Ataque DDoS de WordPress: cómo proteger su sitio web

La prevalencia de los ataques DDoS de WordPress ha causado una pérdida significativa de ingresos a muchas pequeñas empresas que dependen del tráfico en línea para generar ingresos.

Los ataques DDoS representan una grave amenaza para los sitios web, independientemente de su tamaño. Por lo tanto, es fundamental implementar todas las medidas de seguridad adecuadas para proteger su sitio web.

En esta publicación, exploraremos cómo los ataques DDoS de WordPress pueden dañar su sitio . A continuación, le proporcionaremos consejos prácticos sobre cómo evitar que sucedan.

Contenido:

• ¿Qué es un ataque DDoS?
• Cómo los ataques DDoS pueden afectar los sitios web de WordPress
• Consejos para proteger su sitio web de WordPress de los ataques DDoS
  • 1. Habilite la autenticación de dos factores (2FA)
  • 2. Utilice un cortafuegos de aplicaciones web (WAF)
  • 3. Usa la CDN de Cloudflare
  • 4. Deshabilitar la API REST en WordPress
  • 5. Mantenga su software y complementos de WordPress actualizados
  • 6. Supervise el tráfico de su sitio web
• Preguntas frecuentes
• Conclusión

¿Qué es un ataque DDoS?

Un ataque de denegación de servicio distribuido (DDoS) es un tipo de ataque cibernético que intenta sobrecargar un sitio web o servidor con tráfico malicioso para interrumpir su funcionamiento habitual. Estos ataques pueden ocurrir en cualquier sitio web, incluidos los sitios con tecnología de WordPress.

Cómo los ataques DDoS pueden afectar los sitios web de WordPress

Las consecuencias de un ataque DDoS en los sitios web de WordPress son significativas, especialmente para los sitios web de pequeñas empresas. Esto se debe a que pueden carecer de la infraestructura para combatir tales ataques. Si un ataque DDoS se dirige con éxito a un sitio web, es posible que no esté disponible para los usuarios, lo que provoca un tiempo de inactividad del sitio web.

En 2016, Internet se vio afectado por uno de los ataques de denegación de servicio más importantes. DYN, un proveedor de servicios de DNS, fue el blanco del ataque. Afectó a muchos sitios populares como Netflix, Reddit, PayPal, Visa y otros. Como resultado, muchos usuarios de Internet en Europa y América del Norte se vieron afectados.

Los ataques DDoS tienen muchos impactos en los propietarios de sitios web y los usuarios de Internet. Algunos de los daños que los ataques DDoS pueden causar a su sitio web incluyen los siguientes.

Tiempo de inactividad del sitio web

Una de las consecuencias más significativas de un ataque DDoS es que el sitio web objetivo puede dejar de estar disponible para los usuarios. Esto puede resultar frustrante para los usuarios, que pueden necesitar ayuda para acceder al sitio web o utilizar sus servicios.

Pérdida de tráfico e ingresos

Si un sitio web de WordPress no está disponible debido a un ataque DDoS, puede provocar una pérdida de tráfico e ingresos. Por ejemplo, durante el ataque DYN en octubre de 2016, Sony reportó una pérdida total de 2,7 millones de dólares. Esto es enorme, considerando que el ataque duró solo dos horas.

Daño a la Reputación

Además, los usuarios pueden perder la confianza en su marca si su sitio web es víctima de un ataque DDoS. Esto puede afectar la reputación de su sitio web porque los motores de búsqueda también pueden incluirlo en la lista negra.

Costo de Mitigación

La defensa contra un ataque DDoS puede ser costosa porque requiere recursos especializados y experiencia técnica.

Pérdida de datos

Un estudio realizado por Kaspersky en 2015 descubrió que el 26 % de los sitios web que sufren ataques DDoS también sufren pérdida de datos. Los ataques DDoS a menudo sirven como tapadera para otros ataques cibernéticos, como los ataques de fuerza bruta.

Consejos para proteger su sitio web de WordPress de ataques DDoS

Los ataques DDoS se han convertido en una seria amenaza para los propietarios de sitios web. E incluso los sitios web mejor financiados no son inmunes a tales ataques. Técnicamente, ningún sitio web es inmune a los ataques DDoS. Sin embargo, puede implementar medidas para detener y prevenir ataques DDoS.

