Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Copa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Como interromper e evitar um ataque DDoS no WordPress

O WordPress é um dos criadores de sites mais populares do mundo porque oferece recursos avançados e uma base de código segura. No entanto, isso o torna um alvo para ataques DDoS.

Os hackers usam ataques DDoS para reduzir a velocidade dos sites e torná-los inacessíveis aos usuários. Esses ataques podem ter como alvo sites pequenos e grandes.

Agora, você deve estar se perguntando como um site de uma pequena empresa que usa o WordPress pode evitar esses ataques DDoS com recursos limitados.

Neste guia, mostraremos a você como interromper e evitar efetivamente um ataque DDoS no WordPress. Nosso objetivo é ajudá-lo a aprender a gerenciar a segurança do seu site contra um ataque DDoS como um verdadeiro profissional.

Stopping and preventing a DDOS attack on a WordPress site

O que é um ataque DDoS?

DDoS (Distributed Denial of Service, negação de serviço distribuída) é um tipo de ataque cibernético que usa computadores e dispositivos comprometidos para enviar ou solicitar dados de um servidor de hospedagem do WordPress. O objetivo dessas solicitações é reduzir a velocidade e, eventualmente, travar o servidor alvo.

Os ataques DDoS evoluíram dos ataques DoS (Denial of Service, negação de serviço). Diferentemente de um ataque DoS, eles se aproveitam de muitas máquinas ou servidores comprometidos espalhados por diferentes regiões.

Essas máquinas comprometidas formam uma rede, que às vezes é chamada de botnet. Cada máquina afetada atua como um bot e lança ataques ao sistema ou servidor visado. Isso permite que eles passem despercebidos por um tempo e causem o máximo de danos antes de serem bloqueados.

DDoS attack diagram

Até mesmo as maiores empresas de Internet são vulneráveis a ataques DDoS.

Em 2018, o GitHub, uma plataforma popular de hospedagem de código, testemunhou um ataque DDoS maciço que enviou 1,3 terabytes por segundo de tráfego para seus servidores.

Talvez você também se lembre do famoso ataque de 2016 ao DYN (um provedor de serviços de DNS). Esse ataque teve cobertura jornalística mundial, pois afetou muitos sites populares como Amazon, Netflix, PayPal, Visa, Airbnb, The New York Times, Reddit e milhares de outros sites.

Perguntas frequentes sobre DDoS

Aqui estão algumas respostas a perguntas frequentes sobre ataques DDoS.

Por que ocorrem os ataques DDoS?

Há várias motivações por trás dos ataques DDoS. Aqui estão algumas das mais comuns:

  • Pessoas tecnicamente experientes que estão entediadas acham isso uma aventura
  • Pessoas e grupos que fazem uma declaração política
  • Grupos direcionados a sites e serviços de um determinado país ou região
  • Ataques direcionados a uma empresa ou provedor de serviços específico para causar danos monetários
  • Chantagem para receber o dinheiro do resgate

Qual é a diferença entre um ataque de força bruta e um ataque DDoS?

Brute force attack

Os ataques de força bruta tentam obter acesso não autorizado a um sistema adivinhando senhas ou tentando combinações aleatórias.

Os ataques DDoS são usados exclusivamente para travar o sistema visado, tornando-o lento ou inacessível.

Para obter mais detalhes, consulte nosso guia sobre como bloquear ataques de força bruta no WordPress.

Que danos podem ser causados por um ataque DDoS?

Os ataques DDoS podem reduzir o desempenho de um site ou torná-lo inacessível. Isso resulta em uma experiência ruim para o usuário, perda de negócios e custos de mitigação do ataque, que podem chegar a milhares de dólares.

Aqui está um detalhamento desses custos:

  • Perda de negócios devido à inacessibilidade do site
  • Custo do suporte ao cliente para responder a consultas relacionadas à interrupção do serviço
  • Custo de mitigação do ataque por meio da contratação de serviços de segurança ou suporte
  • O maior custo é a má experiência do usuário e a reputação da marca

Como posso interromper e evitar ataques DDoS no WordPress?

Os ataques DDoS podem ser disfarçados de forma inteligente e difíceis de lidar. Entretanto, com algumas práticas recomendadas básicas de segurança, você pode evitar e impedir facilmente que os ataques DDoS afetem seu site WordPress.

Aqui estão as etapas que você precisa seguir para evitar e interromper ataques DDoS em seu site:

Remover verticais de ataque DDoS / Brute Force

A melhor coisa sobre o WordPress é que ele é altamente flexível. O WordPress permite que plugins e ferramentas de terceiros se integrem ao seu site e adicionem novos recursos.

