Como prevenir ataques DDoS no WordPress

Com a pandemia em pleno andamento em muitos países e a explosão dos negócios online, os ataques digitais estão se tornando mais frequentes e ameaçadores. Alguns dos mais comuns e perigosos são os ataques DDoS . Neste guia, mostraremos como evitar ataques DDoS em seu site WordPress .

O que são ataques DDoS?

Antes de falar sobre como prevenir ataques DDoS (Distributed Denial of Service), vamos primeiro entender o que são. Simplificando , um ataque DDoS é um tipo de ataque de negação de serviço (DoS) que envolve muitos dispositivos online conectados que os hackers usam para sobrecarregar os servidores de um site com tráfego falso .

Nos ataques DDoS, essas máquinas e servidores conectados lançam ataques separadamente, mas ao mesmo tempo, permitindo que eles passem despercebidos por algum tempo antes de serem bloqueados. Com essa tática, eles podem facilmente intensificar o impacto desses ataques, diminuindo a velocidade e, finalmente, travando o servidor que visam.

Uma coisa interessante sobre os ataques DDoS é que eles não tentam violar e acessar seu servidor diretamente . Em vez disso, eles visam fazer com que o site e os servidores travem por um certo tempo para que os usuários não possam acessá-lo. No entanto, ataques DDoS podem ser usados ​​como cobertura para violar a segurança do servidor.

Então, o que acontece se você for vítima de um ataque DDoS? Se os hackers travaram seu servidor com sucesso, você pode estar com problemas. Pode custar milhares de dólares para recuperar seu sistema, sem mencionar outras despesas, como largura de banda. Mais importante, o ataque afetará seu tráfego, reputação e resultados de vendas.

Os ataques DDoS são comuns?

Sim, eles estão. Na verdade, os ataques DDoS estão se tornando cada vez mais comuns. De acordo com estudos recentes, existem atualmente 16 ataques DDoS a cada 60 segundos ! E só em 2019, houve mais de 8,4 milhões de ataques DDoS em todo o mundo.

Para evitar todos esses problemas, é de extrema importância evitar ataques DDoS em seu site WordPress . Neste guia, mostraremos o que fazer para evitá-los e manter seu site seguro.

Como prevenir ataques DDoS no WordPress

Estas são algumas ideias para prevenir ataques DDoS no WordPress e evitar que hackers afetem seu site.

1. Bloqueie o acesso a wp-login.php
2. Ativar um WAF
3. Supervisionar o tráfego do site
4. Restringir o acesso à área wp-admin
5. Ativar bloqueio de país
6. Desativar API de ataque DDoS
   1. API XML RPC
   2. API REST
7. Atualize o WordPress regularmente

1. Bloqueie o acesso a wp-login.php

O arquivo wp-login.php é um dos caminhos mais comuns que os hackers usam para ataques DDoS no WordPress. Por exemplo, no QuadLayers, bloqueamos o acesso aos arquivos wp-login.php mais de 250 vezes por dia!

Se você usa um serviço como o Cloudflare, pode verificar quantas vezes alguém tentou acessar seus arquivos wp-login.php . E você ficará surpreso com o quão alto é esse número. Bloquear o acesso a esses arquivos é uma das melhores maneiras de prevenir ataques DDoS no WordPress.

A maioria dos serviços de segurança oferece opções diferentes para bloquear o acesso ao wp-login.php . Usamos Cloudflare, então mostraremos como bloquear ataques aos arquivos wp-login.php com este serviço. O plano gratuito da Cloudflare permite configurar até 5 regras para que você possa fazer isso sem gastar dinheiro.

No painel, vá para Firewall > Regras de firewall > Criar uma regra de firewall . Dê um nome à regra e preencha os espaços em branco com as seguintes informações:

• Campo : Caminho do URI
• Operador : contém
• Valor : /wp-login.php

Como alternativa, você pode copiar e colar o seguinte código na seção Visualização da expressão:

 (http.request.uri.path contém "/wp-login.php")

Clique no botão Salvar e está tudo pronto.

2. Ative um WAF

WAF é a abreviação de Web Application Firewall e serve como outra camada de proteção para seu site. Ele protege seu site contra tráfego perigoso usando um algoritmo inteligente para identificar e bloquear solicitações aparentemente maliciosas. Dessa forma, permite que você receba apenas tráfego bom.

Existem muitas soluções WAF para escolher. Antes de decidir qual você vai usar, verifique se a proteção é adequada para o seu site, bem como o preço e a facilidade de uso. Tendo usado alguns deles ao longo dos anos, recomendamos a Sucuri. Possui um plugin gratuito e alguns planos profissionais que começam em 199 USD por ano para um único site. Cloudflare também é uma excelente escolha. Oferece um plugin gratuito e planos profissionais com mitigação de ataques DDoS por 20 USD por mês.