Aquí hay algunos consejos de protección DDoS de WordPress que puede implementar para proteger su sitio web.

1. Habilite la autenticación de dos factores (2FA)

La autenticación de dos factores (2FA) es una medida de seguridad que requiere que los usuarios proporcionen una capa adicional de autenticación antes de acceder a páginas confidenciales, como la página de administración de WP.

Esto puede ayudar a proteger contra el acceso no autorizado a sitios web, ataques de fuerza bruta y ataques DDoS.

Por ejemplo, puede solicitar a los usuarios que proporcionen un código único enviado a su teléfono o correo electrónico antes de iniciar sesión en su sitio web.

Puede configurar la autenticación de dos factores (2FA) en WordPress usando el complemento MiniOrange Google Authenticator.

Para instalar MiniOrange Authenticator, inicie sesión en su panel de WordPress y vaya aComplementos >> Agregar nuevo .En el cuadro de búsqueda, escriba "MiniOrange Google Authenticator". El complemento debería aparecer en los resultados de búsqueda, como se muestra a continuación.

A continuación, haga clic en el botónInstalar ahora junto al nombre del complemento para instalar el complemento en su sitio web.Una vez que instale el complemento, el botón cambiará a 'Activar'. Haga clic en él para activar el complemento.

Configuración del Autenticador de Google MiniOrange

Después de activar el complemento, deberá conectarlo a la aplicación Google Authenticator en un dispositivo móvil. Esto es necesario para completar la activación de 2FA en su sitio.

Para comenzar, haga clic enEmpecemos .

A continuación, elija la opciónUsuarios que deben configurar 2FA primero después de iniciar sesión .De esta manera, todos los usuarios se verán obligados a configurar 2FA antes de iniciar sesión. Haga clic enContinuar configuración para continuar.

Puede activar la 2FA para todos los usuarios o solo para algunos roles específicos (por ejemplo, administrador y editores). Esto es útil si desea excluir usuarios como autores. Para este tutorial, activaremos 2FA solo para administradores.

Seleccione la opciónSolo para roles específicos y luego marque la casilla de verificación Administrador. Después de eso, haga clic enContinuar configuración para continuar.

A continuación, elija si implementar 2FA de inmediato o otorgar a los usuarios un período de gracia. Haga clic enTodo listo para continuar.

Ahora, deberá seleccionar el método de autenticación que desea configurar. Elija la opciónGoogle / Microsoft / Authy Authenticator y haga clic en el botón Guardar y continuar.

A continuación, seleccioneConfigurar 2FA para usted mismo para continuar con el siguiente paso del proceso de configuración.

Conexión de MiniOrnage con Google Mobile Authenticator

Google Authenticator es la aplicación de autenticación preferida para este proceso. Esto se debe a que es el más popular y está disponible en dispositivos Android e iOS.

El primer paso será descargar la aplicación de autenticación de Google desde Play Store o Apple Store.

Después de instalar la aplicación, debería ver una página de menú con dos opciones:Escanear un código QR e Ingresar una clave de configuración.

Seleccione la opción de código QR y escanee el código de barras QR que se muestra en su sitio web como el que se muestra a continuación.

Al completar el escaneo, ingrese el código de seis dígitos generado por la aplicación de autenticación en el campo designado.

Confirme la entrada seleccionando la opciónGuardar y continuar .

¡Eso es todo! Has habilitado con éxito 2FA en tu sitio web con MiniOrange Google 2FA.

¿No puedes escanear el código QR en MiniOrange?

Si no puede escanear el código QR provisto, esto es lo que debe hacer:

Primero, haga clic en ¿No puede escanear el código de barras?Esto generará una clave para configurar 2FA en la aplicación de autenticación de Google.

Abra la aplicación Google Authenticator en su teléfono y seleccione la opciónIngresar una clave de configuración .A continuación, pegue la clave de 16 caracteres generada por MiniOrange 2FA.

Ingrese un nombre de aplicación y un tipo de cuenta y luego haga clic en agregar. Luego generará un código de 6 dígitos que puede usar para completar el proceso en WordPress. Una vez hecho esto, haga clic enGuardar y continuar para continuar.

A continuación, verá un mensaje que muestra el estado de su configuración.

