WordPress é o Sistema de Gerenciamento de Conteúdo mais usado e popular. O sistema central do WordPress é muito seguro e confiável, e muitos sites populares são construídos com ele. Seu sistema de plugins flexível pode estender quase todos os recursos possíveis ao núcleo.
Mas, não importa quão robusta seja sua estrutura, há intrusos por aí tentando atacar seus sites iniciando ataques DDoS.
Aprenda como impedir que um ataque DDoS derrube seu site.
O que são ataques DDoS?
Um ataque distributed denial-of-service (DDoS) é um terceiro perturbando o tráfego do seu site enviando múltiplas solicitações supérfluas
Contents
Não importa quem você seja, os ataques DDoS podem ser direcionados a qualquer lugar se houver uma brecha de segurança.
Leia um guia completo para proteger seu site WordPress de hackers com opções avançadas.
Aqui, vamos guiá-lo com os mínimos detalhes para manter todas as ameaças de ataques DDoS distantes!
O que é DDoS?
DDoS, abreviado para Distributed Denial of Service, é um ataque ao seu site que envia múltiplas solicitações supérfluas ao seu site de diferentes fontes para sobrecarregar o sistema. Seu objetivo é desacelerar os tempos de resposta de um site até que ele não esteja mais acessível para que as solicitações legítimas sejam atendidas.
Uma vez que esses ataques são bem-sucedidos, os intrusos podem injetar um pedaço de código em seu site e eventualmente hackeá-lo.
As solicitações são enviadas de outros sites (WordPress) e hosts comprometidos por malware. Esses sites são usados como meio de atacar.
Isso deixa o servidor do seu site ocupado com todas essas solicitações e eventualmente para de responder em um ponto, tornando impossível para você recuperar o site.
Os ataques são direcionados através de diferentes dispositivos, fazendo com que passem despercebidos, tornando ainda mais fácil tornar o ataque bem-sucedido.
Se você acha que seu site está seguro, pense novamente, já que empresas mais proeminentes como Amazon, DreamHost e PayPal também foram vítimas há quatro anos.
Imagine a perda do lado deles. É por isso que a prevenção é melhor do que enfrentar as circunstâncias.
Quais são as razões por trás dos ataques DDoS?
Estas são as múltiplas razões pelas quais os atacantes iniciam ataques DDoS:
- O resgate: coletar dinheiro enquanto mantém seu site como refém é uma dessas razões.
- Os atacantes encontram prazer e fazem isso por motivos de diversão.
- Pessoas que gostam de atacar um grupo específico de pessoas.
- Concorrência: O concorrente quer causar dano monetário, pode contratar ou atacar seu site ele mesmo.
O que é o ataque BruteForce?
Os hackers tentam fazer login adivinhando diferentes combinações de nome de usuário e senha. Uma vez que têm acesso, eles podem adicionar código malicioso ao seu site. Lembre-se, ataques BruteForce e DDoS são de alguma forma diferentes.
Tipos de ataques DDoS
Existem vários tipos de ataques DDoS, mas os mais difundidos são os seguintes:
Esse é o tipo mais comum de ataque DDoS que significa inundar o site com solicitações sem sentido, o que por sua vez desacelera o site ou simultaneamente resulta em um encerramento completo do site.
Os atacantes não derrubam o site completamente, mas o desaceleram com ataques constantes.
Todos esses ataques requerem tempo e esforço, mas este em particular exige mais do que apenas ataques. Os intrusos pesquisam minuciosamente para encontrar os pontos fracos, e aqui é onde tudo vai em vão do seu lado. Uma vez que os atacantes encontram seus pontos fracos, eles plantam seu pedaço de código, o que faz seu site acabar em piores condições.
Este explora completamente o servidor e derruba o site, deixando-o inutilizável.
Quais danos específicos podem ser causados pelos ataques DDoS?
Como explicado acima, os ataques DDoS acabam desacelerando seu site, reduzindo o desempenho de velocidade e o tempo de carregamento geral. Todos os danos causados pelos ataques DDoS pertencem a você em última análise, sejam eles monetários ou não. Abaixo estão certos danos que podem ser causados pelos ataques DDoS:
- Você pode perder vários pedidos em um site eCommerce.
- Os efeitos posteriores de não responder às consultas dos clientes, custando-lhe todo o trabalho duro que você colocou em seu site até agora.
- O ônus de contratar segurança e hardware. Enquanto trazer novas pessoas e explicar-lhes como garantir que o bandwagon seja preciso lhe custará muito tempo e dinheiro para os recrutas, sejam pessoas ou dispositivos.
- No final, a satisfação do usuário vai falhar. A indisponibilidade inesperada acabará perdendo seus rankings SEO (Search Engine Optimization), assim como os clientes enfrentando o erro de tempo esgotado de servidor ou conexão é o pior cenário. Se seu site for atingido por um grande DDoS e cair, seus usuários podem receber uma mensagem como esta:
Como parar um ataque DDoS em um site WordPress?
