English English French French Spanish Spanish German German
Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
Comparte en:

¿Cómo proteger WordPress de los ataques DDoS?

ddos
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Todo el trabajo duro que hagas en tu sitio web de WordPress podría desaparecer en un segundo si no tomas ninguna medida para protegerlo de los ataques DDoS.

Todos los sitios web de acceso público son vulnerables a Los ataques DDoS, y los sitios basados ​​en WordPress no son una excepción. Afortunadamente, WordPress es una plataforma muy flexible y, por lo tanto, admite medidas de protección efectivas contra ataques. Es solo una cuestión de prevención: repeler un ataque o mitigar sus efectos; tienes que actuar antes de que suceda.

¿Qué es un ataque DDoS?

Abreviatura de Distributed Denial of Service, un ataque DDoS es una acción agresiva coordinada llevada a cabo por una red de computadoras o dispositivos comprometidos (una botnet) que envía datos de forma masiva o solicita datos de un servidor (el objetivo). La avalancha de solicitudes abruma la capacidad del servidor, ralentizándolo o haciendo que se bloquee debido a la falta de recursos.

El daño potencial del ataque DDoS

Si su sitio web se convierte en el objetivo de un ataque DDoS, le pueden pasar muchas cosas malas.

Por ejemplo:

  • La experiencia de sus visitantes podría verse afectada negativamente. En el mejor de los casos, las respuestas del sitio pueden volverse lentas 🦥; en el peor de los casos, todo el sitio estará inactivo e inaccesible.
  • Si su sitio web es una tienda en línea, puede perder ventas, y si solo ofrece contenido, sus visitantes pueden ir a otro lugar para obtener lo que quieren.
  • La reputación de su sitio web puede caer gravemente 📉, tanto en términos de reputación de marca percibida (es decir, su empresa no se considera seria) como en términos de autoridad, relevancia y confianza, que son los pilares de cualquier SEO estrategia.
  • Te costará reparar los daños. El costo dependerá de la duración del ataque y es difícil de calcular porque debe considerar muchos efectos secundarios, como los esfuerzos de atención al cliente para responder las reclamaciones de los usuarios sobre la interrupción del servicio o la contratación de un servicio de seguridad para limpiar su sitio web.

¿Quiénes son las víctimas de los ataques DDoS?

Cualquier sitio web, sin importar su tamaño o volumen, podría ser el objetivo de un ataque DDoS.

recursos de mitigación de ddos

Sitios web con expuestos vulnerabilidades son los objetivos más fáciles, pero se puede orquestar un ataque a propósito contra cualquier sitio web en particular. El ataque puede llevarse a cabo por razones ideológicas (una práctica llamada hacktivismo); por ejemplo, para desacreditar un sitio que promueve ciertas ideas políticas o religiosas. O para chantajear al propietario del sitio web y pedir un rescate. O simplemente puede ser un pasatiempo de un grupo de personas conocedoras de la tecnología que quieren mostrar sus habilidades.

Un ataque también puede ser contratado: una empresa paga a un grupo de piratas informáticos para que ataquen específicamente a sus competidores. Cualquiera sea la razón, la conclusión es: cualquier propietario de un sitio web debe tomar precauciones para evitar que un ataque DDoS dañe su sitio. No es difícil ni costoso, por lo que no hay razones reales para no hacerlo.

¿Cómo proteger su WordPress de los ataques DDoS?

Las dos medidas de seguridad necesarias que debe tomar para proteger su sitio de WordPress contra ataques DDoS:

  • Obtenga una buena solución de respaldo de WordPress.
  • Empiece a utilizar una solución de seguridad anti-DDoS rentable y basada en la nube.

Programas de solución de respaldo es algo que debe tener por muchas razones, no solo para la protección DDoS. Hay muchas soluciones de respaldo gratuitas y de pago en el catálogo de complementos de WordPress, por lo que no estamos profundizando en este tema en este momento. Después de un ataque, si su sitio web está dañado, restaurarlo con una copia de seguridad segura es una forma rápida de volver a la normalidad.

En términos de soluciones de seguridad anti-DDoS, debe preguntarse cuánta tranquilidad desea tener y cuánto dinero desea pagar por ello. Si no quiere pagar nada, tendrá que encargarse de algunas cosas usted mismo.

Enfoque DIY 🧰

Una de las mejores cosas de WordPress es que tiene una arquitectura abierta que permite que aplicaciones de terceros se integren e interactúen con él. Eso se logra con varias API (Interfaz de programación de aplicaciones) disponibles para los programadores. El problema es que esas API podrían ser explotadas por un ataque DDoS para enviar una avalancha de solicitudes. Entonces, lo primero que debe hacer: deshabilite una API explotable llamada XML-RPC.

