Todo el duro trabajo que ha invertido en su sitio web WordPress podría esfumarse en un segundo si no toma ninguna medida para protegerlo de los ataques DDoS.

Todos los sitios web de acceso público son vulnerables a los ataques DDoS, y los sitios basados en WordPress no son una excepción. Afortunadamente, WordPress es una plataforma muy flexible y, por lo tanto, admite medidas de protección eficaces contra los ataques. Es sólo una cuestión de prevención: para repeler un ataque o mitigar sus efectos, hay que actuar antes de que se produzca.

¿Qué es un ataque DDoS?

Abreviatura de Distributed Denial of Service (denegación de servicio distribuida), un ataque DDoS es una acción agresiva coordinada llevada a cabo por una red de ordenadores o dispositivos comprometidos (una botnet) que envían o solicitan masivamente datos a un servidor (el objetivo). La avalancha de peticiones desborda la capacidad del servidor, ralentizándolo o haciendo que se bloquee por falta de recursos.

Los daños potenciales de un ataque DDoS

Si su sitio web se convierte en el objetivo de un ataque DDoS, pueden ocurrirle muchas cosas malas.

Por ejemplo:

  • La experiencia de sus visitantes podría verse afectada negativamente. En el mejor de los casos, las respuestas del sitio pueden volverse lentas 🦥; en el peor, todo el sitio estará caído e inaccesible.
  • Si su sitio web es una tienda en línea, puede perder ventas, y si sólo sirve contenidos, sus visitantes pueden ir a otro sitio para conseguir lo que quieren.
  • La reputación de su sitio web puede caer seriamente 📉, tanto en términos de reputación de marca percibida (es decir, se considera que su empresa no es seria) como en términos de autoridad, relevancia y confianza, que son los pilares de cualquier estrategia SEO.
  • Le costará reparar los daños. El coste dependerá de la duración del ataque, y es difícil de calcular porque debe tener en cuenta un montón de efectos secundarios, como los esfuerzos de atención al cliente para responder a las reclamaciones de los usuarios sobre la interrupción del servicio, o la contratación de un servicio de seguridad para limpiar su sitio web.

¿Quiénes son las víctimas de los ataques DDoS?

Cualquier sitio web, independientemente de su tamaño o volumen, puede ser el objetivo de un ataque DDoS.

ddos mitigation resources

Los sitios web con vulnerabilidades expuestas son los objetivos más fáciles, pero un ataque puede orquestarse a propósito contra cualquier sitio web en particular. El ataque puede realizarse por motivos ideológicos (una práctica denominada hacktivismo); por ejemplo, para desacreditar un sitio que promueve determinadas ideas políticas o religiosas. O para chantajear al propietario del sitio web y pedir un rescate. O puede tratarse simplemente del pasatiempo de un grupo de expertos en tecnología que quieren demostrar sus habilidades.

Un ataque también puede ser contratado: una empresa paga a un grupo de hackers para que ataquen específicamente a sus competidores. Sea cual sea el motivo, lo esencial es: cualquier propietario de un sitio web debe tomar precauciones para evitar que un ataque DDoS dañe su sitio. No es difícil ni caro, por lo que no existen verdaderas razones para no hacerlo.

¿Cómo proteger su WordPress de los ataques DDoS?

Las dos medidas de seguridad necesarias que debe tomar para proteger su sitio WordPress contra los ataques DDoS:

  • Consiga una buena solución de copia de seguridad para WordPress.
  • Empiece a utilizar una solución de seguridad anti-DDoS rentable y basada en la nube.

La solución de copia de seguridad es algo que debe tener por muchas razones, no sólo para la protección DDoS. Existen multitud de soluciones de copia de seguridad gratuitas y de pago en el catálogo de plugins de WordPress, por lo que no vamos a profundizar en este tema por el momento. Después de un ataque, si su sitio web resulta dañado, restaurarlo con una copia de seguridad segura es una forma rápida de volver a la normalidad.

En cuanto a las soluciones de seguridad anti-DDoS, debería preguntarse cuánta tranquilidad quiere tener y cuánto dinero quiere pagar por ello. Si no quiere pagar nada, entonces tendrá que ocuparse de bastantes cosas por sí mismo.

Enfoque DIY 🧰

Una de las cosas buenas de WordPress es que tiene una arquitectura abierta que permite que aplicaciones de terceros se integren e interactúen con él. Eso se consigue con varias API (interfaz de programación de aplicaciones) a disposición de los programadores. El problema es que esas API podrían ser explotadas por un ataque DDoS para enviar una avalancha de peticiones. Así que, lo primero que hay que hacer: desactivar una API explotable llamada XML-RPC.

