Cómo detener y prevenir un ataque DDoS en WordPress

WordPress es uno de los constructores de sitios web más populares del mundo porque ofrece potentes funciones y una base de código segura. Sin embargo, eso no protege a WordPress ni a ningún otro software de los ataques DDoS maliciosos, que son habituales en Internet

Los ataques DDoS pueden ralentizar los sitios web y, finalmente, hacerlos inaccesibles para los usuarios. Estos ataques pueden dirigirse tanto a los sitios web pequeños como a los grandes.

Ahora te preguntarás cómo puede un sitio web de una pequeña empresa que utiliza WordPress evitar estos ataques DDoS con recursos limitados

En esta guía, te mostraremos cómo detener y prevenir eficazmente un ataque DDoS en WordPress. Nuestro objetivo es ayudarte a aprender a gestionar la seguridad de tu sitio web contra un ataque DDoS como un auténtico profesional

¿Qué es un ataque DDoS?

El ataque DDoS, abreviatura de ataque de denegación de servicio distribuido, es un tipo de ciberataque que utiliza ordenadores y dispositivos comprometidos para enviar o solicitar datos a un servidor de alojamiento de WordPress. El objetivo de estas peticiones es ralentizar y finalmente colapsar el servidor objetivo

Los ataques DDoS son una forma evolucionada de los ataques DoS (Denegación de Servicio). A diferencia de un ataque DoS, se aprovechan de múltiples máquinas o servidores comprometidos repartidos por diferentes regiones

Estas máquinas comprometidas forman una red, que a veces se llama botnet. Cada máquina afectada actúa como un bot y lanza ataques contra el sistema o servidor objetivo

Esto les permite pasar desapercibidos durante un tiempo y causar el máximo daño antes de ser bloqueados

Incluso las mayores empresas de Internet son vulnerables a los ataques DDoS

En 2018, GitHub, una popular plataforma de alojamiento de código, fue testigo de un ataque DDoS masivo que envió 1,3 terabytes por segundo de tráfico a sus servidores

Puede que también recuerdes el notorio ataque de 2016 a DYN (un proveedor de servicios DNS). Este ataque tuvo una cobertura informativa mundial, ya que afectó a muchos sitios web populares como Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit y miles de otros sitios web

¿Por qué se producen los ataques DDoS?

Hay varias motivaciones detrás de los ataques DDoS. A continuación se indican algunas de las más comunes:

• Personas con conocimientos técnicos que simplemente se aburren y les parece una aventura
• Personas y grupos que tratan de hacer un punto político
• Grupos que se dirigen a sitios web y servicios de un país o región en particular
• Ataques dirigidos a una empresa o proveedor de servicios específico para causarle un daño monetario
• Para chantajear y cobrar un rescate

¿Cuál es la diferencia entre un ataque de fuerza bruta y un ataque DDoS?

Los ataques de fuerza bruta suelen intentar entrar en un sistema adivinando las contraseñas o probando combinaciones aleatorias para obtener un acceso no autorizado a un sistema

Los ataques DDoS se utilizan simplemente para colapsar el sistema objetivo haciéndolo inaccesible o ralentizándolo

Para más detalles, consulta nuestra guía sobre cómo bloquear los ataques de fuerza bruta en WordPress con instrucciones paso a paso

¿Qué daños puede causar un ataque DDoS?

Los ataques DDoS pueden hacer que un sitio web sea inaccesible o reducir su rendimiento. Esto puede causar una mala experiencia de usuario, pérdida de negocio, y los costes de mitigación del ataque pueden ser de miles de dólares

Aquí tienes un desglose de estos costes

• Pérdida de negocio debido a la inaccesibilidad del sitio web
• Coste de la asistencia al cliente para responder a las consultas relacionadas con la interrupción del servicio
• Coste de la mitigación del ataque mediante la contratación de servicios de seguridad o apoyo
• El mayor coste es la mala experiencia del usuario y la reputación de la marca

Cómo detener y prevenir un ataque DDoS en WordPress

Los ataques DDoS pueden estar astutamente disfrazados y ser difíciles de afrontar. Sin embargo, con algunas buenas prácticas básicas de seguridad, puedes prevenir y detener fácilmente los ataques DDoS que afectan a tu sitio web de WordPress

