Plano de proteção DDoS do WordPress em 6 etapas para prevenir um ataque

Publicados: 2020-02-20

Mustafiz/stock.adobe.com

Normalmente, um aumento no tráfego da web é um resultado desejável para sua marca. No entanto, você pode não prever que seu site será subitamente inundado por milhares de solicitações simultâneas , causando seu travamento. Infelizmente, isso é exatamente o que acontece durante uma negação de serviço distribuída ou ataque 'DDoS' em um site WordPress .

Evite um ataque DDoS no site WordPress

Felizmente, como a maioria das ameaças à segurança cibernética, existem etapas que você pode seguir para minimizar as chances de um ataque DDoS no seu site WordPress. A implementação de um plano de proteção pode ajudar a impedir e impedir que criminosos da Internet prejudiquem o seu negócio online.

Neste post, explicaremos o que são ataques DDoS e como funcionam. Em seguida, forneceremos a você um plano de proteção DDoS do WordPress em seis etapas que você pode usar para ajudar a prevenir um ataque ao seu site. Vamos começar!

Neste artigo

  • O que é um ataque DDoS?
  • A importância de criar um plano de proteção DDoS para WordPress
  • Como prevenir um ataque DDoS em seu site WordPress (6 dicas principais)
  • Empacotando
Nossa equipe na WP Buffs faz parceria com proprietários de sites, agências e freelancers para monitorar e bloquear sites WordPress 24 horas por dia, 7 dias por semana. Se você precisa proteger um site ou 1.000 sites de clientes, estamos aqui para ajudar.

O que é um ataque DDoS?

Um ataque DDoS refere-se a um problema de segurança em que um site é inundado com solicitações falsas durante um curto período de tempo, geralmente através do uso de bots. Os acessos vêm de diversas fontes e a intenção é sobrecarregar o site de destino e causar seu travamento .

Milhares de solicitações podem ocorrer em um instante. Consideremos o ataque DDoS de 2019 à Imperva, durante o qual a sua rede foi atingida com 580 milhões de pacotes por segundo (PPS) .

Esse aumento inesperado e repentino de engarrafamentos falsos paralisa o site, tornando-o indisponível e vulnerável . Esses ataques podem ser direcionados a um site individual ou a uma rede inteira.

Os tipos mais comuns de ataques DDoS se enquadram em três categorias:

  • Baseado em volume: depende da replicação de um grande pico de tráfego.
  • Protocolo: explora recursos do servidor para travar o site ou rede de destino.
  • Aplicação: Um ataque mais sofisticado que tem como alvo uma aplicação web.

Existem diferentes métodos e motivações para realizar este tipo de agressão. Os hackers podem executar um ataque DDoS para aumentar a vulnerabilidade do seu site WordPress. Pode ser uma distração eficaz que facilita a infiltração em seu site sem ser detectada.

Na maioria das vezes, porém, o objetivo é principalmente quebrar o site visado . Por exemplo, alguém pode conduzir um ataque DDoS a um concorrente . Embora esta seja uma medida maliciosa e extrema, não é inédita, especialmente quando se considera o impacto negativo que o tempo de inatividade pode ter em uma empresa.

A importância de criar um plano de proteção DDoS para WordPress

Os efeitos de um ataque DDoS podem ser devastadores para o seu negócio. Muitos dos danos que se seguem são resultado de tempos de inatividade prolongados e inesperados .

Se o seu site ficar indisponível por um longo período de tempo, é muito provável que você perca alguns negócios. Os clientes não conseguirão acessar seu site e poderão ver um erro 502 de gateway inválido . Isso significa que você está perdendo vendas de comércio eletrônico ou outras conversões de leads.

A indisponibilidade prolongada também pode afetar suas classificações de Search Engine Optimization (SEO) . Com a diminuição da visibilidade, você terá que trabalhar mais para atrair leads enquanto reconstrói a credibilidade do seu site.

Além disso, um ataque DDoS pode trazer problemas de hospedagem . Isso é especialmente verdadeiro se você estiver em um plano compartilhado, pois esse tipo de violação de segurança pode afetar não apenas o seu site, mas também os outros no seu servidor.

Além disso, como mencionamos antes, um incidente DDoS pode aumentar a vulnerabilidade do seu site a outros tipos de ataques . Enquanto você está distraído tentando colocar seu site online novamente, seu foco é desviado dos sistemas de segurança . Isso pode facilitar a infiltração de hackers sem você perceber.

A recuperação de um ataque pode exigir muito dinheiro e tempo . Embora você não possa necessariamente impedir que alguém realize um ataque DDoS em seu site WordPress, você pode tomar medidas para minimizar os danos que ocorrerão se você for vítima de um.