Para isso, o WordPress disponibiliza várias APIs para os programadores. Essas APIs são métodos pelos quais plug-ins e serviços do WordPress de terceiros podem interagir com o WordPress.

No entanto, algumas dessas APIs também podem ser exploradas durante um ataque DDoS, enviando uma tonelada de solicitações. Você pode desativá-las com segurança para reduzir essas solicitações.

Desativar XML RPC no WordPress

O XML-RPC permite que aplicativos de terceiros interajam com seu site WordPress. Por exemplo, você precisa do XML-RPC para usar o aplicativo WordPress em seu dispositivo móvel.

Se você for como a grande maioria dos usuários que não usam o aplicativo móvel para executar o site, poderá desativar o XML-RPC simplesmente adicionando o seguinte código ao arquivo .htaccess do seu site:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Para obter métodos alternativos, consulte nosso guia sobre como desativar facilmente o XML-RPC no WordPress.

Desativar a API REST no WordPress

A API JSON REST do WordPress permite que plug-ins e ferramentas acessem os dados do WordPress, atualizem o conteúdo e/ou até mesmo o excluam. Veja como você pode desativar a API REST no WordPress.

Recomendamos o uso do plug-in WPCode. Esse é o melhor plug-in de snippets de código que permitirá que você desative a API REST com apenas alguns cliques.

Para obter mais informações, consulte nosso guia sobre como desativar a API JSON REST no WordPress.

Como alternativa, você pode usar o plug-in Disable WP Rest API. O plug-in funciona imediatamente e desativará a API REST para todos os usuários não conectados.

Ativar um WAF (firewall de aplicativo de site)

Website Application Firewall (WAF)

A desativação de vetores de ataque como API REST e XML-RPC oferece proteção limitada contra ataques DDoS. Seu site ainda está vulnerável a solicitações HTTP normais.

Embora você possa atenuar um pequeno ataque DDoS tentando capturar os IPs de máquinas ruins e bloqueando-os manualmente, essa abordagem é menos eficaz quando se trata de um grande ataque.

A maneira mais fácil de bloquear solicitações suspeitas é ativando um firewall de aplicativo de site.

Um firewall de aplicativo de site funciona como um proxy entre seu site e todo o tráfego de entrada. Ele usa um algoritmo inteligente para capturar todas as solicitações suspeitas e bloqueá-las antes que cheguem ao servidor do seu site.

Website application firewall

Recomendamos o uso do Sucuri porque ele é o melhor plug-in de segurança para WordPress e firewall de site. Ele é executado em um nível de DNS, o que significa que pode detectar um ataque DDoS antes que ele possa fazer uma solicitação ao seu site.

O preço da Sucuri começa em US$ 199,99 por ano.

Usamos a Sucuri no WPBeginner. Veja nosso estudo de caso sobre como eles ajudam a bloquear centenas de milhares de ataques em nosso site.

Como alternativa, você pode usar o Cloudflare. No entanto, o serviço gratuito da Cloudflare oferece apenas proteção limitada contra DDoS. Você precisará se inscrever pelo menos no plano comercial para obter proteção contra DDoS de camada 7, que custa cerca de US$ 200 por mês.

Consulte nosso artigo sobre Sucuri vs. Cloudflare para obter uma comparação detalhada lado a lado.

Observação: os WAFs (Website Application Firewalls) que são executados no nível do aplicativo são menos eficazes durante um ataque DDoS. Eles bloqueiam o tráfego depois que ele já chegou ao servidor da Web, portanto, isso ainda afeta o desempenho geral do site.

Identificar se é um ataque de força bruta ou DDoS

Tanto os ataques de força bruta quanto os ataques DDoS usam intensamente os recursos do servidor, o que significa que seus sintomas são bastante semelhantes. Seu site ficará mais lento e poderá travar.

Você pode descobrir facilmente se é um ataque de força bruta ou um ataque DDoS observando os relatórios de login do plug-in Sucuri.

Basta instalar e ativar o plug-in gratuito da Suc uri e, em seguida, acessar a página Sucuri Security ” Last Logins.

Failed logins

Se estiver vendo um grande número de solicitações de login aleatórias, isso significa que o wp-admin está sofrendo um ataque de força bruta. Para impedir isso, consulte nosso guia sobre como bloquear ataques de força bruta no WordPress.

O que fazer durante um ataque DDoS

Os ataques DDoS podem ocorrer mesmo que você tenha um firewall de aplicativo da Web e outras proteções em vigor. Empresas como a CloudFlare e a Sucuri lidam com esses ataques regularmente e, na maioria das vezes, você nunca ouvirá falar deles, pois eles podem atenuá-los facilmente.