Além disso, recomendamos que você siga algumas dicas de segurança para melhorar a proteção geral do seu site contra todos os tipos de malware.

3. Supervisionar o tráfego do site

Um grande aumento no tráfego não significa necessariamente boas notícias. Embora nem sempre, os ataques DDoS são geralmente na forma de uma enorme quantidade de tráfego. Esses ataques volumétricos são baseados em rede e às vezes são confundidos com novos visitantes. Se você vir muitos novos visitantes chegando ao seu site, verifique se são novos usuários ou alguém tentando derrubar seu site.

A melhor solução para isso é instalar ferramentas de monitoramento e fazê-las verificar seus logs e alertá-lo se o número de solicitações/visitantes aumentar repentinamente. Dessa forma, você evitará ataques DDoS em seu site WordPress.

Para diferenciar entre novos visitantes e ataques DDoS, você pode querer prestar atenção em:

• Origem do tráfego: seu tráfego vem da região que você segmenta? Se você segmentar clientes locais, por exemplo, mas receber um tráfego enorme do exterior, algo estranho está acontecendo.
• Hora do tráfego: se você testemunhar um aumento de visitas às 3h, horário local, também pode ser os ataques.
• Características do seu negócio: Leve em consideração também o seu tipo de negócio. Se você vende roupas de banho e moda praia, por exemplo, é normal uma onda de visitantes durante o verão.

Observe que os bots do Google e outros rastreadores de mecanismos de pesquisa às vezes fazem solicitações suspeitas ao seu site. Lembre-se da diferença entre eles para garantir que você bloqueie os ataques DDoS, não os bots.

4. Restrinja o acesso à área wp-admin

Você deve ser o único que pode ter acesso à área wp-admin , pois é onde você controla todas as atividades mais importantes no WordPress. No entanto, ao restringir o acesso à área wp-admin , certifique-se de não incluir certos arquivos como /wp-admin/admin-ajax.php e /wp-admin/theme-editor.php que são usados ​​por plugins e temas que precisa acessar a área wp-admin do lado de fora. Além disso, você pode excluir seu IP e quando o referenciador vem do seu site.

Se você estiver usando um serviço de segurança, isso não deve ser difícil de configurar. No nosso caso, foi assim que fizemos usando o Cloudflare:

No painel, vá para Firewall > Regras de firewall > Criar uma regra de firewall . Depois de nomear a regra, preencha os espaços em branco com as seguintes informações:

• Campo: Caminho do URI
• Operador: contém
• Valor: /wp-admin/

[E]

• Campo: Caminho do URI
• Operador: não contém
• Valor: /wp-admin/admin-ajax.php

[E]

• Campo: Caminho do URI
• Operador: não contém
• Valor: /wp-admin/theme-editor.php

[E]

• Campo: Referenciador
• Operador: não contém
• Valor: quadlayers.com

[E]

• Campo: Endereço IP
• Operador: não contém
• Valor: 182.189.59.210

Caso contrário, você pode simplesmente clicar em Editar expressão e colar o seguinte código:

 (http.request.uri.path contém "/wp-admin/" e não http.request.uri.path contém "/wp-admin/admin-ajax.php" e não http.request.uri.path contém "/ wp-admin/theme-editor.php" e não http.referer contém "quadlayers.com" e ip.src ne 182.189.59.210)

5. Ative o bloqueio de país

Semelhante a um firewall de site, o bloqueio de país é um tipo de bloqueio geográfico que serve para minimizar o risco de seu site ser atacado. Embora os proprietários de sites não possam descartar a possibilidade de ataques DDoS apenas pelo bloqueio de país, é uma prática comum aumentar a proteção contra os ataques ao mesmo tempo em que cumpre as políticas organizacionais. Como um grande número de ataques cibernéticos veio de alguns países nos últimos tempos, você pode considerar bloqueá-los de interagir com seu site.

Como um dos plugins de segurança que permite o fácil bloqueio de países, o Sucuri é uma excelente opção para isso.

6. Desative as APIs de ataque DDoS

O princípio desse método é desabilitar várias APIs para que hackers não possam usá-las para lançar ataques em seu site WordPress. Normalmente, essas APIs são os gateways para plugins e serviços de terceiros para integração em um site. No entanto, os hackers costumam explorá-los para lançar ataques DDoS ou de força bruta.

