homefinance blog
WordPress es uno de los constructores de sitios web más populares del mundo, porque ofrece funciones fuertes y una base de código seguro. Sin embargo, esto no protege a WordPress ni a ningún otro ataques DDoS malicioso, que son frecuentes en Internet. Los ataques DDoS pueden ralentizar los sitios web y eventualmente pueden hacerlos inaccesibles para los usuarios. Estos ataques se pueden dirigir a sitios pequeños y grandes. Ahora, ¿puede preguntarse cómo un sitio web de una pequeña empresa puede usar WordPress para evitar tales ataques DDoS con recursos limitados?
En esta guía, le mostraremos cómo detenerse de manera efectiva y evitar un ataque DDoS en WordPress. Nuestro objetivo es ayudarlo a aprender cómo administrar la seguridad de su sitio web contra un ataque DDoS como un profesional total.
¿Qué es un ataque DDoS? El ataque DDoS, una abreviatura del ataque distribuido de denegación de servicios, es un tipo de ataque cibernético que utiliza computadoras y dispositivos comprometidos para enviar o solicitar datos de un servidor de alojamiento de WordPress. El propósito de estas solicitudes es reducir la velocidad y, finalmente, bloquear el servidor en cuestión. Los ataques DDoS son una forma evolucionada de ataques DOS (denegación de servicio). A diferencia de un ataque trasero, aprovechan varios automóviles o servidores comprometidos en diferentes regiones.
Estos automóviles comprometidos forman una red, que a veces se llama botnet. Cada automóvil afectado actúa como un hocico y lanza ataques en el sistema o servidor objetivo. Esto les permite pasar desapercibidos por un tiempo y causar daños máximos antes de que se bloqueen.
Incluso las compañías de Internet más grandes son vulnerables a los ataques DDoS. En 2018, Github, una popular plataforma de alojamiento de código, fue testigo de un ataque masivo de DDoS que envió el tráfico de 1.3 terabyte por segundo a sus servidores. También puede recordar el notorio ataque de 2016 en DYN (un proveedor de servicios DNS). Este ataque ha tenido cobertura de noticias mundiales porque ha afectado a muchos sitios web populares como Amazon, Netflix, PayPal, Visa, Airbnb, The New York Times, Reddit y miles de otros sitios web. ¿Suceden los ataques DDoS? Hay varias motivaciones detrás de los ataques DDoS. A continuación se presentan algunos comunes:
Personas técnicamente calificadas que están aburridas y parecen aventureras
Personas y grupos que intentan hacer un punto político
Grupos dirigidos a sitios web y servicios de un país o región en particular
Ataques dirigidos a una empresa en particular o proveedores de servicios para causarles daño monetario
Para chantajear y recolectar dinero de redención
¿Cuál es la diferencia entre un ataque de fuerza grave y un ataque DDoS?
Los ataques de fuerza de Brug generalmente intentan ingresar a un sistema adivinando contraseñas o intentando combinaciones aleatorias para obtener acceso no autorizado a un sistema.
Los ataques DDoS simplemente se usan para bloquear el sistema objetivo, haciéndolo inaccesible o desacelerándolo. Para obtener más detalles, consulte nuestra guía sobre cómo bloquear los ataques de la fuerza bruta en WordPress con instrucciones de paso por paso. ¿Qué daño puede ser causado por un ataque DDoS? Los ataques DDoS pueden hacer un sitio web inaccesible o reducir el rendimiento. Esto puede causar una mala experiencia del usuario, pérdida comercial y los ataques de ataque pueden estar en miles de dólares. Aquí hay un desglose de estos costos: pérdida de negocios debido a la inaccesibilidad del sitio web
Costo de asistencia personalizada para responder las preguntas sobre la interrupción del servicio
El costo de mitigar el ataque empleando asistencia de seguridad o seguridad
El mayor costo es la mala experiencia del usuario y la reputación de la marca.