Necesita XML-RPC solo si su sitio web de WordPress interactúa con aplicaciones externas de terceros, como la aplicación de WordPress en dispositivos móviles. Si puede prescindir de ellos, será mejor que desactive XML-RPC. Esto se puede hacer simplemente editando el .htaccess archivo para denegar el acceso al programa xmlrpc.php. O, si no cree que sea seguro alterar los archivos internos de su sitio web usted mismo, puede obtener un complemento que haga el trabajo por usted.

Complementos anti-DDoS

Hay algunos complementos de seguridad de WordPress que corrigen otras vulnerabilidades de WordPress.

Protección contra DDoS - este complemento aborda los problemas de rendimiento causados ​​por la fuerza bruta y los ataques DDoS. Al realizar todas las comprobaciones a través del archivo .htaccess, detiene las solicitudes maliciosas en el nivel del servidor web, antes de que puedan llegar al sitio de WordPress.

También corrige la vulnerabilidad XML-RPC y sus opciones de configuración ofrecen a los usuarios de Cloudflare la posibilidad de denegar el acceso a visitantes de países específicos.

Anti-DDoS-soluciones-1

Deshabilitar la API REST de WP - la API REST de WordPress es otra vulnerabilidad explotable del popular CMS. Afortunadamente, esta vulnerabilidad se puede solucionar fácilmente con este complemento superligero. Utiliza solo 22 líneas de código (menos de 2 KB) y funciona desactivando la API WP REST para los visitantes que no están conectados a WordPress. Después de instalarlo y activarlo, si los visitantes desconectados realizan solicitudes JSON / REST a su sitio web, recibirán un mensaje que les indicará que la API REST está restringida a usuarios autenticados.

Deshabilitar el pingback XML-RPC - con más de 80,000 instalaciones y una calificación de 4.5 estrellas; este complemento elimina todos los métodos explotables de la interfaz XML-RPC. Además, elimina X-Pingback de los encabezados HTTP, lo que evita que los bots lleguen al archivo xmlrpc.php.

Suites de seguridad

Si desea olvidarse por completo de DDoS y otras preocupaciones de seguridad para poner todos sus esfuerzos en su negocio, entonces desea una solución que cubra todas las bases.

Tal solución debe incluir:

  • Un firewall de aplicaciones web. El firewall se interpone entre su sitio web e Internet, detecta el tráfico hostil y lo bloquea.
  • Un paquete antivirus de sitios web. Debería escanear de forma periódica y automática su sitio web para detectar cualquier rastro de malware y eliminarlo.
  • Escanee el servidor en busca de hacks no infecciosos, como anuncios publicitarios de sitios desconocidos.
  • Auditoría / monitoreo del sitio para detectar cualquier actividad sospechosa, como cambios de archivo, nuevas publicaciones, nuevos usuarios, intentos fallidos de inicio de sesión y más.

Exploremos las siguientes soluciones que ofrecen seguridad integral en el sitio de WordPress.

Sucuri

Sucuri es una reconocida empresa de seguridad web con mucha experiencia en sitios web de WordPress.

El momento en que habilitas Sucuri en su sitio, instalan un servidor de seguridad proxy en la nube entre su sitio web e Internet, filtrando todo el tráfico dirigido a su servidor de alojamiento. El firewall permite que solo los visitantes legítimos accedan a su sitio web de WordPress. Como efecto secundario, su sitio web tendrá una respuesta más rápida, gracias a la nube de Sucuri, y podría ahorrar dinero de alojamiento al reducir el volumen de tráfico que su servidor necesita manejar.

Sucuri-DDoS-protección-e1598528938389

La solución completa de Sucuri agrega a la mezcla un paquete antivirus que escanea y monitorea su sitio web regularmente para mantenerlo libre de todo tipo de malware: fragmentos maliciosos de JavaScript, redirecciones sospechosas, inyecciones de código, etc.

También comprueba que su sitio no obtenga lista negra por servicios de evaluación de reputación. Al navegar por el registro de auditoría del sitio, se le informará sobre todo lo que sucede en su sitio web de WordPress, incluidos los nuevos usuarios, intentos fallidos de inicio de sesión, cambios de archivos y más.

Los planes de precios de Sucuri comienzan alrededor de $ 199 por año para un servicio básico, que no es tan básico, ya que solo carece de un par de ventajas orientadas a la empresa. Las características incluidas justifican con creces el precio, pero si eso no es suficiente para convencerlo, considere que también ofrecen un servicio de limpieza de malware, junto con la eliminación de listas negras.

Si tiene su sitio web protegido, es poco probable que necesite este servicio, pero tenga en cuenta que un experto en seguridad podría cobrarle fácilmente 250 dólares la hora para eliminar una infección de malware de su sitio.

