Ataque DDoS no WordPress – Como proteger seu site

A prevalência de ataques DDoS do WordPress causou perda significativa de receita para muitas pequenas empresas que dependem do tráfego online para gerar receita.

Os ataques DDoS representam uma grave ameaça aos sites, independentemente de seu tamanho. Portanto, é essencial implementar todas as medidas de segurança adequadas para proteger seu site.

Nesta postagem, exploraremos como os ataques DDoS do WordPress podem prejudicar seu site . Em seguida, forneceremos dicas práticas sobre como evitar que eles aconteçam.

Conteúdo:

• O que é um ataque DDoS?
• Como os ataques DDoS podem afetar sites WordPress
• Dicas para proteger seu site WordPress contra ataques DDoS
  • 1. Ative a autenticação de dois fatores (2FA)
  • 2. Use um Web Application Firewall (WAF)
  • 3. Use o CDN da Cloudflare
  • 4. Desative a API REST no WordPress
  • 5. Mantenha seu software WordPress e plugins atualizados
  • 6. Monitore o tráfego do seu site
• perguntas frequentes
• Conclusão

O que é um ataque DDoS?

Um ataque distribuído de negação de serviço (DDoS) é um tipo de ataque cibernético que tenta sobrecarregar um site ou servidor com tráfego malicioso para interromper sua operação regular. Esses ataques podem ocorrer em qualquer site, incluindo sites com tecnologia WordPress.

Como os ataques DDoS podem afetar sites WordPress

As consequências de um ataque DDoS em sites WordPress são significativas, especialmente para sites de pequenas empresas. Isso ocorre porque eles podem não ter a infraestrutura para combater esses ataques. Se um ataque DDoS for bem-sucedido em um site, ele pode ficar indisponível para os usuários, levando ao tempo de inatividade do site.

Em 2016, a Internet foi atingida por um dos mais significativos ataques de negação de serviço. A DYN, uma provedora de serviços de DNS, foi alvo do ataque. Isso afetou muitos sites populares, como Netflix, Reddit, PayPal, Visa e outros. Como resultado, muitos usuários da Internet na Europa e na América do Norte foram afetados.

Os ataques DDoS têm muitos impactos sobre proprietários de sites e usuários da Internet. Alguns dos danos que os ataques DDoS podem causar ao seu site incluem o seguinte.

Tempo de inatividade do site

Uma das consequências mais significativas de um ataque DDoS é que o site visado pode ficar indisponível para os usuários. Isso pode ser frustrante para os usuários, que podem precisar de ajuda para acessar o site ou usar seus serviços.

Tráfego e receita perdidos

Se um site WordPress estiver indisponível devido a um ataque DDoS, isso pode resultar em perda de tráfego e receita. Por exemplo, durante o ataque DYN em outubro de 2016, a Sony relatou uma perda total de US$ 2,7 milhões. Isso é enorme, considerando que o ataque durou apenas duas horas.

Danos à reputação

Além disso, os usuários podem perder a confiança em sua marca se seu site for vítima de um ataque DDoS. Isso pode afetar a reputação do seu site porque os mecanismos de pesquisa também podem colocar seu site na lista negra.

Custo de Mitigação

A defesa contra um ataque DDoS pode ser cara porque requer recursos especializados e conhecimento técnico.

Perda de dados

Um estudo da Kaspersky em 2015 descobriu que 26% dos sites que sofrem ataques DDoS também sofrem perda de dados. Os ataques DDoS geralmente servem como cobertura para outros ataques cibernéticos, como ataques de força bruta.

Dicas para proteger seu site WordPress contra ataques DDoS

Os ataques DDoS tornaram-se uma séria ameaça para os proprietários de sites. E mesmo os sites mais bem financiados não são imunes a esses ataques. Tecnicamente, nenhum site está imune a ataques DDoS. No entanto, você pode implementar medidas para interromper e prevenir ataques DDoS.

Aqui estão algumas dicas de proteção DDoS do WordPress que você pode implementar para proteger seu site.

