu√© da√Īos puede causar un ataque DDoS?

Los ataques DDoS pueden hacer que un sitio web sea inaccesible o reducir el rendimiento. Esto puede causar una mala experiencia del usuario, pérdida de negocios y los costos de mitigar el ataque pueden ser de miles de dólares.

Aquí hay un desglose de estos costos:

  • P√©rdida de negocios debido a la inaccesibilidad del sitio web.
  • Costo de atenci√≥n al cliente para responder consultas relacionadas con la interrupci√≥n del servicio
  • Costo de mitigar el ataque mediante la contrataci√≥n de servicios de seguridad o soporte
  • El mayor costo es la mala experiencia del usuario y la reputaci√≥n de la marca.

Cómo detener y prevenir el ataque DDoS en WordPress

Los ataques DDoS pueden disfrazarse de forma inteligente y ser difíciles de manejar. Sin embargo, con algunas prácticas recomendadas básicas de seguridad, puede evitar y evitar fácilmente que los ataques DDoS afecten a su sitio web de WordPress.

Estos son los pasos que debe seguir para prevenir y detener los ataques DDoS en su sitio de WordPress.

Eliminar DDoS / Verticales de ataque de fuerza bruta

Lo mejor de WordPress es que es muy flexible. WordPress permite que los complementos y herramientas de terceros se integren en su sitio web y agreguen nuevas funciones.

Para hacerlo, WordPress pone a disposición de los programadores varias API. Estas API son métodos en los que los complementos y servicios de WordPress de terceros pueden interactuar con WordPress.

Sin embargo, algunas de estas API también pueden explotarse durante un ataque DDoS enviando una tonelada de solicitudes. Puede deshabilitarlos de forma segura para reducir esas solicitudes.

Deshabilitar XML RPC en WordPress

XML-RPC permite que aplicaciones de terceros interact√ļen con su sitio web de WordPress. Por ejemplo, necesita XML-RPC para usar la aplicaci√≥n WordPress en su dispositivo m√≥vil.

Si usted es como la gran mayoría de los usuarios que no usan la aplicación móvil, puede deshabilitar XML-RPC simplemente agregando el siguiente código al archivo .htaccess de su sitio web.

# Block WordPress xmlrpc.php requests

order deny,allow
deny from all

Para métodos alternativos, consulte nuestra guía sobre cómo deshabilitar fácilmente XML-RPC en WordPress.

Deshabilitar API REST en WordPress

La API REST JSON de WordPress permite a los complementos y herramientas la capacidad de acceder a los datos de WordPress, actualizar el contenido y / o incluso eliminarlo. Aquí es cómo puede deshabilitar la API REST en WordPress.

Lo primero que debe hacer es instalar y activar el complemento Deshabilitar API WP Rest. Para obtener más detalles, consulte nuestra guía paso a paso sobre cómo instalar un complemento de WordPress.

El complemento funciona de fábrica y simplemente deshabilitará la API REST para todos los usuarios que no hayan iniciado sesión.

Active WAF (firewall de aplicaciones de sitios web)

Servidor de seguridad de aplicaciones web (WAF)

Deshabilitar vectores de ataque como REST API y XML-RPC proporciona protección limitada contra ataques DDoS. Su sitio web sigue siendo vulnerable a las solicitudes HTTP normales.

Si bien puede mitigar un peque√Īo ataque de DOS al tratar de detectar las direcciones IP de la m√°quina incorrecta y bloquearlas manualmente, este enfoque no es muy efectivo cuando se trata de un gran ataque DDoS.

La forma más fácil de bloquear solicitudes sospechosas es activando el firewall de la aplicación del sitio web.

El firewall de la aplicaci√≥n del sitio web act√ļa como un proxy entre su sitio web y todo el tr√°fico entrante. Utiliza un algoritmo inteligente para detectar todas las solicitudes sospechosas y bloquearlas antes de que lleguen al servidor de su sitio web.

Cortafuegos de aplicaciones web

Recomendamos usar Sucuri porque es el mejor complemento de seguridad de WordPress y firewall de sitios web. Se ejecuta en un nivel de DNS, lo que significa que pueden detectar un ataque DDoS antes de que pueda realizar una solicitud a su sitio web.

El precio de Sucuri comienza desde $ 20 por mes (pagado anualmente).

Usamos Sucuri en WPBeginner. Vea nuestro estudio de caso sobre cómo ayudan a bloquear cientos de miles de ataques en nuestro sitio web.

Alternativamente, también puedes usar Cloudflare. Sin embargo, el servicio gratuito de Cloudflare solo brinda protección DDoS limitada. Deberá registrarse al menos en su plan de negocios para la protección DDoS de capa 7, que cuesta alrededor de $ 200 por mes.

Vea nuestro artículo sobre Sucuri vs Cloudflare para una comparación detallada de lado a lado.