WordPress permite que todos construam sites sem qualquer conhecimento técnico, mas isso pode resultar na perda dos sites para esses ataques DDoS. Como iniciante, pode ser muito para digerir e entender o que e como os ataques DDoS funcionam e como você pode evitá-los, mas ter um pouco de conhecimento para reconhecer as partes fracas é sempre uma boa ideia.
Dicas e passos para prevenir ataques DDoS no WordPress
Existem maneiras ainda mais fáceis, não importa qual seja seu nível de tecnicidade. Todas essas dicas e passos vão ajudá-lo a evitar os melhores ataques DDoS. Antes de fazer qualquer coisa, recomendamos fazer um backup do seu site para reverter em caso de qualquer erro.
XML RPC permite que aplicativos de terceiros interajam com seu site. Aplicativos como WordPress para celular usam XML RPC para se conectar. Então, se você não está usando nenhum desses aplicativos, você pode facilmente desabilitá-lo para evitar quaisquer ataques DDoS. Existem duas maneiras de desabilitar XML-RPC.
- Via método .htaccess
Desabilite o xmlrpc.php usando .htaccess:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
- Via plugin
Se você quer desabilitar XML RPC via um plugin, pode usar um destes plugins para desabilitá-lo:
Nota: Existem vários outros plugins disponíveis que podem desabilitar XML RPC.
A JSON Rest API é usada para acessar, atualizar, deletar, etc. dados de sites WordPress. Para desabilitar a JSON Rest API, você pode usar Disable REST API.
Mesmo que desabilitar XML RPC e REST API torne seu site protegido em um nível limitado, então é melhor instalar um WAF (Website Activation Firewall).
O Website Activation Firewall atua como um proxy entre seu site e o tráfego. Ele bloqueia todos os dados indesejados, conteúdo malicioso e IDs falsos que tentam interagir, parando-os antes mesmo de alcançar o servidor do site.
Aqui está como o WAF funciona no Sucuri!
Existem dois tipos de implementação WAF
- Baseado em nuvem (implementado na infraestrutura de hospedagem)
- Hospedado (geralmente, um plugin instalado no WordPress)
Entre os dois acima, recomendo o WAF baseado em nuvem, pois ele para os ataques antes de chegar ao seu servidor. Alguns dos WAF para WordPress
Mesmo instalando todos os firewalls do mundo, ou tomando todas as medidas, isso não vai te ajudar às vezes. Você precisa saber como seu site funciona para notar quaisquer pequenas mudanças em seu site quando ataques DDoS estão sendo lançados contra seu site.
Faça um hábito de atualizar constantemente e prontamente seu WordPress e plugins. Na maioria das vezes, as atualizações do núcleo WordPress e plugins vêm com melhorias de segurança que tornam seu site mais seguro do que era. Antes de atualizar, certifique-se de que a nova atualização está funcionando bem para outros usuários. Às vezes, novas atualizações quebram alguns sites que estão usando seja a versão antiga do PHP ou a versão antiga do JQuery etc. Coisas para atualizar:
- Núcleo WordPress
- Temas WordPress
- Plugins WordPress
- Versão PHP
- Servidor Apache
- Servidor Nginx
Entre em contato com seu host e pergunte os passos recomendados para evitar ataques DDoS. Geralmente, cada host tem algumas diretrizes sobre como prevenir esses tipos de ataques.
WordPress é uma bênção quando se trata de plugins, deixando você fazer toda a criatividade com os plugins, mas ao mesmo tempo, eles podem ser uma ameaça para seu site. Em vez disso, com todos esses plugins executando seu site, ter um plugin de segurança pode ajudar com as questões de segurança. Alguns plugins mantêm os constantes logins desconhecidos fora e mantêm o site seguro. Lembre-se, os plugins de segurança são instalados no WordPress, e as solicitações são verificadas, bloqueadas após chegar ao servidor web. Mas a parte segura é manter o conhecimento de qual plugin é genuinamente autêntico e recomendado pela comunidade WordPress. Alguns plugins de segurança recomendados são:
- Wordfence Security – Firewall & Malware Scan
- iThemes Security (formerly Better WP Security)
- Shield Security: Protection with Smarter Automation
Aqui está uma visão do Dashboard do Wordfence e como ele protege seu site com:
- Firewall
- Scan
CDN (Content Delivery Network) é um grupo de servidores distribuídos por todo o mundo, e pode ajudá-lo a manter o controle e adicionar camadas extras de segurança tornando-o um caminho seguro para fluir. Alguns dos CDN que previnem ataques DDoS são:
Cloudflare fornece proteção gratuita contra ataques DDoS.
Mesmo que essas dicas sejam úteis todas as vezes, você precisa ser extra cuidadoso ao usar qualquer ferramenta ou plugin de terceiros para manter seu site seguro.
O pior que acontece depois do ataque DDoS é perder seu ranking do site e não ser capaz de trabalhar no mesmo ritmo mesmo depois de recuperar o acesso ao site após os ataques.