Sólo necesitará XML-RPC si su sitio web WordPress interactúa con aplicaciones externas de terceros, como la aplicación WordPress en dispositivos móviles. Si puede prescindir de ellas, entonces es mejor que desactive XML-RPC. Esto puede hacerse simplemente editando el archivo .htaccess de su sitio web para denegar el acceso al programa xmlrpc.php. O, si no cree que sea seguro alterar los archivos internos de su sitio web por sí mismo, puede conseguir un plugin que haga el trabajo por usted.

Plugins anti-DDoS

Existen algunos plugins de seguridad para WordPress que corrigen otras vulnerabilidades de WordPress.

Protección contra DDoS – este plugin soluciona los problemas de rendimiento causados por los ataques de fuerza bruta y DDoS. Al realizar todas las comprobaciones a través del archivo .htaccess, detiene las peticiones maliciosas a nivel del servidor web, antes de que puedan llegar al sitio de WordPress.

También corrige la vulnerabilidad XML-RPC, y sus opciones de configuración ofrecen a los usuarios de Cloudflare la posibilidad de denegar el acceso a visitantes de países específicos.

Anti-DDoS-solutions-1

Desactivar la API REST de WP: la API REST de WordPress es otra vulnerabilidad explotable del popular CMS. Afortunadamente, esta vulnerabilidad puede solucionarse fácilmente con este plugin superligero. Sólo utiliza 22 líneas de código -menos de 2 KB- y funciona desactivando la API REST de WP para los visitantes que no hayan iniciado sesión en WordPress. Tras instalarlo y activarlo, si los visitantes desconectados realizan peticiones JSON/REST a su sitio web, recibirán un mensaje indicándoles que la API REST está restringida a usuarios autenticados.

Desactivar XML-RPC Pingback – con más de 80.000 instalaciones y una valoración de 4,5 estrellas; este plugin elimina todos los métodos explotables de la interfaz XML-RPC. Además, elimina X-Pingback de las cabeceras HTTP, lo que impide que los bots lleguen al archivo xmlrpc.php.

Suites de seguridad

Si quiere olvidarse por completo de los DDoS y otras preocupaciones de seguridad para poner todos sus esfuerzos en su negocio, entonces querrá una solución que cubra todas las bases.

Una solución de este tipo debe incluir:

  • Un cortafuegos de aplicaciones web. El cortafuegos se interpone entre su sitio web e Internet, detectando el tráfico hostil y bloqueándolo.
  • Un paquete antivirus para sitios web. Debe escanear periódica y automáticamente su sitio web para detectar cualquier rastro de malware y eliminarlo.
  • Escaneo del servidor para detectar hacks no infecciosos, como banners publicitarios de sitios desconocidos.
  • Auditoría/supervisión del sitio para detectar cualquier actividad sospechosa, como cambios en los archivos, nuevas publicaciones, nuevos usuarios, intentos fallidos de inicio de sesión, etc.

Exploremos las siguientes soluciones que ofrecen seguridad integral para sitios WordPress.

Sucuri

Sucuri es una renombrada empresa de seguridad web con mucha experiencia en sitios web WordPress.

En el momento en que usted habilita Sucuri en su sitio, ellos instalan un cortafuegos proxy en la nube entre su sitio web e Internet, filtrando todo el tráfico dirigido a su servidor de alojamiento. El cortafuegos permite que sólo los visitantes legítimos lleguen a su sitio web WordPress. Como efecto secundario, su sitio web tendrá una respuesta más rápida, gracias a la nube Sucuri, y podrá ahorrar dinero de alojamiento al reducir el volumen de tráfico que su servidor necesita manejar.

Sucuri-DDoS-protection-e1598528938389

La solución completa Sucuri añade a la mezcla un paquete antivirus que escanea y supervisa su sitio web con regularidad para mantenerlo libre de todo tipo de malware: fragmentos de JavaScript maliciosos, redirecciones sospechosas, inyecciones de código, etc.

También comprueba que su sitio no entre en la lista negra de los servicios de evaluación de la reputación. Al consultar el registro de auditoría del sitio, estará informado de todo lo que ocurre en su sitio web WordPress, incluidos los nuevos usuarios, los intentos fallidos de inicio de sesión, los cambios en los archivos, etc.

Los planes de precios de Sucuri comienzan en torno a los 199 dólares anuales por un servicio básico — que no es tan básico, ya que sólo le faltan un par de extras orientados a la empresa. Las funciones incluidas justifican sobradamente el precio, pero si eso no es suficiente para convencerle, considere que también ofrecen un servicio de limpieza de malware, junto con la eliminación de listas negras.

Si tiene su sitio web protegido, es poco probable que llegue a necesitar este servicio, pero tenga en cuenta que un experto en seguridad podría cobrarle fácilmente 250 dólares la hora por eliminar una infección de malware de su sitio.