1. Ative a autenticação de dois fatores (2FA)

A autenticação de dois fatores (2FA) é uma medida de segurança que exige que os usuários forneçam uma camada adicional de autenticação antes de acessar páginas confidenciais, como a página de administração do WP.

Isso pode ajudar a proteger contra acesso não autorizado a sites, ataques de força bruta e ataques DDoS.

Por exemplo, você pode exigir que os usuários forneçam um código único enviado para o telefone ou e-mail antes de fazer login no seu site.

Você pode configurar a autenticação de dois fatores (2FA) no WordPress usando o plugin MiniOrange Google Authenticator.

Para instalar o MiniOrange Authenticator, faça login no painel do WordPress e vá paraPlugins >> Add New .Na caixa de pesquisa, digite "MiniOrange Google Authenticator". O plug-in deve aparecer nos resultados da pesquisa, conforme mostrado abaixo.

Em seguida, clique no botãoInstalar agora ao lado do nome do plug-in para instalar o plug-in em seu site.Depois de instalar o plug-in, o botão mudará para 'Ativar'. Clique nele para ativar o plugin.

Configurando o MiniOrange Google Authenticator

Depois de ativar o plug-in, você precisará conectá-lo ao aplicativo Google Authenticator em um dispositivo móvel. Isso é necessário para concluir a ativação do 2FA em seu site.

Para começar, clique emVamos começar .

Em seguida, escolha a opçãoUsuários que devem configurar o 2FA primeiro após o login .Dessa forma, todos os usuários serão forçados a configurar o 2FA antes de fazer login. Clique emContinuar configuração para prosseguir.

Você pode ativar o 2FA para todos os usuários ou apenas algumas funções específicas (por exemplo, administrador e editores). Isso é útil se você deseja excluir usuários como autores. Para este tutorial, ativaremos o 2FA apenas para administradores.

Selecione a opçãoSomente para funções específicas e marque a caixa de seleção Administrador. Depois disso, clique emContinue Setup para prosseguir.

Em seguida, escolha se deseja implementar o 2FA imediatamente ou dar aos usuários um período de carência. Clique emTudo concluído para continuar.

Agora, você precisará selecionar o método de autenticação que deseja configurar. Escolha a opçãoGoogle / Microsoft / Authy Authenticator e clique no botão Salvar e continuar.

Em seguida, selecioneConfigurar 2FA para você mesmo para prosseguir para a próxima etapa do processo de configuração.

Conectando o MiniOrnage com o Google Mobile Authenticator

O Google Authenticator é o aplicativo de autenticação preferido para esse processo. Isso porque é o mais popular e está disponível em dispositivos Android e iOS.

O primeiro passo será baixar o aplicativo Google Authentication da Play Store ou da Apple Store.

Depois de instalar o aplicativo, você verá uma página de menu com duas opções:Escanear um código QR e Inserir uma chave de configuração.

Selecione a opção de código QR e digitalize o código de barras QR exibido em seu site, como o abaixo.

Ao concluir a digitalização, insira o código de seis dígitos gerado pelo aplicativo de autenticação no campo designado.

Confirme a entrada selecionando a opçãoSalvar e continuar .

É isso! Você habilitou o 2FA com sucesso em seu site com MiniOrange Google 2FA.

Não é possível digitalizar o código QR no MiniOrange?

Se você não conseguir digitalizar o código QR fornecido, veja o que precisa fazer:

Primeiro, clique em Não consegue escanear o código de barras?Isso gerará uma chave para configurar o 2FA no aplicativo de autenticação do Google.

Abra o aplicativo Google Authenticator em seu telefone e selecione a opçãoInserir uma chave de configuração .Em seguida, cole a chave de 16 caracteres gerada pelo MiniOrange 2FA.

Digite um nome de aplicativo e tipo de conta e clique em adicionar. Em seguida, ele gerará um código de 6 dígitos que você pode usar para concluir o processo no WordPress. Feito isso, clique emSalvar e continuar para prosseguir.

Em seguida, você verá uma mensagem mostrando o status da sua configuração.