Para probar esto, cierre la sesión de su sitio de WordPress e intente iniciar sesión. En la página de inicio de sesión, deberá ingresar una contraseña única de 6 dígitos generada desde la aplicación de autenticación en su teléfono cada vez que intente iniciar sesión. .

2. Utilice un cortafuegos de aplicaciones web (WAF)

Un Web Application Firewall (WAF) es una medida de seguridad que puede proteger un sitio web de varias amenazas, incluidos los ataques DDoS.

Los WAF analizan el tráfico entrante y bloquean las solicitudes maliciosas antes de que lleguen a los servidores del sitio web. Esto puede ayudar a evitar que los ataques DDoS de WordPress abrumen la infraestructura del sitio web y provoquen su bloqueo.

La forma más fácil de agregar WAF a su sitio web es con un complemento de firewall. Afortunadamente, algunos complementos de seguridad y anti-DDoS de WordPress, como Wordfence Security, vienen con protección de firewall.

A continuación, instalaremos y activaremos Wordfence en un sitio de WordPress.

Instalación y activación de Wordfence

Para instalar Wordfence, inicie sesión en su panel de administración de WordPress y luego vaya a Complementos >> Agregar nuevo. Ubique la barra de búsqueda en la esquina superior derecha y escriba 'Wordfence' para buscar el complemento.

Haga clic en el botónInstalar ahora junto al complemento Wordfence Security para instalarlo en su sitio.Active el complemento una vez que se complete la instalación.

Después de activar WordFence, deberá obtener una clave de licencia para que funcione. Haga clic en el botónObtener su licencia de WordFence en la página siguiente para iniciar la continuación.

A continuación, seleccione el plan gratuito para probar las funciones y haga clic en'Estoy bien esperando 30 días ' para continuar.

Puede actualizar a un plan pago más tarde si tiene el presupuesto. Sin embargo, el plan gratuito le brinda todas las funciones esenciales que necesitará para proteger su sitio web.

A continuación, ingrese su dirección de correo electrónico, acepte los términos y condiciones y haga clic en Registrarse .

Debería recibir un correo electrónico de activación de Wordfence. Abra su correo electrónico y haga clic en el enlace Activación.

Después de eso, lo redirigirá a su panel de control de WordPress. Aquí, deberá hacer clic en el botónInstalar licencia para activar su sitio.Con eso, ahora tienes Wordfence trabajando activamente en tu sitio web.

Para verificar si WAF está habilitado y funcionando, ubiqueWordfence desde su panel de WordPress y haga clic en el enlace Administrar Firewall.

Debería ver una sección en la siguiente pantalla que muestra el estado del WAF. Si el estado de WAF está activo y se muestran las cifras porcentuales, confirma que el WAF está habilitado y funcional.

Instalar el complemento de Wordfence en su sitio web le brindará los siguientes beneficios:

• Prevención de inyección SQL
• Limitación de ataque bruto
• Protección contra secuencias de comandos entre sitios

3. Usa la CDN de Cloudflare

Cloudflare es un proveedor de CDN popular que mejora el rendimiento de su sitio web y lo protege de ataques cibernéticos como los ataques DDoS.

Cloudflare puede absolver ataques DDoS a gran escala y filtrar fuentes de tráfico para detectar si las solicitudes específicas provienen de un atacante.

A continuación, lo guiaremos a través de los pasos necesarios para activar los servicios de Cloudfare en su sitio web.

Obtener una cuenta de Cloudflare

Como requisito previo, asegúrese de tener acceso primero al panel de administración del registrador de su dominio. Lo necesitará para permitir el acceso de Cloudflare a su configuración de DNS.

El primer paso es crear una cuenta de Cloudflare. Para hacer eso, visite la página de registro de Cloudflare. A continuación, ingrese su correo electrónico, elija una contraseña y haga clic enCrear cuenta .

Agregar su sitio web a Cloudflare

Tu cuenta de Cloudflare está lista. Sin embargo, debe completar la configuración agregando su sitio. Después de iniciar sesión en su cuenta, haga clic en el botónAgregar sitio para agregar su sitio web.

Ingrese su nombre de dominio (p. ej., ejemplo.com) y haga clic enAgregar sitio para continuar.

A continuación, seleccione un plan de Cloudflare adecuado. Esto depende de las características que desee. Sin embargo, un plan gratuito es suficiente para brindarle la protección básica que necesita. Seleccione el plan gratuito y haga clic enContinuar para continuar.

