O WordPress é um dos criadores de sites mais populares do mundo porque oferece recursos avançados e uma base de código segura. No entanto, isso o torna um alvo para ataques DDoS.
Os hackers usam ataques DDoS para reduzir a velocidade dos sites e torná-los inacessíveis aos usuários. Esses ataques podem ter como alvo sites pequenos e grandes.
Agora, você deve estar se perguntando como um site de uma pequena empresa que usa o WordPress pode evitar esses ataques DDoS com recursos limitados.
Neste guia, mostraremos a você como interromper e evitar efetivamente um ataque DDoS no WordPress. Nosso objetivo é ajudá-lo a aprender a gerenciar a segurança do seu site contra um ataque DDoS como um verdadeiro profissional.
O que é um ataque DDoS?
DDoS (Distributed Denial of Service, negação de serviço distribuída) é um tipo de ataque cibernético que usa computadores e dispositivos comprometidos para enviar ou solicitar dados de um servidor de hospedagem do WordPress. O objetivo dessas solicitações é reduzir a velocidade e, eventualmente, travar o servidor alvo.
Os ataques DDoS evoluíram dos ataques DoS (Denial of Service, negação de serviço). Diferentemente de um ataque DoS, eles se aproveitam de muitas máquinas ou servidores comprometidos espalhados por diferentes regiões.
Essas máquinas comprometidas formam uma rede, que às vezes é chamada de botnet. Cada máquina afetada atua como um bot e lança ataques ao sistema ou servidor visado. Isso permite que eles passem despercebidos por um tempo e causem o máximo de danos antes de serem bloqueados.
Até mesmo as maiores empresas de Internet são vulneráveis a ataques DDoS.
Em 2018, o GitHub, uma plataforma popular de hospedagem de código, testemunhou um ataque DDoS maciço que enviou 1,3 terabytes por segundo de tráfego para seus servidores.
Talvez você também se lembre do famoso ataque de 2016 ao DYN (um provedor de serviços de DNS). Esse ataque teve cobertura jornalística mundial, pois afetou muitos sites populares como Amazon, Netflix, PayPal, Visa, Airbnb, The New York Times, Reddit e milhares de outros sites.
Perguntas frequentes sobre DDoS
Aqui estão algumas respostas a perguntas frequentes sobre ataques DDoS.
Por que ocorrem os ataques DDoS?
Há várias motivações por trás dos ataques DDoS. Aqui estão algumas das mais comuns:
- Pessoas tecnicamente experientes que estão entediadas acham isso uma aventura
- Pessoas e grupos que fazem uma declaração política
- Grupos direcionados a sites e serviços de um determinado país ou região
- Ataques direcionados a uma empresa ou provedor de serviços específico para causar danos monetários
- Chantagem para receber o dinheiro do resgate
Qual é a diferença entre um ataque de força bruta e um ataque DDoS?
Os ataques de força bruta tentam obter acesso não autorizado a um sistema adivinhando senhas ou tentando combinações aleatórias.
Os ataques DDoS são usados exclusivamente para travar o sistema visado, tornando-o lento ou inacessível.
Para obter mais detalhes, consulte nosso guia sobre como bloquear ataques de força bruta no WordPress.
Que danos podem ser causados por um ataque DDoS?
Os ataques DDoS podem reduzir o desempenho de um site ou torná-lo inacessível. Isso resulta em uma experiência ruim para o usuário, perda de negócios e custos de mitigação do ataque, que podem chegar a milhares de dólares.
Aqui está um detalhamento desses custos:
- Perda de negócios devido à inacessibilidade do site
- Custo do suporte ao cliente para responder a consultas relacionadas à interrupção do serviço
- Custo de mitigação do ataque por meio da contratação de serviços de segurança ou suporte
- O maior custo é a má experiência do usuário e a reputação da marca
Como posso interromper e evitar ataques DDoS no WordPress?
Os ataques DDoS podem ser disfarçados de forma inteligente e difíceis de lidar. Entretanto, com algumas práticas recomendadas básicas de segurança, você pode evitar e impedir facilmente que os ataques DDoS afetem seu site WordPress.
Aqui estão as etapas que você precisa seguir para evitar e interromper ataques DDoS em seu site:
Remover verticais de ataque DDoS / Brute Force
A melhor coisa sobre o WordPress é que ele é altamente flexível. O WordPress permite que plugins e ferramentas de terceiros se integrem ao seu site e adicionem novos recursos.