No entanto, em alguns casos, quando esses ataques são grandes, eles ainda podem afetar você. Nesse caso, é melhor estar preparado para atenuar os problemas que podem surgir durante e após o ataque DDoS.

Veja a seguir algumas coisas que você pode fazer para minimizar o impacto de um ataque DDoS.

1. Alerte os membros da sua equipe

Se você tem uma equipe, precisa informar os colegas de trabalho sobre o problema.

Isso os ajudará a se prepararem para as consultas de suporte ao cliente, a se atentarem para possíveis problemas e a ajudarem durante ou após o ataque.

2. Informe os clientes sobre o inconveniente

Um ataque DDoS pode afetar a experiência do usuário em seu site. Se você tiver uma loja WooCommerce, talvez seus clientes não consigam fazer um pedido ou fazer login em suas contas.

Você pode anunciar por meio de suas contas de mídia social que seu site está com dificuldades técnicas e que tudo voltará ao normal em breve.

Se o ataque for grande, você também poderá usar seu serviço de marketing por e-mail para se comunicar com os clientes e pedir que eles sigam suas atualizações de mídia social.

Se você tiver clientes VIP, talvez queira usar seu serviço telefônico comercial para fazer chamadas individuais e informá-los sobre como você está trabalhando para restaurar os serviços.

A comunicação durante esses tempos difíceis faz uma enorme diferença para manter a reputação de sua marca forte.

3. Entre em contato com o suporte de hospedagem e segurança

Entre em contato com o seu provedor de hospedagem WordPress. O ataque ao seu site pode ser parte de um ataque maior direcionado aos sistemas deles. Nesse caso, eles poderão lhe fornecer as últimas atualizações sobre a situação.

Entre em contato com o serviço de firewall e informe-o de que o seu site está sofrendo um ataque DDoS. Eles poderão atenuar a situação ainda mais rapidamente e fornecer mais informações a você.

Com provedores de firewall como a Sucuri, também é possível definir as configurações para que fiquem no “Modo Paranoico”, o que ajuda a bloquear muitas solicitações e a tornar seu site acessível para usuários normais.

Como manter seu site WordPress seguro

O WordPress é bastante seguro desde o início. No entanto, como o construtor de sites mais popular do mundo, ele é frequentemente alvo de hackers.

Felizmente, há muitas práticas recomendadas de segurança que você pode aplicar ao seu site para torná-lo ainda mais seguro.

Compilamos um guia passo a passo completo de segurança do WordPress para iniciantes. Ele o guiará pelas melhores configurações de segurança do WordPress para proteger seu site e seus dados contra ameaças comuns.

Talvez você também goste de ver alguns outros artigos relacionados ao aprimoramento da segurança do WordPress:

Esperamos que este artigo tenha ajudado você a aprender como bloquear e evitar um ataque DDoS no WordPress. Talvez você também queira ver nosso guia sobre como corrigir os erros mais comuns do WordPress e nossas escolhas de especialistas para os melhores provedores de hospedagem gerenciada do WordPress.

Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.

Divulgação: Nosso conteúdo é apoiado pelo leitor. Isso significa que, se você clicar em alguns de nossos links, poderemos receber uma comissão. Veja como o WPBeginner é financiado, por que isso é importante e como você pode nos apoiar. Aqui está nosso processo editorial.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

O kit de ferramentas definitivo WordPress

Obtenha acesso GRATUITO ao nosso kit de ferramentas - uma coleção de produtos e recursos relacionados ao WordPress que todo profissional deve ter!

Reader Interactions

5 ComentáriosDeixe uma resposta

  1. Syed Balkhi

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Jiří Vaněk

    Currently, I dare to say that an excellent and free protection against DDoS attacks is Cloudflare. The DNS A record is hidden behind a proxy DNS, so the attack is mostly directed not at the target server but at the Cloudflare server. Cloudflare then effectively filters out the DDoS attack. For me, currently one of the best solutions available.

  3. Prabuddh

    Disable XML RPC in WordPress Code is wrong,
    The code ends with but you ended with which gives an error, Please solve this.

    Thanks

    • WPBeginner Support

      We di bit see your recommendations in your comment but we did find a typo and it should be fixed :)

      Administrador

  4. Mohamad EL-Wakeel

    great articles, but would you make one as comparison between
    DDoS Attack & Brute Force Attack, and how to detect both.

    Thanks.

Deixe uma resposta

Obrigado por deixar um comentário. Lembre-se de que todos os comentários são moderados de acordo com nossos política de comentários, e seu endereço de e-mail NÃO será publicado. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.