[bctt tweet =” Estabelecer um plano forte de proteção DDoS para WordPress ajuda a proteger seus ativos críticos de negócios. #WordPress”nome de usuário=”thewpbuffs”]

Como prevenir um ataque DDoS em seu site WordPress (6 dicas principais)

Existem vários métodos que você pode usar para proteger seu site WordPress , como usar plug-ins de segurança e desativar determinados recursos. Com o plano de proteção certo, você pode melhorar sua capacidade de se recuperar de um ataque DDoS. Nesta seção, daremos uma olhada em seis dicas para prevenir uma.

  1. Desative XMLR RPC e REST API no WordPress
  2. Instale um firewall de aplicativo da Web (WAF) em seu site
  3. Escolha um provedor de hospedagem seguro
  4. Use uma rede de distribuição de conteúdo (CDN)
  5. Baixe um plugin de proteção DDoS para WordPress
  6. Faça da manutenção e monitoramento do WordPress uma prioridade

1. Desative XML RPC e API REST no WordPress

Desde o lançamento da versão 3.5 do WordPress, você tem a opção de habilitar o XML-RPC por padrão. Este recurso é útil para pingbacks e trackbacks.

No entanto, não é uma necessidade para a maioria dos sites. Na verdade, só é necessário se você depende de aplicativos móveis para gerenciar seu site WordPress.

O XML-RPC é fácil de comprometer, o que significa que expõe vulnerabilidades que os hackers podem explorar durante ataques DDoS. Portanto, recomendamos desativá-lo.

Você pode fazer isso editando seu arquivo .htaccess . Abra-o por meio do gerenciador de arquivos da sua conta de hospedagem ou usando o File Transfer Protocol (FTP) e um cliente FTP como o FileZilla. Em seguida, cole o seguinte trecho de código:

 # Bloquear solicitações xmlrpc.php do WordPress

ordenar negar, permitir
negar de todos

Na mesma linha, também é inteligente desabilitar a API REST no WordPress. Este é outro canal que dá a aplicativos de terceiros (e, por sua vez, a cibercriminosos) acesso ao seu site WordPress.

A maneira mais fácil de desabilitar a API do WordPress em seu site é usando WP Hide & Security Enhancer.

WP Hide e intensificador de segurança

Este plugin é gratuito e não requer configuração . Depois de instalá-lo e ativá-lo, você pode desativar a API REST acessando WP Hide > JSON API :

Desativando a API REST em WP Hide

Você também pode usar este plugin para desabilitar a funcionalidade XML-RPC . Essa opção está localizada na aba XML-RPC .

2. Instale um WAF em seu site

Provavelmente, se você já usa o WordPress há algum tempo, provavelmente sabe o que é um WAF. Simplificando, é um tipo de software de segurança que adiciona uma camada de proteção entre o seu site e o tráfego malicioso. Ele pode ajudar a prevenir ataques DDoS, limitando o acesso do usuário e filtrando bots .

Embora existam muitos WAFs diferentes para escolher para ajudar a proteger seu site WordPress , recomendamos o uso do Sucuri.

Sucuri, um plugin de proteção DDoS para WordPress.

O WAF e o Intrusion Prevent System (IPS) da Sucuri ajudam a proteger sites contra ataques de força bruta, malware e muito mais. Ele também pode detectar tráfego malicioso e bloquear vários tipos de ataques DDoS .

Suruci oferece uma variedade de planos para você escolher. Também possui 'Ajuda Imediata' para sites que estão atualmente sob ataque.

3. Escolha um provedor de hospedagem seguro

A importância da hospedagem de qualidade para o seu site WordPress não pode ser exagerada. Seu servidor influencia a velocidade e o desempenho do seu site. No entanto, também desempenha um papel fundamental na segurança e afeta a sua capacidade de prevenir e recuperar de um ataque DDoS.

[bctt tweet =” Sua escolha de provedor de hospedagem pode deixá-lo vulnerável a ataques DDoS. #WordPress”nome de usuário=”thewpbuffs”]

Uma das grandes preocupações que as pessoas costumam ter ao escolher um host é o custo. Porém, quando se trata de proteger o seu site, investir em hospedagem de qualidade é inestimável. Isto é particularmente verdadeiro quando você considera que a opção por um plano barato pode prejudicar seus ativos críticos de negócios.

Considerando os efeitos prejudiciais que um ataque DDoS pode ter no desempenho e no tempo de atividade do seu site, é essencial escolher um provedor de hospedagem e um plano equipado para detectar e lidar com uma enorme inundação de tráfego . Alguns provedores como Kinsta* e WP Engine* vêm com recursos integrados, como firewalls de hardware e integração CDN.

Planos de hospedagem WP Engine

Felizmente, você já está usando um provedor de hospedagem premium e confiável . Caso contrário, recomendamos mudar para um provedor de hospedagem WordPress totalmente gerenciado que priorize a segurança. Isso inclui a procura de planos que incluam recursos como serviço CDN gratuito, monitoramento e suporte 24 horas por dia, 7 dias por semana, e verificação de malware.