Para isso, o WordPress disponibiliza várias APIs para os programadores. Essas APIs são métodos pelos quais plug-ins e serviços do WordPress de terceiros podem interagir com o WordPress.
No entanto, algumas dessas APIs também podem ser exploradas durante um ataque DDoS, enviando uma tonelada de solicitações. Você pode desativá-las com segurança para reduzir essas solicitações.
Desativar XML RPC no WordPress
O XML-RPC permite que aplicativos de terceiros interajam com seu site WordPress. Por exemplo, você precisa do XML-RPC para usar o aplicativo WordPress em seu dispositivo móvel.
Se você for como a grande maioria dos usuários que não usam o aplicativo móvel para executar o site, poderá desativar o XML-RPC simplesmente adicionando o seguinte código ao arquivo .htaccess do seu site:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Para obter métodos alternativos, consulte nosso guia sobre como desativar facilmente o XML-RPC no WordPress.
Desativar a API REST no WordPress
A API JSON REST do WordPress permite que plug-ins e ferramentas acessem os dados do WordPress, atualizem o conteúdo e/ou até mesmo o excluam. Veja como você pode desativar a API REST no WordPress.
Recomendamos o uso do plug-in WPCode. Esse é o melhor plug-in de snippets de código que permitirá que você desative a API REST com apenas alguns cliques.
Para obter mais informações, consulte nosso guia sobre como desativar a API JSON REST no WordPress.
Como alternativa, você pode usar o plug-in Disable WP Rest API. O plug-in funciona imediatamente e desativará a API REST para todos os usuários não conectados.
Ativar um WAF (firewall de aplicativo de site)
A desativação de vetores de ataque como API REST e XML-RPC oferece proteção limitada contra ataques DDoS. Seu site ainda está vulnerável a solicitações HTTP normais.
Embora você possa atenuar um pequeno ataque DDoS tentando capturar os IPs de máquinas ruins e bloqueando-os manualmente, essa abordagem é menos eficaz quando se trata de um grande ataque.
A maneira mais fácil de bloquear solicitações suspeitas é ativando um firewall de aplicativo de site.
Um firewall de aplicativo de site funciona como um proxy entre seu site e todo o tráfego de entrada. Ele usa um algoritmo inteligente para capturar todas as solicitações suspeitas e bloqueá-las antes que cheguem ao servidor do seu site.
Recomendamos o uso do Sucuri porque ele é o melhor plug-in de segurança para WordPress e firewall de site. Ele é executado em um nível de DNS, o que significa que pode detectar um ataque DDoS antes que ele possa fazer uma solicitação ao seu site.
O preço da Sucuri começa em US$ 199,99 por ano.
Usamos a Sucuri no WPBeginner. Veja nosso estudo de caso sobre como eles ajudam a bloquear centenas de milhares de ataques em nosso site.
Como alternativa, você pode usar o Cloudflare. No entanto, o serviço gratuito da Cloudflare oferece apenas proteção limitada contra DDoS. Você precisará se inscrever pelo menos no plano comercial para obter proteção contra DDoS de camada 7, que custa cerca de US$ 200 por mês.
Consulte nosso artigo sobre Sucuri vs. Cloudflare para obter uma comparação detalhada lado a lado.
Observação: os WAFs (Website Application Firewalls) que são executados no nível do aplicativo são menos eficazes durante um ataque DDoS. Eles bloqueiam o tráfego depois que ele já chegou ao servidor da Web, portanto, isso ainda afeta o desempenho geral do site.
Identificar se é um ataque de força bruta ou DDoS
Tanto os ataques de força bruta quanto os ataques DDoS usam intensamente os recursos do servidor, o que significa que seus sintomas são bastante semelhantes. Seu site ficará mais lento e poderá travar.
Você pode descobrir facilmente se é um ataque de força bruta ou um ataque DDoS observando os relatórios de login do plug-in Sucuri.
Basta instalar e ativar o plug-in gratuito da Suc uri e, em seguida, acessar a página Sucuri Security ” Last Logins.
Se estiver vendo um grande número de solicitações de login aleatórias, isso significa que o wp-admin está sofrendo um ataque de força bruta. Para impedir isso, consulte nosso guia sobre como bloquear ataques de força bruta no WordPress.
O que fazer durante um ataque DDoS
Os ataques DDoS podem ocorrer mesmo que você tenha um firewall de aplicativo da Web e outras proteções em vigor. Empresas como a CloudFlare e a Sucuri lidam com esses ataques regularmente e, na maioria das vezes, você nunca ouvirá falar deles, pois eles podem atenuá-los facilmente.