Nota: Los firewalls de aplicaciones web (WAF) que se ejecutan a nivel de aplicaci√≥n son menos efectivos durante un ataque DDoS. Bloquean el tr√°fico una vez que ya ha llegado a su servidor web, por lo que a√ļn afecta el rendimiento general de su sitio web.

Averiguando si es Fuerza Bruta o Ataque DDoS

Tanto la fuerza bruta como los ataques DDoS utilizan intensivamente los recursos del servidor, lo que significa que sus síntomas son bastante similares. Su sitio web se ralentizará y puede bloquearse.

Puede averiguar fácilmente si se trata de un ataque de fuerza bruta o un ataque DDoS simplemente mirando los informes de inicio de sesión del complemento Sucuri.

Simplemente instale y active el complemento gratuito Sucuri y luego vaya a Sucuri Security ¬Ľ√öltimos inicios de sesi√≥n p√°gina.

Inicios de sesión fallidos

Si está viendo una gran cantidad de solicitudes de inicio de sesión aleatorias, esto significa que su wp-admin está bajo un ataque de fuerza bruta. Para mitigarlo, puede ver nuestra guía sobre cómo bloquear los ataques de fuerza bruta en WordPress.

Cosas que hacer durante un ataque DDoS

Los ataques DDoS pueden ocurrir incluso si tiene un firewall de aplicaci√≥n web y otras protecciones establecidas. Compa√Ī√≠as como CloudFlare y Sucuri manejan estos ataques de manera regular, y la mayor√≠a de las veces nunca se enterar√° de ello, ya que pueden mitigarlo f√°cilmente.

Sin embargo, en algunos casos, cuando estos ataques son grandes, a√ļn puede afectarlo. En ese caso, es mejor estar preparado para mitigar los problemas que puedan surgir durante y despu√©s del ataque DDoS.

Las siguientes son algunas cosas que puede hacer para minimizar el impacto de un ataque DDoS.

1. Alerte a los miembros de su equipo

Si tiene un equipo, debe informar a sus compa√Īeros de trabajo sobre el tema. Esto los ayudar√° a prepararse para consultas de atenci√≥n al cliente, buscar posibles problemas y ayudar durante o despu√©s del ataque.

2. Informar a los clientes sobre las molestias.

Un ataque DDoS puede afectar la experiencia del usuario en su sitio web. Si ejecuta una tienda WooCommerce, es posible que sus clientes no puedan realizar un pedido o iniciar sesión en su cuenta.

Puede anunciar a través de sus cuentas de redes sociales que su sitio web tiene dificultades técnicas y que todo volverá a la normalidad pronto.

Si el ataque es grande, también puede usar su servicio de marketing por correo electrónico para comunicarse con los clientes y pedirles que sigan sus actualizaciones de redes sociales.

Si tiene clientes VIP, es posible que desee utilizar el servicio telefónico de su empresa para hacer llamadas telefónicas individuales y hacerles saber cómo está trabajando para restaurar los servicios.

La comunicación durante estos tiempos difíciles hace una gran diferencia para mantener fuerte la reputación de su marca.

3. Póngase en contacto con el servicio de alojamiento y soporte de seguridad

P√≥ngase en contacto con su proveedor de alojamiento de WordPress. El ataque que puede estar presenciando podr√≠a ser parte de un ataque mayor dirigido a sus sistemas. En ese caso, podr√°n proporcionarle las √ļltimas actualizaciones sobre la situaci√≥n.

P√≥ngase en contacto con su servicio de Firewall y h√°gales saber que su sitio web est√° bajo un ataque DDoS. Es posible que puedan mitigar la situaci√≥n a√ļn m√°s r√°pido y pueden brindarle m√°s informaci√≥n.

En los proveedores de firewall como Sucuri, también puede establecer su configuración para que esté en modo paranoico, lo que ayuda a bloquear muchas solicitudes y hacer que su sitio web sea accesible para los usuarios normales.

Mantener seguro su sitio web de WordPress

WordPress es bastante seguro fuera de la caja. Sin embargo, como el creador de sitios web m√°s popular del mundo, a menudo es atacado por piratas inform√°ticos.

Afortunadamente, hay muchas mejores pr√°cticas de seguridad que puede aplicar en su sitio web para hacerlo a√ļn m√°s seguro.

Hemos compilado una guía completa de seguridad paso a paso de WordPress para principiantes. Le guiará a través de las mejores configuraciones de seguridad de WordPress para proteger su sitio web y sus datos contra amenazas comunes.

Esperamos que este artículo te haya ayudado a aprender cómo bloquear y prevenir un ataque DDoS en WordPress. También puede consultar nuestra guía sobre los errores más comunes de WordPress y cómo solucionarlos.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para ver videos tutoriales de WordPress. También puedes encontrarnos en Twitter y Facebook.