Plan de protección DDoS de WordPress de 6 pasos para prevenir un ataque

Publicado: 2020-02-20

Mustafiz / stock.adobe.com

Por lo general, un aumento en el tráfico web es un resultado deseable para su marca. Sin embargo, es posible que no anticipe que su sitio se vea repentinamente inundado por miles de solicitudes simultáneas , lo que provocará su falla. Desafortunadamente, esto es exactamente lo que sucede durante una denegación de servicio distribuido o un ataque 'DDoS' en un sitio de WordPress .

Evite un ataque DDoS en un sitio de WordPress

Afortunadamente, como la mayoría de las amenazas a la ciberseguridad, existen pasos que puede seguir para minimizar las posibilidades de un ataque DDoS en su sitio de WordPress. Implementar un plan de protección puede ayudar a detener y evitar que los delincuentes de Internet paralicen su negocio en línea.

En esta publicación, explicaremos qué son los ataques DDoS y cómo funcionan. Luego, le proporcionaremos un plan de protección DDoS de WordPress de seis pasos que puede utilizar para ayudar a prevenir un ataque a su sitio. ¡Empecemos!

En este articulo

  • ¿Qué es un ataque DDoS?
  • La importancia de crear un plan de protección DDoS en WordPress
  • Cómo prevenir un ataque DDoS en su sitio de WordPress (6 consejos clave)
  • Terminando
Nuestro equipo en WP Buffs se asocia con propietarios de sitios, agencias y autónomos para monitorear y bloquear sitios de WordPress las 24 horas del día, los 7 días de la semana. Ya sea que necesite proteger un sitio web o 1000 sitios de clientes, estamos aquí para ayudarlo.

¿Qué es un ataque DDoS?

Un ataque DDoS se refiere a un problema de seguridad en el que un sitio se ve inundado de solicitudes falsas durante un corto período de tiempo, generalmente mediante el uso de bots. Los accesos provienen de múltiples fuentes y la intención es saturar el sitio web de destino y provocar que colapse .

Se pueden realizar miles de solicitudes en un instante. Considere el ataque DDoS de 2019 a Imperva, durante el cual su red recibió 580 millones de paquetes por segundo (PPS) .

Este aumento repentino e inesperado de atascos de tráfico falsos paraliza el sitio, volviéndolo no disponible y vulnerable . Estos ataques pueden estar dirigidos a un sitio web individual o a una red completa.

Los tipos más comunes de ataques DDoS se dividen en tres categorías:

  • Basado en volumen: se basa en replicar un pico de tráfico masivo.
  • Protocolo: explota los recursos del servidor para bloquear el sitio o la red de destino.
  • Aplicación: un ataque más sofisticado dirigido a una aplicación web.

Existen diferentes métodos y motivaciones para llevar a cabo este tipo de agresiones. Los piratas informáticos pueden ejecutar un ataque DDoS para aumentar la vulnerabilidad de su sitio web de WordPress. Puede ser una distracción eficaz que facilite la infiltración en su sitio sin ser detectado.

Sin embargo, lo más frecuente es que el objetivo sea principalmente dañar el sitio objetivo . Por ejemplo, alguien podría realizar un ataque DDoS contra un competidor . Si bien se trata de una medida maliciosa y extrema, no es algo inaudito, especialmente si se tiene en cuenta el impacto negativo que el tiempo de inactividad puede tener en una empresa.

La importancia de crear un plan de protección DDoS en WordPress

Los efectos de un ataque DDoS pueden ser devastadores para su empresa. Muchos de los daños que siguen son el resultado de un tiempo de inactividad prolongado e inesperado .

Si su sitio no está disponible durante un período prolongado, es muy probable que pierda cierta cantidad de negocios. Los clientes no podrán acceder a su sitio y es posible que vean un error 502 de puerta de enlace incorrecta . Esto significa que se está perdiendo ventas de comercio electrónico u otras conversiones de clientes potenciales.

La indisponibilidad prolongada también puede afectar su clasificación de optimización de motores de búsqueda (SEO) . Con una visibilidad reducida, tendrá que trabajar más duro para atraer clientes potenciales mientras reconstruye la credibilidad de su sitio.

Además, un ataque DDoS puede provocar problemas de alojamiento . Esto es particularmente cierto si tiene un plan compartido, ya que este tipo de violación de seguridad puede afectar no solo a su sitio, sino también a los demás en su servidor.

Además, como mencionamos antes, un incidente DDoS puede aumentar la vulnerabilidad de tu sitio ante otro tipo de ataques . Mientras se distrae intentando volver a poner su sitio en línea, su atención se desvía de sus sistemas de seguridad . Esto puede facilitar que los piratas informáticos se infiltren sin que usted se dé cuenta.

Recuperarse de un ataque puede requerir mucho dinero y tiempo . Si bien no necesariamente puedes evitar que alguien lleve a cabo un ataque DDoS en tu sitio de WordPress, puedes tomar medidas para minimizar el daño que se produce si eres víctima de uno.