En la página siguiente, verá una lista de registros existentes. Puede revisarlos para asegurarse de que sean correctos.

Nota : No es aconsejable realizar cambios en sus registros DNS en esta etapa.

Si ha revisado los registros y está satisfecho, haga clic en Continuar para continuar.

La siguiente etapa es apuntar sus servidores de nombres de dominio a Cloudflare. Esto es importante para completar el proceso de activación y permitir que Cloudflare proteja su sitio.

Deberá reemplazar los servidores de nombres existentes en su registrador de dominio.

Luego, copie los nuevos servidores de nombres provistos por Cloudflare para reemplazar los que eliminó en su host de dominio.

Los pasos para cambiar los servidores de nombres difieren de una empresa de hosting a otra. Póngase en contacto con su proveedor de alojamiento web si no está seguro de cómo ubicar la configuración de los servidores de nombres. Sin embargo, le mostraremos cómo hacerlo en Namecheap.

Actualización de los servidores de nombres de Namecheap

Primero, inicie sesión en su cuenta y haga clic enLista de dominios .

En la página del dominio, busque el dominio que desea editar y haga clic enAdministrar .

A continuación, haga clic en el menú desplegableServidores de nombres y seleccione DNS personalizado.

En los cuadros de entrada, ingrese los dos servidores de nombres provistos por Cloudflare y haga clic en la marca de verificación para guardar sus cambios.

Ahora puede volver a Cloudflare para verificar los cambios en el servidor de nombres haciendo clic enListo, verifique los servidores de nombres .

Nota al margen: el cambio de sus servidores de nombres puede tardar hasta 48 horas en propagarse.

Protección DDoS de Cloudflare

Cloudflare habilitará automáticamente la protección DDoS en su sitio después de agregar su sitio web a Cloudflare.

A pesar de eso, es recomendable implementar medidas adicionales para proteger su sitio. Dependiendo del riesgo que enfrenta su sitio web, hay algunas configuraciones adicionales que puede implementar para proteger aún más su sitio.

Permítanos mostrarle dos configuraciones esenciales para implementar para proteger su sitio web de DDoS.

Crear una anulación de DDos personalizada

Puede personalizar el comportamiento de la protección DDoS predeterminada de Cloudflare implementando una anulación DDoS personalizada.

Para usar esta opción, inicie sesión en su cuenta de Cloudflare. Luego, seleccione su sitio web para moverse a su zona.

A continuación, vaya aSeguridad >> DDoS en el menú del lado izquierdo.Haga clic enImplementar una anulaciónde DDoS para continuar.

En la página siguiente, agregue un nombre para su anulación. Después de eso, cambie la acción del conjunto de reglas aDesafío administrado y establezca la sensibilidad en BajaoMediasegún los riesgos que enfrente. Después de eso, desplácese hacia abajo y haga clic enGuardar .

La implementación de esta estrategia ayudará a filtrar el tráfico dañino de una fuente DDoS. Utiliza conjuntos de desafíos administrados presentados a los usuarios por Cloudflare.

Activa el modo de lucha contra bots

Otro enfoque que podría tomar para proteger su sitio de DDoS es activar el Modo de lucha contra bots. El modo de lucha contra bots ayuda a detectar y bloquear el tráfico de bots conocido para que no acceda a su sitio.

Para activar el Modo de lucha contra bots, vaya aSeguridad >> Bots y cambie la opción del modo de lucha contra bots a la posición de encendido.

Cloudflare le brinda todas las herramientas que necesita para proteger su sitio web de DDoS. Los consejos anteriores deberían proteger su sitio de la mayoría de los ataques DDoS si los sigue correctamente.

4. Deshabilitar la API REST en WordPress

WordPress REST API es una característica de WordPress que permite a los desarrolladores acceder y manipular datos de WordPress mediante solicitudes HTTP. A veces, la API REST se puede utilizar como vector para ataques DDoS.

Puede deshabilitar la API REST de WP usando varios métodos en WordPress. Sin embargo, el método más sencillo es utilizar fragmentos de código del complemento WPCode.

Deberá instalar y activar el complemento en su sitio de WordPress.

Después de activar el complemento, vaya aFragmentos de código >> + Agregar fragmento.

En la página siguiente, escriba 'rest api' en el cuadro de búsqueda. Desactivar API Rest ahora debería aparecer en los resultados de búsqueda.