Para testar isso, saia do seu site WordPress e tente fazer login. Na página de login, você precisará inserir uma senha de uso único de 6 dígitos gerada pelo aplicativo de autenticação em seu telefone toda vez que fizer uma tentativa de login .

2. Use um Web Application Firewall (WAF)

Um Web Application Firewall (WAF) é uma medida de segurança que pode proteger um site de várias ameaças, incluindo ataques DDoS.

Os WAFs analisam o tráfego de entrada e bloqueiam solicitações maliciosas antes que cheguem aos servidores do site. Isso pode ajudar a evitar que ataques DDoS do WordPress sobrecarreguem a infraestrutura do site e causem falhas.

A maneira mais fácil de adicionar WAF ao seu site é com um plug-in de firewall. Felizmente, alguns plug-ins de segurança e anti-DDoS do WordPress, como o Wordfence Security, vêm com proteção de firewall.

Abaixo, vamos instalar e ativar o Wordfence em um site WordPress.

Instalando e ativando o Wordfence

Para instalar o Wordfence, faça login no painel de administração do WordPress e navegue até Plugins >> Add New. Localize a barra de pesquisa no canto superior direito e digite 'Wordfence' para procurar o plug-in.

Clique no botãoInstalar agora ao lado do plug-in Wordfence Security para instalá-lo em seu site.Ative o plug-in assim que a instalação for concluída.

Depois de ativar o WordFence, você terá que obter uma chave de licença para que funcione. Clique no botãoGet Your WordFence License na próxima página para iniciar a continuação.

Em seguida, selecione o plano gratuito para testar os recursos e clique em'Estou bem esperando por 30 dias ' para prosseguir.

Você pode atualizar para um plano pago mais tarde, se tiver o orçamento. No entanto, o plano gratuito oferece todos os recursos essenciais necessários para proteger seu site.

Em seguida, digite seu endereço de e-mail, aceite os termos e condições e clique em Registrar .

Você deve receber um e-mail de ativação do Wordfence. Abra seu e-mail e clique no link Ativação.

Depois disso, ele irá redirecioná-lo para o painel do WordPress. Aqui, você precisará clicar no botãoInstalar licença para ativar seu site.Com isso, agora você tem o Wordfence trabalhando ativamente em seu site.

Para verificar se o WAF está ativado e funcionando, localizeo Wordfence no painel do WordPress e clique no link Gerenciar firewall.

Você deve ver uma seção na próxima tela exibindo o status do WAF. Se o status do WAF estiver ativo e os valores percentuais forem exibidos, isso confirma que o WAF está ativado e funcional.

A instalação do plug-in Wordfence em seu site oferece os seguintes benefícios:

• Prevenção de injeção SQL
• Limitação de ataque bruto
• Proteção de script entre sites

3. Use o CDN da Cloudflare

Cloudflare é um provedor de CDN popular que melhora o desempenho do seu site e o protege contra ataques cibernéticos, como ataques DDoS.

A Cloudflare pode absolver ataques DDoS em grande escala e filtrar fontes de tráfego para detectar se solicitações específicas são de um invasor.

A seguir, mostraremos as etapas necessárias para ativar os serviços Cloudfare em seu site.

Obtendo uma conta Cloudflare

Como pré-requisito, certifique-se primeiro de ter acesso ao painel de administração do registrador de domínio. Você precisará disso para permitir o acesso do Cloudflare às suas configurações de DNS.

O primeiro passo é criar uma conta Cloudflare. Para fazer isso, visite a página de inscrição da Cloudflare. Em seguida, digite seu e-mail, escolha uma senha e clique emCriar conta .

Adicionando seu site ao Cloudflare

Sua conta Cloudflare está pronta. No entanto, você precisa concluir a configuração adicionando seu site. Depois de fazer login em sua conta, clique no botãoAdicionar site para adicionar seu site.

Digite seu nome de domínio (por exemplo, exemplo.com) e clique emAdicionar site para continuar.

Em seguida, selecione um plano Cloudflare adequado. Isso depende dos recursos que você deseja. No entanto, um plano gratuito é suficiente para fornecer a proteção básica de que você precisa. Selecione o plano gratuito e clique emContinuar para prosseguir.