[bctt tweet=” Establecer un sólido plan de protección DDoS de WordPress ayuda a salvaguardar sus activos comerciales críticos. #WordPress” nombre de usuario =”thewpbuffs”]

Cómo prevenir un ataque DDoS en su sitio de WordPress (6 consejos clave)

Hay una variedad de métodos que puede utilizar para proteger su sitio de WordPress , como usar complementos de seguridad y deshabilitar ciertas funciones. Con el plan de protección adecuado, puede mejorar su capacidad para recuperarse de un ataque DDoS. En esta sección, veremos seis consejos para prevenirlo.

  1. Deshabilite XMLR RPC y REST API en WordPress
  2. Instale un firewall de aplicaciones web (WAF) en su sitio
  3. Elija un proveedor de alojamiento seguro
  4. Utilice una red de entrega de contenido (CDN)
  5. Descargue un complemento de protección DDoS de WordPress
  6. Haga del mantenimiento y monitoreo de WordPress una prioridad

1. Deshabilite XML RPC y REST API en WordPress

Desde el lanzamiento de la versión 3.5 de WordPress, tiene la opción de habilitar XML-RPC de forma predeterminada. Esta función es útil para pingbacks y trackbacks.

Sin embargo, no es una necesidad para la mayoría de los sitios. En realidad, sólo es necesario si confías en aplicaciones móviles para administrar tu sitio de WordPress.

XML-RPC es fácil de comprometer, lo que significa que expone vulnerabilidades que los piratas informáticos pueden aprovechar durante ataques DDoS. Por lo tanto, recomendamos desactivarlo.

Puede lograr esto editando su archivo .htaccess . Ábralo a través del administrador de archivos de su cuenta de alojamiento o utilizando el Protocolo de transferencia de archivos (FTP) y un cliente FTP como FileZilla. Luego pegue el siguiente fragmento de código:

 # Bloquear solicitudes xmlrpc.php de WordPress

orden denegar, permitir
Negar todo

Del mismo modo, también es inteligente desactivar la API REST en WordPress. Este es otro canal que brinda acceso a aplicaciones de terceros (y, a su vez, a ciberdelincuentes) a su sitio de WordPress.

La forma más sencilla de desactivar la API de WordPress en su sitio es mediante WP Hide & Security Enhancer.

Ocultar WP y mejorar la seguridad

Este complemento es de uso gratuito y no requiere configuración . Después de instalarlo y activarlo, puede desactivar la API REST yendo a WP Hide > JSON API :

Deshabilitar la API REST en WP Hide

También puede utilizar este complemento para deshabilitar la funcionalidad XML-RPC . Esa opción se encuentra en la pestaña XML-RPC .

2. Instale un WAF en su sitio

Lo más probable es que si has estado usando WordPress por un tiempo, probablemente sepas qué es un WAF. En pocas palabras, es un tipo de software de seguridad que agrega una capa de protección entre su sitio y el tráfico malicioso. Puede ayudar a prevenir ataques DDoS limitando el acceso de los usuarios y filtrando los bots .

Si bien hay muchos WAF diferentes para elegir para ayudar a proteger su sitio de WordPress , recomendamos usar Sucuri.

Sucuri, un complemento de protección DDoS de WordPress.

El WAF y el sistema de prevención de intrusiones (IPS) de Sucuri ayudan a proteger los sitios contra ataques de fuerza bruta, malware y más. También puede detectar tráfico malicioso y bloquear múltiples tipos de ataques DDoS .

Suruci ofrece una variedad de planes para elegir. También cuenta con 'Ayuda inmediata' para los sitios que actualmente están bajo ataque.

3. Elija un proveedor de alojamiento seguro

No se puede subestimar la importancia de un alojamiento de calidad para su sitio de WordPress. Su servidor influye en la velocidad y el rendimiento de su sitio. Sin embargo, también juega un papel integral en la seguridad y afecta su capacidad para prevenir y recuperarse de un ataque DDoS.

[bctt tweet=” Su elección de proveedor de alojamiento podría dejarlo vulnerable a ataques DDoS. #WordPress” nombre de usuario =”thewpbuffs”]

Una de las grandes preocupaciones que suele tener la gente a la hora de elegir un proveedor de alojamiento web es el coste. Sin embargo, cuando se trata de proteger su sitio, invertir en alojamiento de calidad es invaluable. Esto es particularmente cierto si se tiene en cuenta que optar por un plan económico puede resultar en detrimento de los activos comerciales críticos.

Teniendo en cuenta los efectos perjudiciales que un ataque DDoS puede tener en el rendimiento y el tiempo de actividad de su sitio, es esencial elegir un proveedor de alojamiento y un plan equipado para detectar y manejar una avalancha abrumadora de tráfico . Algunos proveedores como Kinsta* y WP Engine* vienen con funciones integradas como firewalls de hardware e integración CDN.

Planes de alojamiento de WP Engine

Con suerte, ya estás utilizando un proveedor de hosting premium y confiable . De lo contrario, recomendamos cambiar a un proveedor de alojamiento de WordPress totalmente administrado que haga de la seguridad una prioridad. Esto incluye buscar planes que incluyan características como servicio CDN gratuito, monitoreo y soporte 24 horas al día, 7 días a la semana, y escaneo de malware.

