WordPress es uno de los maquetadores de sitios web más populares del mundo porque ofrece potentes características y una base de código segura. Sin embargo, eso lo convierte en objetivo de ataques DDoS.
Los piratas informáticos utilizan los ataques DDoS para ralentizar los sitios web y hacerlos finalmente inaccesibles a los usuarios. Estos ataques pueden dirigirse tanto a sitios web pequeños como grandes.
Ahora bien, es posible que se pregunte cómo un sitio web de una pequeña empresa que utiliza WordPress puede evitar este tipo de ataques DDoS con recursos limitados.
En esta guía, le mostraremos cómo detener y prevenir eficazmente un ataque DDoS en WordPress. Nuestro objetivo es que aprendas a gestionar la seguridad de tu sitio web frente a un ataque DDoS como un auténtico profesional.
¿Qué es un ataque DDoS?
DDoS (Distributed Denial of Service) es un tipo de ciberataque que utiliza ordenadores y dispositivos comprometidos para enviar o solicitar datos a un servidor de alojamiento WordPress. El objetivo de estas peticiones es ralentizar y, eventualmente, colapsar el servidor objetivo.
Los ataques DDoS evolucionaron a partir de los ataques DoS (Denegación de Servicio). A diferencia de un ataque DoS, se aprovechan de muchas máquinas o servidores comprometidos repartidos por diferentes regiones.
Estas máquinas comprometidas forman una red, que a veces se denomina botnet. Cada máquina afectada actúa como un bot y lanza ataques contra el sistema o servidor objetivo. Esto les permite pasar desapercibidos durante un tiempo y causar el máximo daño antes de ser bloqueados.
Incluso las mayores empresas de Internet son vulnerables a los ataques DDoS.
En 2018, GitHub, una popular plataforma de alojamiento de código, fue testigo de un ataque DDoS masivo que envió 1,3 terabytes por segundo de tráfico a sus servidores.
Puede que también recuerdes el famoso ataque de 2016 a DYN (un proveedor de servicios DNS). Este ataque fue noticia en todo el mundo, ya que afectó a muchos sitios web populares como Amazon, Netflix, PayPal, Visa, Airbnb, The New York Times, Reddit y miles de sitios web más.
Preguntas frecuentes sobre DDoS
He aquí algunas respuestas a preguntas frecuentes acerca de los ataques DDoS.
¿Por qué se producen los ataques DDoS?
Hay varias motivaciones detrás de los ataques DDoS. He aquí algunas de las más comunes:
- Las personas con conocimientos técnicos que simplemente se aburren lo encuentran aventurero
- Personas y grupos que defienden un punto de vista político
- Grupos dirigidos a sitios web y servicios de un determinado país o región
- Ataques dirigidos contra una empresa o un proveedor de servicios específicos para causar un perjuicio económico.
- Chantaje para cobrar el dinero del rescate
¿Cuál es la diferencia entre un ataque de fuerza bruta y un ataque DDoS?
Los ataques de fuerza bruta intentan obtener acceso no autorizado a un sistema adivinando contraseñas o probando combinaciones aleatorias.
Los ataques DDoS se utilizan exclusivamente para colapsar el sistema objetivo, haciéndolo lento o inaccesible.
Para más detalles, consulte nuestra guía sobre cómo bloquear los ataques de fuerza bruta en WordPress.
¿Qué daños puede causar un ataque DDoS?
Los ataques DDoS pueden reducir el rendimiento de un sitio web o hacerlo inaccesible. Esto se traduce en una mala experiencia para el usuario, pérdida de negocio y los costes de mitigar el ataque, que pueden ser de miles de dólares.
He aquí un desglose de estos costes:
- Pérdida de negocio debido a la inaccesibilidad del sitio web
- Coste del soporte al cliente para responder a las consultas relacionadas con la interrupción del servicio.
- Coste de mitigar el ataque contratando servicios o soporte de seguridad
- El mayor coste es la mala experiencia del usuario y la reputación de la marca
¿Cómo puedo detener y prevenir los ataques DDoS en WordPress?
Los ataques DDoS pueden estar hábilmente camuflados y ser difíciles de afrontar. Sin embargo, con algunas buenas prácticas básicas de seguridad, puedes prevenir y evitar fácilmente que los ataques DDoS afecten a tu sitio web WordPress.
Estos son los pasos que debe seguir para prevenir y detener los ataques DDoS en su sitio:
Eliminar DDoS / Ataques de Fuerza Bruta Verticales
Lo mejor de WordPress es que es muy flexible. WordPress permite que plugins y herramientas de terceros se integren en tu sitio web y añadan nuevas características.