Estos son los pasos que debes seguir para prevenir y detener los ataques DDoS en tu sitio de WordPress

Eliminar los ataques DDoS / de fuerza bruta Verticales

Lo mejor de WordPress es que es muy flexible. WordPress permite que plugins y herramientas de terceros se integren en tu sitio web y añadan nuevas funciones

Para ello, WordPress pone a disposición de los programadores varias API. Estas APIs son métodos en los que los plugins y servicios de terceros de WordPress pueden interactuar con WordPress

Sin embargo, algunas de estas APIs también pueden ser explotadas durante un ataque DDoS enviando una tonelada de peticiones. Puedes desactivarlas de forma segura para reducir esas peticiones

Desactivar XML RPC en WordPress

XML-RPC permite que aplicaciones de terceros interactúen con tu sitio web de WordPress. Por ejemplo, necesitas XML-RPC para utilizar la aplicación de WordPress en tu dispositivo móvil

Si eres como la gran mayoría de los usuarios que no utilizan la aplicación móvil, puedes desactivar XML-RPC simplemente añadiendo el siguiente código al archivo .htaccess de tu sitio web

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Para conocer métodos alternativos, consulta nuestra guía sobre cómo desactivar fácilmente el XML-RPC en WordPress

Desactivar la API REST en WordPress

La API REST JSON de WordPress permite a los plugins y a las herramientas acceder a los datos de WordPress, actualizar el contenido y/o incluso eliminarlo. A continuación te explicamos cómo puedes desactivar la API REST en WordPress

Lo primero que tienes que hacer es instalar y activar el Desactivar la API Rest de WP plugin. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.

El plugin funciona de forma inmediata, y simplemente desactivará la API REST para todos los usuarios que no hayan iniciado sesión

Activar el WAF (Firewall de Aplicaciones Web)

Desactivar vectores de ataque como la API REST y el XML-RPC proporciona una protección limitada contra los ataques DDoS. Tu sitio web sigue siendo vulnerable a las peticiones HTTP normales

Aunque puedes mitigar un pequeño ataque DOS intentando atrapar las IPs de las máquinas malas y bloqueándolas manualmente, este enfoque no es muy eficaz cuando se trata de un gran ataque DDoS.

La forma más sencilla de bloquear las peticiones sospechosas es activando un cortafuegos de aplicaciones web

Un cortafuegos de aplicaciones web actúa como un proxy entre tu sitio web y todo el tráfico entrante. Utiliza un algoritmo inteligente para captar todas las solicitudes sospechosas y bloquearlas antes de que lleguen al servidor de tu sitio web

Recomendamos utilizar Sucuri porque es el mejor plugin de seguridad para WordPress y el mejor firewall para sitios web. Funciona a nivel de DNS, lo que significa que puede detectar un ataque DDoS antes de que pueda hacer una petición a tu sitio web

El precio de Sucuri es a partir de 20$ al mes (pago anual)

Utilizamos Sucuri en WPMundobytes. Consulta nuestro estudio de caso sobre cómo ayudan a bloquear cientos de miles de ataques a nuestro sitio web.

Alternativamente, también puedes utilizar Cloudflare. Sin embargo, el servicio gratuito de Cloudflare sólo ofrece una protección DDoS limitada. Tendrás que contratar al menos su plan empresarial para obtener protección DDoS de capa 7, que cuesta unos 200 dólares al mes

Consulta nuestro artículo sobre Sucuri vs Cloudflare para ver una comparación detallada

Nota: Los cortafuegos de aplicaciones web (WAF) que se ejecutan a nivel de aplicación son menos eficaces durante un ataque DDoS. Bloquean el tráfico una vez que ha llegado a tu servidor web, por lo que sigue afectando al rendimiento general de tu sitio web

Averiguar si se trata de un ataque de fuerza bruta o de un ataque DDoS

Tanto los ataques de fuerza bruta como los ataques DDoS utilizan intensamente los recursos del servidor, por lo que sus síntomas son bastante similares. Tu sitio web se volverá más lento y puede bloquearse