Cómo detenerse y prevenir el ataque DDoS en los ataques DDoS de WordPress se pueden disfrazar de manera inteligente y difícil de tratar. Sin embargo, con algunas buenas prácticas de seguridad básicas, puede evitar fácilmente evitar que los ataques DDO afecten su sitio web de WordPress.
Estos son los pasos que debe seguir para prevenir y detener los ataques DDoS en su sitio web de WordPress. Elimine DDOS / Gross Force Attack Lo mejor de WordPress es que es extremadamente flexible. WordPress permite que los complementos y herramientas de terceros se integren en su sitio web y agregue nuevas funciones. Para esto, WordPress ofrece más API. Estas API son formas por las cuales los complementos y servicios de terceros pueden interactuar con WordPress. Sin embargo, algunas de estas API también se pueden explotar durante un ataque DDoS, enviando una tonelada de solicitudes. Puede deshabilitarlos de manera segura para reducir estas solicitudes. Desctivate XML RPC en WordPress XML-RPC permite que las aplicaciones de terceros interactúen con su sitio de WordPress. Por ejemplo, necesita XML-RPC para usar la aplicación WordPress en su dispositivo móvil. Si es como una gran mayoría de los usuarios que no usan la aplicación móvil, puede deshabilitar XML-RPC simplemente agregando el siguiente código al archivo .htaccess de su sitio web.# Bloquear WordPress XMLRPC.Php Solicitudes
Ordenar negar, permitir
Negar todo
Para obtener métodos alternativos, consulte nuestra guía sobre cómo deshabilitar fácilmente XML-RPC en WordPress.
Desactive la API REST en WordPress API WordPress JSON REST permite a los complementos y herramientas la oportunidad de acceder a los datos de WordPress, actualizar el contenido y / o incluso eliminarlos. Así es como puede deshabilitar el descanso API en WordPress. Lo primero que debe hacer es instalar y activar el complemento de API WP REST DISAT. Para obtener más detalles, consulte nuestra guía paso por paso sobre cómo instalar un complemento de WordPress. El complemento funciona fuera de la caja y simplemente deshabilitará el resto para todos los usuarios no conectados. Act Waf (firewall para sitios web)
Deshabilitar vectores de ataque como API REST y XML-RPC proporciona protección limitada contra los ataques DDoS. Su sitio web aún es vulnerable a las solicitudes HTTP normales. Si bien puedes mitigar un pequeño ataque trasero tratando de atrapar las IPS defectuosas del automóvil y bloquearlos manualmente, este enfoque no es muy efectivo cuando se trata de un gran ataque DDoS. La forma más fácil de bloquear las solicitudes sospechosas es activar una pantalla protectora de la aplicación del sitio web. Una pantalla de protección de la aplicación del sitio web actúa como un proxy entre su sitio web y todo el tráfico recibido. Use el algoritmo inteligente para captar todas las solicitudes sospechosas y bloquearlas antes de llegar al servidor de su sitio web.
Recomendamos usar jugos porque es el mejor complemento de seguridad de WordPress y Firewall para el sitio web. Se ejecuta a nivel DNS, lo que significa que puedo ver un ataque DDoS antes de que pueda solicitar su sitio web. El precio de los jugos comienza desde $ 20 por mes (pagado anualmente). Usamos jugos en WPBeginner. Vea nuestro estudio de caso sobre cómo ayudan a bloquear cientos de miles de ataques en nuestro sitio. Alternativamente, también puede usar CloudFlare. Sin embargo, el servicio gratuito de CloudFlare ofrece solo protección DDoS limitada. Tendrá que registrarse al menos para su plan de negocios para la protección DDoS de Nivel 7, que cuesta alrededor de $ 200 por mes. Consulte nuestro artículo sobre VS Cloudflare Juices para una comparación detallada de lado a lado. Nota: Los firewalls para aplicaciones del sitio (WAF) que se ejecutan a nivel de aplicación son menos efectivos durante un ataque DDoS. Bloquean el tráfico después de que ya ha llegado a su servidor web, por lo que continúa afectando el rendimiento general de su sitio web. Averigüe si se trata de la fuerza bruta o los ataques DDoS tanto la fuerza bruta como los ataques DDoS usan intensamente los recursos del servidor, lo que significa que sus síntomas se ven bastante similares. Su sitio web se volverá más lento y puede colapsar. Puede averiguar fácilmente si se trata de un ataque de fuerza bruta o un ataque DDoS, simplemente mirando los informes de conexión del complemento. Simplemente instale y active el complemento para obtener jugos gratuitos y luego acceda a la página de seguridad de Sucuri »Últimos inicios de sesión.