Na próxima página, você verá uma lista de registros existentes. Você pode revisá-los para garantir que estejam corretos.

Observação : não é aconselhável fazer alterações em seus registros DNS neste estágio.

Se você revisou os registros e está satisfeito, clique em Continuar para continuar.

A próxima etapa é apontar seus servidores de nomes de domínio para a Cloudflare. Isso é importante para concluir o processo de ativação e permitir que o Cloudflare proteja seu site.

Você precisará substituir os servidores de nomes existentes em seu registrador de domínio.

Em seguida, copie os novos servidores de nomes fornecidos pela Cloudflare para substituir os que você removeu no host de seu domínio.

As etapas para alterar os servidores de nomes diferem de uma empresa de hospedagem para outra. Entre em contato com seu provedor de hospedagem na web se não tiver certeza de como localizar as configurações dos servidores de nomes. No entanto, mostraremos como fazer isso no Namecheap.

Atualizando servidores de nomes Namecheap

Primeiro, faça login na sua conta e clique emDomain List .

Na página do domínio, localize o domínio que deseja editar e clique emGerenciar .

Em seguida, clique no menu suspensoNameservers e selecione Custom DNS.

Nas caixas de entrada, insira os dois servidores de nomes fornecidos pela Cloudflare e clique na marca de seleção para salvar suas alterações.

Agora você pode retornar ao Cloudflare para verificar as alterações do servidor de nomes clicando emDone, check nameservers .

Observação: alterar seus servidores de nomes pode levar até 48 horas para se propagar.

Proteção DDoS da Cloudflare

A Cloudflare ativará automaticamente a proteção DDoS em seu site após adicioná-lo à Cloudflare.

Apesar disso, é aconselhável implementar medidas adicionais para proteger seu site. Dependendo do risco que seu site enfrenta, existem algumas configurações extras que você pode implementar para proteger ainda mais seu site.

Vamos mostrar duas configurações essenciais a serem implementadas para proteger seu site contra DDoS.

Crie uma substituição de DDos personalizada

Você pode personalizar o comportamento da proteção DDoS padrão da Cloudflare implantando uma substituição personalizada de DDoS.

Para usar esta opção, faça login na sua conta Cloudflare. Em seguida, selecione seu site para mover para sua zona.

Em seguida, navegue atéSegurança >> DDoS no menu do lado esquerdo.Clique emImplantar uma substituiçãode DDoS para continuar.

Na próxima página, adicione um nome para sua substituição. Depois disso, altere a ação do conjunto de regras paraDesafio gerenciado e defina a sensibilidade como BaixaouMédia, dependendo dos riscos que você enfrenta. Depois disso, role para baixo e clique emSalvar .

A implementação dessa estratégia ajudará a filtrar o tráfego nocivo de uma fonte DDoS. Ele usa conjuntos de desafios gerenciados apresentados aos usuários pela Cloudflare.

Ative o modo de luta de bots

Outra abordagem que você pode adotar para proteger seu site contra DDoS é ativar o modo Bot Fight. O modo de luta de bots ajuda a detectar e impedir que o tráfego de bots conhecidos acesse seu site.

Para ativar o modo Bot Fight, navegue atéSecurity >> Bots e alterne a opção do modo bot fight para a posição on.

A Cloudflare fornece todas as ferramentas necessárias para proteger seu site contra DDoS. As dicas acima devem proteger seu site da maioria dos ataques DDoS se você segui-las corretamente.

4. Desative a API REST no WordPress

A API REST do WordPress é um recurso do WordPress que permite aos desenvolvedores acessar e manipular dados do WordPress usando solicitações HTTP. Às vezes, a API REST pode ser usada como um vetor para ataques DDoS.

Você pode desabilitar a API WP REST usando vários métodos no WordPress. No entanto, o método mais fácil é usar trechos de código do plug-in WPCode.

Você precisará instalar e ativar o plug-in em seu site WordPress.

Após ativar o plugin, vá emCode Snippets >> + Add Snippet.