Astra Security

Astra Security es una de las principales soluciones de seguridad de WordPress que existen. El firewall de punto final inteligente de Astra se instala sin problemas en su sitio web y proporciona protección en tiempo real contra ataques DDoS de capa 7 y más de 100 tipos de otros ataques. Este firewall equipado con inteligencia de aprendizaje automático identifica ataques conocidos, comportamiento de bots y solicitudes maliciosas y evoluciona con cada nuevo tipo de ataque. Activo 24 * 7, el cortafuegos Astra protege su sitio web sin falta.

Además, el cortafuegos Astra funciona perfectamente bien en su propio servidor sin requerir un cambio de DNS de ningún tipo.

astra-ddos

Pero eso no es todo. El paquete Astra Security tiene mucho más que ofrecer. Cada paquete de seguridad viene con WAF, Malware Scanner, Country and IP blocker, y varias otras funciones útiles.

Comenzar con Astra Security es fácil y todo el proceso toma menos de 15 minutos. Así es como funciona:

  • Instale el complemento Astra Security desde el repositorio de WordPress
  • Crea una cuenta, elige un plan y registrarse
  • Por último, haga clic en 'Conectar a Astra' desde su backend de WP

Esto conectaría su backend de WP al tablero de Astra, que se vería así:

astra-stop-ddos

Cloudflare

Cloudflare utiliza su enorme CDN (red de distribución de contenido) para proteger su sitio web de WordPress de los ataques DDoS, lo que hace que su sitio sea más rápido, además de asegurarlo. Con más de 200 centros de datos distribuidos en todo el mundo, la CDN es lo suficientemente grande como para absorber y desviar incluso los ataques más potentes, por lo que no debe preocuparse por la sobrecarga de su capacidad de mitigación.

Cloudflare-Advanced-DDoS-Protection

Un enfoque de mitigación proactivo permite a Cloudflare anticipar ataques aprovechando la inteligencia compartida, seleccionada a partir del análisis de comportamiento de firmas e IP en más de 20 millones de sitios web. La protección detecta y bloquea los ataques de las capas 3, 4 y 7 en el borde, impidiendo que lleguen a su sitio web.

Además, todos los puertos TCP de su infraestructura quedan protegidos mediante el empleo de Spectrum para el tráfico proxy a través del centro de datos de Cloudflare.

El servicio es gratuito para individuos y sitios web pequeños (no críticos para la empresa). El plan gratuito incluye mitigación de ataques DDoS, CDN global y soporte por correo electrónico. Los planes pagados comienzan en $ 20 por mes, agregando un firewall de aplicaciones web, análisis de caché, optimización móvil, entre otros beneficios.

Para sitios web críticos para el negocio, el plan empresarial agrega soporte telefónico / por chat 24x7x365, SLA de tiempo de actividad del 100%, soporte técnico de soluciones, entre otros beneficios.

StackPath

Una red global con 65 Tbps de capacidad total permite StackPath's solución para mitigar los ataques DDoS más grandes y sofisticados, abordando la gama completa de métodos de ataque, incluidas las inundaciones HTTP, SYN y UDP. La plataforma de StackPath recopila y analiza inteligencia sobre los ataques DDoS junto con sus ubicaciones de borde, lo que le permite bloquear todos los intentos maliciosos, independientemente de su procedencia.

Para proteger su sitio web de WordPress en la capa de red, la red global StackPath emplea equipos de red que protegen contra ataques DDoS de capas 3 y 4 en el dispositivo. Mientras tanto, un inteligente firewall de aplicaciones web mitiga los sofisticados ataques DDoS de capa 7 en menos de un segundo mediante el uso de técnicas únicas de validación de JavaScript que detectan y bloquean bots automatizados y brindan herramientas avanzadas para configurar los umbrales DDoS para satisfacer sus necesidades específicas.

La protección DDoS de StackPath es parte de un paquete de servicios de borde que comienza en $ 20 por mes e incluye CDN, WAF (firewall de aplicaciones web), DNS y servicios de monitoreo. Estos cuatro servicios se pueden contratar individualmente, con un costo de $ 10 al mes cada uno. Escala de precios según el volumen; por ejemplo, si necesita un CDN de 100TB / mes y un WAF de 50M / mes solicita, tendrá que pagar $ 2000 por mes.

¡Sin excusas!

Si su sitio web baja, o se pone en la lista negra, o pierde reputación, no dé una excusa. Tiene todos los recursos a su alcance para evitar que un desastre arruine su amado sitio de WordPress. Si aún no lo ha hecho, actúe y haga algo antes de que sea demasiado tarde.

Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Trata Intruder