4. Use um CDN

Uma CDN fornece servidores de rede adicionais que ajudam a dar suporte ao seu site WordPress , lidando com a maior parte da carga do servidor . Embora comumente referenciada em relação à otimização de desempenho, esta ferramenta também pode ser útil para segurança.

Basicamente, os CDNs podem ajudar a prevenir ataques DDoS , tornando muito mais difícil sobrecarregar o servidor. Eles também podem ajudar a detectar padrões de tráfego incomuns e, em alguns casos, atuar como proxy reverso.

Existem muitos provedores de serviços CDN diferentes por aí. No entanto, recomendamos optar por um dos titãs do mercado, como Cloudfare.

A página inicial do site Cloudfare.

A Cloudfare adota uma abordagem de segurança em camadas que pode ajudar na proteção e mitigação de DDoS . Embora tenha uma variedade de planos premium para escolher, você pode usar o Global CDN gratuitamente. Outro benefício é que você pode integrá-lo facilmente ao seu site por meio do plugin WordPress correspondente.

5. Baixe um plug-in de proteção DDoS para WordPress

Os plug-ins de segurança podem economizar muito tempo e energia, simplificando muitas tarefas que de outra forma seriam complicadas. Alguns também possuem recursos que podem ser essenciais para prevenir ataques DDoS em seu site WordPress.

Como mencionamos acima, os WAFs podem ser extremamente úteis para proteger o seu site. Instalar um plug-in de segurança que vem com um integrado é uma maneira rápida de adicionar proteção à instalação do WordPress.

Além disso, funcionalidades como limites de tentativas de login, detecção de URLs inválidos e endereços IP maliciosos e bloqueio de bots ajudam na mitigação de ataques. Portanto, recomendamos baixar um plugin de proteção DDoS para WordPress, como o Wordfence.

O plugin Wordfence para WordPress.

Wordfence pode executar todas as funções mencionadas acima e muito mais. Este plugin de segurança do WordPress também inclui ferramentas para monitorar tráfego e visitas ao vivo, bem como picos de atividade .

Você pode baixar e usar muitos dos recursos do plugin gratuitamente. No entanto, também oferece uma versão premium que desbloqueia o acesso ao conjunto completo de recursos de segurança, incluindo um feed de defesa contra ameaças em tempo real.

6. Faça da manutenção e monitoramento do WordPress uma prioridade

Quando se trata de gerenciar seu site, às vezes a melhor forma de proteção é a prevenção . Em seus esforços para minimizar as chances de um ataque DDoS em seu site WordPress, é fundamental priorizar a manutenção e o monitoramento regulares .

Realizar manutenção regular em seu site ajudará a mantê-lo em ótima forma e, em última análise, reduzirá o número de vulnerabilidades disponíveis para serem exploradas por invasores. O monitoramento de rotina pode ajudá-lo a detectar atividades suspeitas antes que causem danos significativos.

Há muitas tarefas envolvidas na manutenção e monitoramento adequados, incluindo:

  • Atualizações para WordPress, plug-ins e temas
  • Monitoramento de tempo de atividade
  • Backups automatizados
  • Otimização de velocidade
  • Verificação e remoção de malware

Manter o controle dessas tarefas pode ser um processo demorado, mas é necessário. Sugerimos tornar isso significativamente mais fácil inscrevendo-se em um Plano de Cuidados WordPress, como os que oferecemos no WP Buffs.

Planos de cuidados do WP Buffs WordPress

A manutenção profissional lhe dá tranquilidade sabendo que seu site está sendo devidamente cuidado. Além disso, você libera tempo em sua própria agenda para se concentrar em outros assuntos comerciais urgentes.

Empacotando

Considerando a ampla gama de ameaças à segurança que existem hoje, ficar por dentro de todas elas pode parecer cansativo. No entanto, com os ataques DDoS aumentando em frequência e gravidade, é mais importante do que nunca garantir que seu site WordPress esteja devidamente protegido .

Nesta postagem, discutimos seis dicas que você pode usar para ajudar a impedir e prevenir um ataque DDoS em seu site WordPress:

  1. Desative XMLR RPC e REST API no WordPress.
  2. Instale um WAF em seu site.
  3. Escolha um provedor de hospedagem seguro.
  4. Use um CDN.
  5. Baixe um plugin de proteção DDoS para WordPress.
  6. Faça da manutenção e monitoramento do WordPress uma prioridade.

Se você deseja priorizar o cuidado e a manutenção do site WordPress, mas não tem certeza se tem tempo para isso, considere terceirizar o trabalho para nós da WP Buffs . Nossos planos abrangentes de manutenção do site podem ajudá-lo em tudo, desde a instalação dos plug-ins apropriados até a realização de verificações completas de segurança do site .

Quer dar seu feedback ou participar da conversa? Adicione seus comentários no Twitter.

Crédito da imagem: Scott Weber.