A continuación, haga clic enUsar fragmento para continuar con el siguiente paso.

Finalmente, cambie el botón 'inactivo' a 'activo' para activar el código. Una vez hecho esto, haga clic enActualizar para guardar los cambios.

La API REST ahora está deshabilitada en su sitio web. Dado que las API son puntos vulnerables en su sitio de WordPress que los atacantes pueden explotar, deshabilitar la API REST lo protege de los ataques DDoS que explotan estos puntos débiles de la API.

5. Mantenga su software y complementos de WordPress actualizados

Actualizar temas y complementos de WordPress es otra forma de proteger su sitio web de ataques DDoS y mejorar la seguridad del sitio web. Las actualizaciones de software y complementos ayudan a garantizar que el sitio web utilice la versión más segura del software.

En WordPress, la mayoría de las actualizaciones suelen incluir correcciones para vulnerabilidades que los atacantes DDoS podrían aprovechar.

Para actualizar sus complementos de WordPress, inicie sesión en su WordPress y navegue hastaPanel de control >> Actualizaciones.

En la página de actualizaciones, verá todos los complementos que necesitan actualizarse en su sitio. Marque la casilla de verificación Seleccionar todo para marcar todos los complementos.Luego, desplácese hacia abajo y haga clic enActualizar complementos .

Además, verifique y actualice sus temas de WordPress.

Mientras lo hace, asegúrese de estar usando la última versión de WordPress.

6. Supervise el tráfico de su sitio web y esté atento a picos inusuales

Como propietario de un sitio web, debe tomar medidas de inmediato para evitar ataques y restaurar las operaciones normales si sospecha un ataque.

Esto puede incluir buscar la asistencia de un experto en seguridad o implementar medidas de seguridad adicionales. Por ejemplo, puede usar complementos de seguridad como Wordfence para monitorear su tráfico en busca de actividad inusual.

Si ha implementado el segundo consejo de este tutorial, debe tener instalado el complemento Wordfence Security en su sitio web.

Para acceder a la función de gestión del tráfico, haga clic en el menú lateralde Wordfence .A continuación, haga clic enAdministrar firewall para continuar.

Después de eso, desplácese hacia abajo hasta el botón para ubicar la sección 'Límite de velocidad'.

A continuación, active la función de bloqueo avanzado de limitación de velocidad para activarla.

En la página de configuración de limitación de velocidad, puede habilitar varios métodos de control de tráfico para ayudar a proteger su sitio de WordPress del tráfico no deseado y reducir la carga en los recursos del servidor.

Por ejemplo, puede establecer un límite de solicitudes, regulando la cantidad de solicitudes que puede realizar un usuario en particular.

La función de limitación de velocidad de Wordfence le permite controlar los rastreadores y las vistas de páginas humanas. También puede usarlo para limitar los picos de tráfico inusuales en los sitios de WordPress. Si bien Wordfence se puede personalizar aún más para mejorar la seguridad de WordPress , debe evitar bloquear el tráfico legítimo.

Ataque DDoS de WordPress (preguntas frecuentes)

A continuación, hemos respondido algunas de las principales preguntas que hacen los usuarios sobre cómo proteger su sitio de WordPress de los ataques DDoS.

¿Wordpress tiene protección DDoS?

WordPress no tiene protección DDoS por defecto. Sin embargo, puede implementar algunas medidas para proteger su sitio de WordPress de los ataques DDoS. Estos pueden incluir: el uso de servicios de terceros como Cloudflare o la instalación de complementos de seguridad como Wordfence.

¿Cómo atacan los atacantes DDoS un sitio web?

Los atacantes implementan ataques DDoS en WordPress al inundar el sitio de destino con varias solicitudes. Estos tienen como objetivo dificultar que los usuarios legítimos accedan al sitio.

Conclusión – WordPress DDoS

En resumen, proteger su sitio web de WordPress de los atacantes DDoS es esencial, ya que los ataques a su sitio web pueden afectar negativamente a su negocio.

Afortunadamente, hemos proporcionado algunos pasos en esta publicación que puede seguir para proteger su sitio de WordPress de los ataques DDoS.

Si está confundido acerca de algún paso, háganoslo saber en la sección de comentarios a continuación, o comuníquese con nuestros expertos para obtener más orientación.