Si ve una gran cantidad de solicitudes de conexión aleatoria, esto significa que WP-Admin está sujeto a un ataque de fuerza bruta. Para mitigarlo, puede ver nuestra guía sobre cómo bloquear los ataques de fuerza bruta en WordPress. Las cosas que hacer durante un ataque DDoS pueden ocurrir ataques DDoS pueden ocurrir incluso si tiene un firewall para aplicaciones web y otra protección. Empresas como Cloudflare y Juices tratan con estos ataques regularmente y, la mayoría de las veces, nunca se oirá, porque pueden aliviarlo fácilmente. Sin embargo, en algunos casos, cuando estos ataques son grandes, puede continuar afectándolo. En este caso, es mejor estar preparado para aliviar los problemas que pueden surgir durante y después del ataque DDoS. Las siguientes son algunas cosas que puede hacer para minimizar el impacto de un ataque DDoS. 1. Alerta a los miembros del equipo si tienes un equipo, entonces debes informar a tus compañeros de trabajo sobre este problema. Esto les ayudará a prepararse para las preguntas de asistencia al cliente, cuidar cualquier problema y ayudar durante o después del ataque. 2. Informar a los clientes sobre el inconveniente de un ataque DDoS puede afectar la experiencia del usuario en su sitio web. Si administra una tienda WooCommerce, es posible que sus clientes no puedan realizar un pedido o conectarse a su cuenta. Puede anunciar a través de sus cuentas de redes sociales que su sitio web tiene dificultades técnicas y que todo volverá a la normalidad pronto. Si el ataque es grande, también puede usar el servicio de marketing de correo electrónico para comunicarse con los clientes y pedirles que sigan sus actualizaciones sobre las redes sociales.
Si tiene clientes VIP, le recomendamos usar su negocio para negocios para realizar llamadas telefónicas individuales e informarles cómo trabaja para restaurar los servicios. La comunicación en estos períodos difíciles hace una gran diferencia en el mantenimiento de la reputación de su marca fuerte. 3. Póngase en contacto con su alojamiento y asistencia de seguridad Póngase en contacto con su proveedor de alojamiento de WordPress. El ataque que podría presenciar podría ser parte de un ataque más grande dirigido a sus sistemas. En este caso, podrán ofrecerle las últimas actualizaciones sobre la situación. Póngase en contacto con el servicio de firewall e infórmeles que su sitio web está sujeto a un ataque DDoS. Puede aliviar la situación aún más rápido y puede brindarle más información. En los proveedores de firewall, como los jugos, también puede establecer la configuración para que esté de manera paranoica, lo que le ayuda a bloquear muchas solicitudes y hacer que su sitio sea accesible para los usuarios normales. Mantener su sitio de WordPress seguro WordPress es bastante a salvo de la caja. Sin embargo, al ser el constructor de sitios web más popular del mundo, a menudo es atacado por los piratas informáticos. Afortunadamente, hay muchas buenas prácticas de seguridad que puede solicitar en su sitio web para que sea aún más seguro. Compilé una guía de seguridad de WordPress completa paso a paso. Le guiará a través de la mejor configuración de seguridad de WordPress para proteger su sitio web y sus datos contra amenazas ordinarias. Esperamos que este artículo lo ayude a aprender a bloquear y prevenir un ataque DDoS en WordPress.