Para ello, WordPress pone a disposición de los programadores varias API. Estas API son métodos mediante los cuales los plugins y servicios de WordPress de terceros pueden interactuar con WordPress.
Sin embargo, algunas de estas APIs también pueden ser explotadas durante un ataque DDoS enviando una tonelada de peticiones. Puedes desactivarlas de forma segura para reducir esas peticiones.
Desactivar XML-RPC en WordPress
XML-RPC permite a las aplicaciones de terceros interactuar con su sitio web WordPress. Por ejemplo, necesitas XML-RPC para utilizar la aplicación de WordPress en tu dispositivo móvil.
Si usted es como la gran mayoría de los usuarios que no utilizan la aplicación móvil para ejecutar su sitio web, entonces puede desactivar XML-RPC simplemente añadiendo el siguiente código al archivo .htaccess de su sitio:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Para métodos alternativos, consulte nuestra guía sobre cómo desactivar fácilmente XML-RPC en WordPress.
Desactivar REST API en WordPress
La API REST JSON de WordPress permite a plugins y herramientas acceder a los datos de WordPress, actualizar contenidos y/o incluso borrarlos. A continuación se explica cómo desactivar la API REST en WordPress.
Recomendamos utilizar el plugin WPCode. Este es el mejor plugin de fragmentos de código que le permitirá desactivar la API REST en tan sólo unos clics.
Para más información, consulte nuestra guía sobre cómo desactivar la API REST JSON en WordPress.
Alternativamente, puedes usar el plugin Disable WP Rest API. El plugin funciona de inmediato y desactivará la API REST para todos los usuarios no conectados.
Activar un WAF (cortafuegos de aplicaciones web)
Desactivar vectores de ataque como REST API y XML-RPC proporciona una protección limitada contra ataques DDoS. Su sitio web sigue siendo vulnerable a las peticiones HTTP normales.
Si bien se puede mitigar un pequeño ataque DDoS tratando de atrapar las IPs de las máquinas malas y bloqueándolas manualmente, este enfoque es menos eficaz cuando se trata de un ataque grande.
La forma más sencilla de bloquear solicitudes sospechosas es activando un cortafuegos de aplicaciones de sitios web.
Un cortafuegos de aplicaciones de sitios web actúa como un proxy entre su sitio web y todo el tráfico entrante. Utiliza un algoritmo inteligente para detectar todas las solicitudes sospechosas y bloquearlas antes de que lleguen al servidor de su sitio web.
Recomendamos usar Sucuri porque es el mejor plugin de seguridad para WordPress y cortafuegos para sitios web. Funciona a nivel de DNS, lo que significa que puede atrapar un ataque DDoS antes de que pueda hacer una solicitud a su sitio web.
Los precios de Sucuri empiezan a partir de 199,99 dólares al año.
Utilizamos Sucuri en WPBeginner. Vea nuestro estudio de caso sobre cómo ayudan a bloquear cientos de miles de ataques a nuestro sitio web.
Como alternativa, puede utilizar Cloudflare. Sin embargo, el servicio gratuito de Cloudflare solo ofrece una protección DDoS limitada. Tendrás que acceder al menos a su plan empresarial para obtener protección DDoS de capa 7, que cuesta unos 200 dólares al mes.
Consulte nuestro artículo sobre Sucuri vs. Cloudflare para una comparación detallada.
Nota: Los cortafuegos de aplicaciones de sitios web (WAF) que funcionan a nivel de aplicación son menos eficaces durante un ataque DDoS. Bloquean el tráfico una vez que ya ha llegado a su servidor web, por lo que sigue afectando al rendimiento general de su sitio web.
Identifique si se trata de un ataque de fuerza bruta o DDoS
Tanto los ataques de fuerza bruta como los DDoS hacen un uso intensivo de los recursos del servidor, por lo que sus síntomas son bastante similares. Su sitio web se ralentizará y puede bloquearse.
Puedes averiguar fácilmente si se trata de un ataque de fuerza bruta o un ataque DDoS mirando los informes de acceso del plugin Sucuri.
Simplemente instale y active el plugin gratuito de Sucuri y luego vaya a la página Sucuri Security ” Last Logins.
Si usted está viendo un gran número de solicitudes de acceso / acceso al azar, entonces esto significa que su wp-admin está bajo un ataque de fuerza bruta. Para detenerlo, puedes consultar nuestra guía sobre cómo bloquear ataques de fuerza bruta en WordPress.
Qué hacer durante un ataque DDoS
Los ataques DDoS pueden producirse incluso si dispone de un cortafuegos de aplicaciones web y otras protecciones. Empresas como CloudFlare y Sucuri lidian con estos ataques de forma regular, y la mayoría de las veces, nunca oirás hablar de ellos ya que pueden mitigarlos fácilmente.