Há duas APIs que você deve considerar desabilitar:

6.1) API XML RPC

Essa API ajuda aplicativos de terceiros a interagir com seu site, especialmente para usar o aplicativo WordPress em seu celular. A má notícia é que é um dos alvos de ataque DDoS mais comuns . Portanto, se a maioria de seus usuários não usa a versão móvel do WordPress, considere desabilitar essa API para evitar ataques DDoS.

Para desativar a API XML RPC e bloquear todas as suas solicitações, basta adicionar o seguinte código ao arquivo .htaccess do seu site.

 # Bloqueie todas as solicitações xmlrpc.php do WordPress
<Arquivos xmlrpc.php>
ordem negar, permitir
negar de todos
</Arquivos>

6.2) API REST

Outra API que pode ser desabilitada para evitar ataques DDoS no WordPress é a API REST. Essa API permite que plugins e ferramentas de terceiros acessem dados do WordPress, bem como modifiquem e excluam conteúdo. A maneira mais fácil de desabilitar esta API é baixar o plugin gratuito Disable WP Rest API.

Depois de baixá-lo, ative-o e está tudo pronto. A ferramenta funcionará imediatamente e desabilitará a API REST para todos os usuários não logados sem nenhuma configuração adicional.

7. Atualize o WordPress regularmente

A atualização regular do WordPress não apenas previne ataques DDoS, mas também protege seu site contra muitos outros tipos de ataques e hacks. É por isso que você deve atualizar regularmente:

1. Instalação, temas e plugins do WordPress
2. Versão do PHP no servidor
3. Apache, MySQL e SO
4. Quaisquer outros scripts e softwares

O que fazer se você estiver sob um ataque DDoS no WordPress?

Mesmo que você possa se preparar com antecedência e tentar evitar ataques DDoS no WordPress, o que você deve fazer se estiver sob ataque? Estas são as respostas imediatas que você deve realizar durante um ataque DDoS:

1. Informe sua equipe

Trabalhar em conjunto quando ocorrer uma crise lhe dará o maior poder. Quando estiver sob um ataque DDoS, certifique-se de alertar os membros de sua equipe para que eles estejam cientes do que acontece e possam ajudá-lo com contramedidas.

2. Notifique seus clientes

Isso é especialmente importante se o site sob ataque for uma loja WooCommerce, pois os clientes não poderão fazer login em sua conta ou comprar produtos durante esse período. Não dar nenhum anúncio e explicação em um momento tão crítico pode prejudicar sua reputação. Portanto, recomendamos que você os avise por e-mail ou mídia social que seu site está passando por erros técnicos e estará novamente on-line em breve.

3. Entre em contato com seu provedor de hospedagem e segurança

Depois de alertar colegas de trabalho e clientes, entre em contato com seu provedor de hospedagem WordPress também. Como os invasores podem ter como alvo seus sistemas, é melhor que eles saibam disso e possam até ajudá-lo com a situação. Além disso, entrar em contato com seu provedor de segurança neste momento é crucial. Como lidar com ataques faz parte de sua profissão, eles podem ajudá-lo a formular contramedidas melhores e mais rápidas.

4. Implemente respostas

Se você tiver contramedidas prontas para serem implantadas, é quando elas vêm em socorro. Normalmente, as contramedidas funcionarão imediatamente assim que os ataques acontecerem. É melhor se você preparar isso com antecedência. No entanto, se você não preparou nenhuma solução de segurança especializada, pergunte ao seu provedor de segurança, pois a maioria deles oferece respostas de emergência.

5. Avalie o desempenho das contramedidas

Não se esqueça de avaliar o desempenho das contramedidas também! Eles são eficazes? Ou os atacantes estão ganhando? Dessa forma, você pode ajustar suas respostas caso qualquer outro ataque surja em seu caminho. Vamos torcer para que não seja o caso, mas é melhor prevenir do que remediar.

Conclusão

Em suma, os ataques DDoS são muito frequentes hoje em dia. Quanto mais seu site WordPress cresce, mais atraente ele se torna para os hackers. No entanto, você pode prevenir e se preparar para esses ataques implementando medidas preventivas. As etapas mencionadas acima não apenas ajudarão você a evitar ataques DDoS no WordPress, mas também ajudarão a manter seu site protegido contra ataques em geral.

Mas e se você já estiver sob ataque? Não entre em pânico. Siga as recomendações mencionadas acima para tentar reduzir os problemas e colocar seu site em funcionamento o mais rápido possível. Quer aumentar ainda mais a segurança do seu site? Confira nossas dicas de segurança!

Você tem alguma outra tática útil para evitar ataques DDoS? Por favor, compartilhe conosco na seção de comentários abaixo!