No entanto, em alguns casos, quando esses ataques são grandes, eles ainda podem afetar você. Nesse caso, é melhor estar preparado para atenuar os problemas que podem surgir durante e após o ataque DDoS.
Veja a seguir algumas coisas que você pode fazer para minimizar o impacto de um ataque DDoS.
1. Alerte os membros da sua equipe
Se você tem uma equipe, precisa informar os colegas de trabalho sobre o problema.
Isso os ajudará a se prepararem para as consultas de suporte ao cliente, a se atentarem para possíveis problemas e a ajudarem durante ou após o ataque.
2. Informe os clientes sobre o inconveniente
Um ataque DDoS pode afetar a experiência do usuário em seu site. Se você tiver uma loja WooCommerce, talvez seus clientes não consigam fazer um pedido ou fazer login em suas contas.
Você pode anunciar por meio de suas contas de mídia social que seu site está com dificuldades técnicas e que tudo voltará ao normal em breve.
Se o ataque for grande, você também poderá usar seu serviço de marketing por e-mail para se comunicar com os clientes e pedir que eles sigam suas atualizações de mídia social.
Se você tiver clientes VIP, talvez queira usar seu serviço telefônico comercial para fazer chamadas individuais e informá-los sobre como você está trabalhando para restaurar os serviços.
A comunicação durante esses tempos difíceis faz uma enorme diferença para manter a reputação de sua marca forte.
3. Entre em contato com o suporte de hospedagem e segurança
Entre em contato com o seu provedor de hospedagem WordPress. O ataque ao seu site pode ser parte de um ataque maior direcionado aos sistemas deles. Nesse caso, eles poderão lhe fornecer as últimas atualizações sobre a situação.
Entre em contato com o serviço de firewall e informe-o de que o seu site está sofrendo um ataque DDoS. Eles poderão atenuar a situação ainda mais rapidamente e fornecer mais informações a você.
Com provedores de firewall como a Sucuri, também é possível definir as configurações para que fiquem no “Modo Paranoico”, o que ajuda a bloquear muitas solicitações e a tornar seu site acessível para usuários normais.
Como manter seu site WordPress seguro
O WordPress é bastante seguro desde o início. No entanto, como o construtor de sites mais popular do mundo, ele é frequentemente alvo de hackers.
Felizmente, há muitas práticas recomendadas de segurança que você pode aplicar ao seu site para torná-lo ainda mais seguro.
Compilamos um guia passo a passo completo de segurança do WordPress para iniciantes. Ele o guiará pelas melhores configurações de segurança do WordPress para proteger seu site e seus dados contra ameaças comuns.
Talvez você também goste de ver alguns outros artigos relacionados ao aprimoramento da segurança do WordPress:
- Como realizar uma auditoria de segurança do WordPress (lista de verificação completa)
- Melhores plug-ins de segurança do WordPress para proteger seu site (comparados)
- Melhores scanners de segurança do WordPress para detecção de malware e hackers
- Como verificar se há código potencialmente malicioso em seu site WordPress
- Principais motivos pelos quais os sites WordPress são hackeados (e como evitá-los)
- Como proteger seu site WordPress contra ataques de força bruta
- Como encontrar um backdoor em um site WordPress invadido e corrigi-lo
- Como monitorar a atividade do usuário no WordPress com logs de auditoria de segurança
- Como adicionar cabeçalhos de segurança HTTP no WordPress (guia para iniciantes)
Esperamos que este artigo tenha ajudado você a aprender como bloquear e evitar um ataque DDoS no WordPress. Talvez você também queira ver nosso guia sobre como corrigir os erros mais comuns do WordPress e nossas escolhas de especialistas para os melhores provedores de hospedagem gerenciada do WordPress.
Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Jiří Vaněk says
Currently, I dare to say that an excellent and free protection against DDoS attacks is Cloudflare. The DNS A record is hidden behind a proxy DNS, so the attack is mostly directed not at the target server but at the Cloudflare server. Cloudflare then effectively filters out the DDoS attack. For me, currently one of the best solutions available.
Prabuddh says
Disable XML RPC in WordPress Code is wrong,
The code ends with but you ended with which gives an error, Please solve this.
Thanks
WPBeginner Support says
We di bit see your recommendations in your comment but we did find a typo and it should be fixed
Administrador
Mohamad EL-Wakeel says
great articles, but would you make one as comparison between
DDoS Attack & Brute Force Attack, and how to detect both.
Thanks.