Sin embargo, en algunos casos, cuando estos ataques son grandes, aún pueden afectarle. En ese caso, lo mejor es estar preparado para mitigar los problemas que puedan surgir durante y después del ataque DDoS.
A continuación se indican algunas cosas que puede hacer para minimizar el impacto de un ataque DDoS.
1. Alerte a los miembros de su equipo
Si trabajas en equipo, debes informar a tus compañeros acerca de la incidencia.
Esto les ayudará a prepararse para las consultas de soporte al cliente, estar atentos a posibles problemas y ayudar durante o después del ataque.
2. Informar a los clientes acerca de los inconvenientes
Un ataque DDoS puede afectar a la experiencia del usuario en su sitio web. Si tiene una tienda WooCommerce, es posible que sus clientes no puedan realizar pedidos o acceder a sus cuentas.
Puede anunciar a través de sus cuentas en los medios sociales que su sitio web tiene dificultades técnicas y que todo volverá a la normalidad en breve.
Si el ataque es grande, también puede utilizar su servicio de marketing por correo electrónico para comunicarse con los clientes y pedirles que sigan las actualizaciones de sus medios sociales.
Si tiene clientes VIP, quizá le interese utilizar el servicio telefónico de su empresa para realizar llamadas individuales y comunicarles cómo está trabajando para restablecer los servicios.
La comunicación en estos tiempos difíciles marca una gran diferencia a la hora de mantener fuerte la reputación de su marca.
3. Póngase en contacto con el soporte de alojamiento y seguridad
Póngase en contacto con su proveedor de alojamiento de WordPress. El ataque a su sitio puede formar parte de un ataque mayor dirigido a sus sistemas. En ese caso, podrán proporcionarle las últimas actualizaciones acerca de la situación.
Póngase en contacto con su servicio de cortafuegos e infórmeles de que su sitio web está sufriendo un ataque DDoS. Es posible que puedan mitigar la situación aún más rápido y proporcionarle más información.
Con proveedores de cortafuegos como Sucuri, también puedes establecer tus ajustes para que estén en ‘Modo Paranoico’, lo que ayuda a bloquear muchas peticiones y hacer que tu sitio web sea accesible para usuarios normales.
Cómo mantener seguro su sitio web en WordPress
WordPress es bastante seguro desde el primer momento. Sin embargo, al ser el maquetador de sitios web más popular del mundo, suele ser el objetivo de los piratas informáticos.
Por suerte, hay muchas buenas prácticas de seguridad que puede aplicar a su sitio web para hacerlo aún más seguro.
Hemos recopilado una completa guía de seguridad de WordPress paso a paso para principiantes. Le guiará a través de los mejores ajustes de seguridad de WordPress para proteger su sitio web y sus datos contra las amenazas más comunes.
Puede que también quiera ver otros artículos relacionados con la mejora de la seguridad de WordPress:
- Cómo realizar una auditoría de seguridad de WordPress (lista de comprobación completa)
- Los mejores plugins de seguridad de WordPress para proteger su sitio (comparativa)
- Los mejores escáneres de seguridad de WordPress para detectar malware y hackeos
- Cómo escanear su sitio WordPress en busca de código potencialmente malicioso
- Razones principales por las que los sitios de WordPress son pirateados (y cómo evitarlo)
- Cómo proteger su sitio WordPress de los ataques de fuerza bruta
- Cómo encontrar una puerta trasera en un sitio WordPress hackeado y solucionarlo
- Cómo supervisar la actividad de los usuarios en WordPress con registros de auditoría de seguridad
- Cómo añadir cabeceras de seguridad HTTP en WordPress (Guía para principiantes)
Esperamos que este artículo te haya ayudado a aprender cómo bloquear y prevenir un ataque DDoS en WordPress. Puede que también quieras ver nuestra guía sobre cómo corregir los errores más comunes de WordPress y nuestras selecciones de expertos sobre los mejores proveedores de alojamiento gestionado para WordPress.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Jiří Vaněk says
Currently, I dare to say that an excellent and free protection against DDoS attacks is Cloudflare. The DNS A record is hidden behind a proxy DNS, so the attack is mostly directed not at the target server but at the Cloudflare server. Cloudflare then effectively filters out the DDoS attack. For me, currently one of the best solutions available.
Prabuddh says
Disable XML RPC in WordPress Code is wrong,
The code ends with but you ended with which gives an error, Please solve this.
Thanks
WPBeginner Support says
We di bit see your recommendations in your comment but we did find a typo and it should be fixed
Administrador
Mohamad EL-Wakeel says
great articles, but would you make one as comparison between
DDoS Attack & Brute Force Attack, and how to detect both.
Thanks.