Astra Seguridad

Astra Security es una de las principales soluciones de seguridad para WordPress que existen. El cortafuegos inteligente de punto final de Astra se instala sin problemas en su sitio web y proporciona protección en tiempo real contra ataques DDoS de capa 7 y otros 100 tipos de ataques. Este cortafuegos equipado con inteligencia de aprendizaje automático identifica los ataques conocidos, el comportamiento de los bots y las peticiones maliciosas y evoluciona con cada nuevo tipo de ataque. Activo 24*7, el cortafuegos Astra protege su sitio web sin fallos.

Además, el cortafuegos Astra funciona perfectamente en su propio servidor sin necesidad de realizar ningún tipo de cambio de DNS.

astra-ddos

Pero eso no es todo. El paquete de seguridad Astra tiene mucho más que ofrecer. Cada paquete de seguridad viene con el WAF, el escáner de malware, el bloqueador de países e IP y varias otras funciones útiles.

Empezar a utilizar Astra Security es fácil y todo el proceso dura menos de 15 minutos. Así es como funciona:

  • Instale el plugin Astra Security desde el repositorio de WordPress
  • Cree una cuenta, elija un plan y regístrese
  • Por último, haga clic en «Conectar con Astra» desde su backend de WP

Esto conectará su backend WP con el panel de control de Astra, que tendrá un aspecto similar al siguiente:

astra-stop-ddos

Cloudflare

Cloudflare utiliza su enorme CDN (red de distribución de contenidos) para proteger su sitio web WordPress de ataques DDoS, lo que hace que su sitio sea más rápido, además de protegerlo. Con más de 200 centros de datos distribuidos por todo el mundo, la CDN es lo suficientemente grande como para absorber y desviar incluso los ataques más potentes, por lo que no tiene que preocuparse de que su capacidad de mitigación se vea desbordada.

Cloudflare-Advanced-DDoS-Protection

Un enfoque de mitigación proactivo permite a Cloudflare anticiparse a los ataques aprovechando la inteligencia compartida, curada a partir del análisis del comportamiento de firmas e IPs en más de 20M de sitios web. La protección detecta y bloquea los ataques de las capas 3, 4 y 7 en el borde, impidiendo que lleguen a su sitio web.

Además, todos los puertos TCP de su infraestructura quedan protegidos, empleando Spectrum para proxyar el tráfico a través del centro de datos de Cloudflare.

El servicio es gratuito para particulares y sitios web pequeños (no críticos para el negocio). El plan gratuito incluye mitigación de ataques DDoS, CDN global y soporte por correo electrónico. Los planes de pago empiezan en 20 dólares al mes y añaden un cortafuegos de aplicaciones web, análisis de caché y optimización móvil, entre otras ventajas.

Para los sitios web críticos para el negocio, el plan para empresas añade soporte telefónico/por chat 24x7x365, SLA de tiempo de actividad del 100%, soporte de ingenieros de soluciones, entre otras ventajas.

StackPath

Una red global con 65Tbps de capacidad total permite a la solución de StackPath mitigar los ataques DDoS más grandes y sofisticados, abordando toda la gama de métodos de ataque, incluidas las inundaciones HTTP, SYN y UDP. La plataforma de StackPath recopila y analiza inteligencia sobre ataques DDoS a lo largo de sus ubicaciones de borde, lo que le permite bloquear todos los intentos maliciosos, independientemente de su procedencia.

Para proteger su sitio web WordPress en la capa de red, la red global de StackPath emplea equipos de red que protegen contra los ataques DDoS de las capas 3 y 4 en el dispositivo. Mientras tanto, un cortafuegos inteligente de aplicaciones web mitiga los sofisticados ataques DDoS de capa 7 en menos de un segundo mediante técnicas exclusivas de validación de JavaScript que detectan y bloquean los bots automatizados y proporcionan herramientas avanzadas para configurar los umbrales DDoS de forma que se ajusten a sus necesidades específicas.

La protección DDoS de StackPath forma parte de un conjunto de servicios edge que comienza en 20 dólares al mes e incluye CDN, WAF (cortafuegos de aplicaciones web), DNS y servicios de monitorización. Estos cuatro servicios pueden contratarse individualmente, costando 10 dólares al mes cada uno. Los precios escalan en función del volumen; por ejemplo, si necesita una CDN de 100TB/mes y un WAF de solicitudes de 50M/mes, tendrá que pagar 2000 $ al mes.

¡No hay excusa!

Si su sitio web se cae, o entra en una lista negra, o pierde reputación, no ponga excusas. Tiene todos los recursos a su alcance para evitar que un desastre arruine su querido sitio WordPress. Si aún no lo ha hecho, actúe y haga algo antes de que sea demasiado tarde.