Na próxima página, digite 'rest api' na caixa de pesquisa. Desativar a API Rest agora deve aparecer nos resultados da pesquisa.

Em seguida, clique emUse Snippet para prosseguir para a próxima etapa.

Por fim, alterne o botão 'inativo' para 'ativo' para ativar o código. Uma vez feito, clique emAtualizar para salvar suas alterações.

A API REST agora está desativada em seu site. Como as APIs são pontos vulneráveis ​​em seu site WordPress que os invasores podem explorar, desabilitar a API REST protege você contra ataques DDoS que exploram esses pontos fracos da API.

5. Mantenha seu software WordPress e plugins atualizados

A atualização de temas e plugins do WordPress é outra maneira de proteger seu site contra ataques DDoS e aumentar a segurança do site. As atualizações de software e plug-in ajudam a garantir que o site use a versão mais segura do software.

No WordPress, a maioria das atualizações geralmente inclui correções para vulnerabilidades que os invasores DDoS podem explorar.

Para atualizar seus plugins do WordPress, faça login no seu WordPress e navegue atéPainel >> Atualizações.

Na página de atualizações, você verá todos os plugins que precisam ser atualizados em seu site. Marque a caixa de seleção Selecionar tudo para marcar todos os plug-ins.Em seguida, role para baixo e clique emAtualizar plugins .

Além disso, verifique e atualize seus temas do WordPress.

Enquanto isso, verifique se você está usando a versão mais recente do WordPress.

6. Monitore o tráfego do seu site e observe picos incomuns

Como proprietário de um site, você deve agir imediatamente para evitar ataques e restaurar as operações normais se suspeitar de um ataque.

Isso pode incluir buscar a assistência de um especialista em segurança ou implementar medidas de segurança adicionais. Por exemplo, você pode usar plug-ins de segurança, como o Wordfence, para monitorar seu tráfego em busca de atividades incomuns.

Se você implementou a segunda dica deste tutorial, deve ter o plug-in Wordfence Security instalado em seu site.

Para acessar o recurso de gerenciamento de tráfego, clique no menu lateraldo Wordfence .Em seguida, clique emGerenciar firewall para prosseguir.

Depois disso, role para baixo até o botão para localizar a seção 'Rate Limiting'.

Em seguida, ative o recurso de bloqueio avançado de limitação de taxa para ativá-lo.

Na página de configuração de limitação de taxa, você pode ativar vários métodos de controle de tráfego para ajudar a proteger seu site WordPress contra tráfego indesejado e reduzir a carga nos recursos do servidor.

Por exemplo, você pode estabelecer um limite de requisições, regulando a quantidade de requisições que um determinado usuário pode fazer.

O recurso de limitação de taxa do Wordfence permite controlar rastreadores e exibições de página humana. Você também pode usá-lo para limitar picos de tráfego incomuns em sites WordPress. Embora o Wordfence possa ser ainda mais personalizado para aprimorar a segurança do WordPress , você deve evitar bloquear o tráfego legítimo.

Ataque DDoS do WordPress (FAQs)

Abaixo, respondemos algumas das principais perguntas que os usuários fazem sobre como proteger seu site WordPress contra ataques DDoS.

O WordPress tem proteção DDoS?

O WordPress não possui proteção DDoS por padrão. No entanto, você pode implementar algumas medidas para proteger seu site WordPress contra ataques DDoS. Isso pode incluir: usar serviços de terceiros como Cloudflare ou instalar plugins de segurança como Wordfence.

Como os invasores DDoS atacam um site?

Os invasores implantam ataques DDoS no WordPress inundando o site de destino com várias solicitações. Eles visam dificultar o acesso de usuários legítimos ao site.

Conclusão – WordPress DDoS

Em resumo, proteger seu site WordPress de invasores DDoS é essencial, pois ataques ao seu site podem afetar negativamente seus negócios.

Felizmente, fornecemos algumas etapas nesta postagem que você pode seguir para proteger seu site WordPress contra ataques DDoS.

Se você estiver confuso sobre qualquer etapa, informe-nos na seção de comentários abaixo ou entre em contato com nossos especialistas para obter mais orientações.