4. Utilice una CDN

Una CDN proporciona servidores de red adicionales que ayudan a respaldar su sitio de WordPress al manejar la mayor parte de la carga del servidor . Aunque comúnmente se hace referencia a ella en relación con la optimización del rendimiento, esta herramienta también puede ser útil para la seguridad.

Básicamente, las CDN pueden ayudar a prevenir ataques DDoS al hacer que sea mucho más difícil saturar su servidor. También pueden ayudar a detectar patrones de tráfico inusuales y, en algunos casos, actuar como proxy inverso.

Existen muchos proveedores de servicios CDN diferentes. Sin embargo, recomendamos optar por uno de los titanes del mercado, como Cloudfare.

La página de inicio del sitio web de Cloudfare.

Cloudfare adopta un enfoque de seguridad en capas que puede ayudar con la protección y mitigación de DDoS . Si bien tiene una variedad de planes premium para elegir, puede usar Global CDN de forma gratuita. Otro beneficio es que puedes integrarlo fácilmente con tu sitio web a través del complemento de WordPress correspondiente.

5. Descargue un complemento de protección DDoS de WordPress

Los complementos de seguridad pueden ahorrarle mucho tiempo y energía al agilizar muchas tareas que de otro modo serían engorrosas. Algunos también tienen características que pueden ser esenciales para prevenir ataques DDoS en su sitio de WordPress.

Como mencionamos anteriormente, los WAF pueden ser increíblemente útiles para proteger su sitio. Instalar un complemento de seguridad que viene con uno integrado es una forma rápida de agregar protección a su instalación de WordPress.

Además, funciones como los límites de intentos de inicio de sesión, la detección de URL incorrectas y direcciones IP maliciosas y el bloqueo de bots ayudan a mitigar los ataques. Por lo tanto, recomendamos descargar un complemento de protección DDoS de WordPress como Wordfence.

El complemento de WordPress Wordfence.

Wordfence puede realizar todas las funciones mencionadas anteriormente y más. Este complemento de seguridad de WordPress también incluye herramientas para monitorear el tráfico y las visitas en vivo, así como los aumentos repentinos de actividad .

Puede descargar y utilizar muchas de las funciones del complemento de forma gratuita. Sin embargo, también ofrece una versión premium que desbloquea el acceso al conjunto completo de funciones de seguridad, incluida una fuente de defensa contra amenazas en tiempo real.

6. Haga del mantenimiento y monitoreo de WordPress una prioridad

Cuando se trata de administrar su sitio web, a veces la mejor forma de protección es la prevención . En sus esfuerzos por minimizar las posibilidades de un ataque DDoS en su sitio de WordPress, es fundamental que el mantenimiento y la supervisión regulares sean una prioridad.

Realizar un mantenimiento regular de su sitio ayudará a mantenerlo en óptimas condiciones y, en última instancia, reducirá la cantidad de vulnerabilidades disponibles para que los intrusos las exploten. El monitoreo de rutina puede ayudarlo a detectar actividades sospechosas antes de que causen daños importantes.

Hay muchas tareas involucradas en el mantenimiento y monitoreo adecuados, que incluyen:

  • Actualizaciones de WordPress, complementos y temas
  • Monitoreo del tiempo de actividad
  • Copias de seguridad automatizadas
  • Optimización de velocidad
  • Escaneo y eliminación de malware

Mantenerse al tanto de estas tareas puede ser un proceso que requiere mucho tiempo, pero es necesario. Sugerimos hacerlo mucho más fácil registrándose en un Plan de atención de WordPress, como los que ofrecemos en WP Buffs.

WP Buffs Planes de cuidado de WordPress

El mantenimiento profesional le brinda la tranquilidad de saber que su sitio recibe el cuidado adecuado. Además, libera tiempo en su propia agenda para concentrarse en otros asuntos comerciales urgentes.

Terminando

Teniendo en cuenta la amplia gama de amenazas a la seguridad que existen hoy en día, estar al tanto de todas ellas puede resultar abrumador. Sin embargo, dado que los ataques DDoS aumentan tanto en frecuencia como en gravedad, es más importante que nunca asegurarse de que su sitio de WordPress esté protegido adecuadamente .

En esta publicación, analizamos seis consejos que puede utilizar para ayudar a detener y prevenir un ataque DDoS en su sitio de WordPress:

  1. Deshabilite XMLR RPC y REST API en WordPress.
  2. Instale un WAF en su sitio.
  3. Elija un proveedor de hosting seguro.
  4. Utilice una CDN.
  5. Descargue un complemento de protección DDoS de WordPress.
  6. Haga del mantenimiento y monitoreo de WordPress una prioridad.

Si desea hacer del cuidado y mantenimiento del sitio de WordPress una prioridad pero no está seguro de tener tiempo para ello, considere subcontratarnos el trabajo en WP Buffs . Nuestros planes integrales de cuidado del sitio pueden ayudarlo con todo, desde instalar los complementos adecuados hasta realizar controles exhaustivos de seguridad del sitio .

¿Quieres dar tu opinión o unirte a la conversación? Añade tus comentarios en Twitter.

Crédito de la imagen: Scott Weber.