Puedes averiguar fácilmente si se trata de un ataque de fuerza bruta o de un ataque DDoS simplemente mirando los informes de acceso del plugin Sucuri

Simplemente, instala y activa el plugin gratuito Sucuri y luego ir a Sucuri Security " Últimos inicios de sesión página

Si ves un gran número de solicitudes de inicio de sesión aleatorias, significa que tu wp-admin está sufriendo un ataque de fuerza bruta. Para mitigarlo, puedes consultar nuestra guía sobre cómo bloquear los ataques de fuerza bruta en WordPress

Cosas que hacer durante un ataque DDoS

Los ataques DDoS pueden ocurrir incluso si tienes un cortafuegos de aplicaciones web y otras protecciones. Empresas como CloudFlare y Sucuri se enfrentan a estos ataques con regularidad, y la mayoría de las veces nunca oirás hablar de ello, ya que pueden mitigarlo fácilmente.

Sin embargo, en algunos casos, cuando estos ataques son grandes, aún pueden afectarte. En ese caso, es mejor estar preparado para mitigar los problemas que puedan surgir durante y después del ataque DDoS

A continuación se indican algunas cosas que puedes hacer para minimizar el impacto de un ataque DDoS

1. Alerta a los miembros de tu equipo

Si tienes un equipo, tienes que informar a tus compañeros sobre el problema. Esto les ayudará a prepararse para las consultas de asistencia al cliente, a estar atentos a posibles problemas y a ayudar durante o después del ataque

2. Informar a los clientes sobre el inconveniente

Un ataque DDoS puede afectar a la experiencia del usuario en tu sitio web. Si tienes una tienda de WooCommerce, es posible que tus clientes no puedan hacer un pedido o acceder a su cuenta

Puedes anunciar a través de tus cuentas de redes sociales que tu sitio web está teniendo dificultades técnicas y que todo volverá a la normalidad pronto

Si el ataque es grande, también puedes utilizar tu servicio de marketing por correo electrónico para comunicarte con los clientes y pedirles que sigan tus actualizaciones en las redes sociales.

Si tienes clientes VIP, entonces puedes utilizar tu servicio telefónico de empresa para hacer llamadas individuales e informarles de cómo estás trabajando para restablecer los servicios.

La comunicación en estos tiempos difíciles marca una gran diferencia a la hora de mantener fuerte la reputación de tu marca.

3. Contacta con el servicio de alojamiento y seguridad

Ponte en contacto con tu proveedor de alojamiento de WordPress. El ataque que estás presenciando podría ser parte de un ataque mayor dirigido a sus sistemas. En ese caso, podrán proporcionarte las últimas actualizaciones sobre la situación

Ponte en contacto con tu servicio de cortafuegos e infórmales de que tu sitio web está sufriendo un ataque DDoS. Es posible que puedan mitigar la situación aún más rápido y puedan proporcionarte más información

En los proveedores de cortafuegos como Sucuri, también puedes establecer su configuración para que esté en modo Paranoico, lo que ayuda a bloquear muchas peticiones y hacer que tu sitio web sea accesible para los usuarios normales.

Mantener la seguridad de tu sitio web de WordPress

WordPress es bastante seguro desde el principio. Sin embargo, al ser el constructor de sitios web más popular del mundo, suele ser el objetivo de los hackers

Por suerte, hay muchas buenas prácticas de seguridad que puedes aplicar en tu sitio web para hacerlo aún más seguro

Hemos recopilado una completa guía de seguridad de WordPress paso a paso para principiantes. Te guiará a través de las mejores configuraciones de seguridad de WordPress para proteger tu sitio web y sus datos contra las amenazas más comunes

Esperamos que este artículo te haya ayudado a saber cómo bloquear y prevenir un ataque DDoS en WordPress. Quizás también quieras ver nuestra guía sobre los errores más comunes de WordPress y cómo solucionarlos

Si te ha gustado este artículo, suscríbete a nuestro Canal de YouTube para los videotutoriales de WordPress. También puedes encontrarnos en Twitter y Facebook.