Cómo detener y prevenir un ataque DDoS en WordPress

WordPress es uno de los constructores de sitios web más populares del mundo porque ofrece funciones potentes y un código seguro. Sin embargo, esta popularidad lo convierte en un objetivo para los ataques DDoS.

Los hackers utilizan ataques DDoS para ralentizar los sitios web y hacerlos inaccesibles para los usuarios. Estos ataques pueden dirigirse tanto a sitios web pequeños como grandes. Las consecuencias de un ataque DDoS pueden ser graves, lo que resulta en pérdida de ingresos, daño a la reputación y visitantes frustrados.

WPBeginner ha sido objeto de muchos de estos ataques, y hemos aprendido a tomar medidas para minimizar el riesgo y mantener nuestro sitio web seguro. Es posible que se pregunte cómo un sitio web de pequeñas empresas que utiliza WordPress puede prevenir tales ataques DDoS con recursos limitados.

Esta guía le mostrará cómo prevenir y detener ataques DDoS en WordPress, permitiéndole administrar la seguridad de su sitio web con confianza contra ataques como un profesional total.

¿Qué es un ataque DDoS?

DDoS (Denegación de Servicio Distribuida) es un tipo de ciberataque que utiliza computadoras y dispositivos comprometidos para enviar o solicitar datos de un servidor de hosting de WordPress. El propósito de estas solicitudes es ralentizar y eventualmente colapsar el servidor objetivo.

Los ataques DDoS evolucionaron a partir de los ataques DoS (Denegación de Servicio). A diferencia de un ataque DoS, aprovechan muchas máquinas o servidores comprometidos distribuidos en diferentes regiones.

Estas máquinas comprometidas forman una red, que a veces se llama botnet. Cada máquina afectada actúa como un bot y lanza ataques contra el sistema o servidor objetivo. Esto les permite pasar desapercibidos durante un tiempo y causar el máximo daño antes de ser bloqueados.

Incluso las empresas de Internet más grandes son vulnerables a los ataques DDoS.

En 2018, GitHub, una popular plataforma de alojamiento de código, fue testigo de un ataque DDoS masivo que envió 1.3 terabytes por segundo de tráfico a sus servidores.

También puede recordar el notorio ataque de 2016 contra DYN (un proveedor de servicios DNS). Este ataque recibió cobertura mediática mundial, ya que afectó a muchos sitios web populares como Amazon, Netflix, PayPal, Visa, Airbnb, The New York Times, Reddit y miles de otros sitios web.

Preguntas frecuentes sobre DDoS

Aquí hay algunas respuestas a preguntas frecuentes sobre ataques DDoS.

¿Por qué ocurren los ataques DDoS?

Hay varias motivaciones detrás de los ataques DDoS. Aquí hay algunas comunes:

• Personas con conocimientos técnicos que simplemente están aburridas lo encuentran aventurero
• Personas y grupos que defienden un punto político
• Grupos que atacan sitios web y servicios de un país o región en particular
• Ataques dirigidos a un negocio o proveedor de servicios específico para causar daño monetario
• Chantaje para cobrar dinero de rescate

¿Cuál es la diferencia entre un ataque de fuerza bruta y un ataque DDoS?

Los ataques de fuerza bruta intentan obtener acceso no autorizado a un sistema adivinando contraseñas o probando combinaciones aleatorias.

Los ataques DDoS se utilizan puramente para colapsar el sistema objetivo, haciéndolo lento o inaccesible.

Para más detalles, consulta nuestra guía sobre cómo bloquear ataques de fuerza bruta en WordPress.

¿Qué daño puede causar un ataque DDoS?

Los ataques DDoS pueden reducir el rendimiento de un sitio web o hacerlo inaccesible. Esto resulta en una mala experiencia de usuario, pérdida de negocios y los costos de mitigar el ataque, que pueden ser miles de dólares.

Aquí hay un desglose de estos costos:

• Pérdida de negocio debido a la inaccesibilidad del sitio web
• Costo de atención al cliente para responder consultas relacionadas con la interrupción del servicio
• Costo de mitigar el ataque contratando servicios de seguridad o soporte
• El mayor costo es la mala experiencia del usuario y la reputación de la marca

¿Cómo puedo detener y prevenir ataques DDoS en WordPress?

Los ataques DDoS pueden estar inteligentemente disfrazados y ser difíciles de manejar. Sin embargo, con algunas prácticas básicas de seguridad, puedes prevenir y detener fácilmente los ataques DDoS que afectan a tu sitio web de WordPress.

Aquí están los pasos que debes seguir para prevenir y detener ataques DDoS en tu sitio:

1. Eliminar verticales de ataques DDoS / Fuerza Bruta
2. Activar un WAF (Firewall de Aplicaciones Web)
3. Identificar si es un ataque de Fuerza Bruta o DDoS
4. Qué hacer durante un ataque DDoS
5. Cómo mantener seguro tu sitio web de WordPress

Eliminar verticales de ataques DDoS / Fuerza Bruta

Lo mejor de WordPress es que es muy flexible. WordPress permite que plugins y herramientas de terceros se integren en tu sitio web y añadan nuevas funciones.

Para ello, WordPress pone a disposición de los programadores varias API. Estas API son métodos mediante los cuales los plugins y servicios de terceros de WordPress pueden interactuar con WordPress.

Sin embargo, algunas de estas API también pueden ser explotadas durante un ataque DDoS enviando una gran cantidad de solicitudes. Puedes deshabilitarlas de forma segura para reducir esas solicitudes.

Deshabilitar XML RPC en WordPress

XML-RPC permite que aplicaciones de terceros interactúen con tu sitio web de WordPress. Por ejemplo, necesitas XML-RPC para usar la aplicación de WordPress en tu dispositivo móvil.

Si eres como la gran mayoría de usuarios que no usan la aplicación móvil para administrar su sitio web, entonces puedes deshabilitar XML-RPC simplemente agregando el siguiente código al archivo .htaccess de tu sitio:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Para métodos alternativos, consulta nuestra guía sobre cómo deshabilitar XML-RPC en WordPress fácilmente.

Deshabilitar la REST API en WordPress

La REST API JSON de WordPress permite que plugins y herramientas accedan a los datos de WordPress, actualicen contenido y/o incluso lo eliminen. Aquí te mostramos cómo puedes deshabilitar la REST API en WordPress.

Recomendamos usar el plugin WPCode. Este es el mejor plugin de fragmentos de código que te permitirá deshabilitar la REST API en solo unos clics.

Para más información, por favor consulta nuestra guía sobre cómo deshabilitar la JSON REST API en WordPress.

Alternativamente, puedes usar el plugin Disable WP Rest API. El plugin funciona directamente y deshabilitará la REST API para todos los usuarios que no hayan iniciado sesión.

Activar un WAF (Firewall de Aplicaciones Web)

Deshabilitar vectores de ataque como REST API y XML-RPC proporciona una protección limitada contra ataques DDoS. Tu sitio web sigue siendo vulnerable a las solicitudes HTTP normales.

Si bien puedes mitigar un ataque DDoS pequeño intentando capturar las IPs de las máquinas maliciosas y bloqueándolas manualmente, este enfoque es menos efectivo cuando se trata de un ataque a gran escala.

La forma más fácil de bloquear solicitudes sospechosas es activando un firewall de aplicaciones web.

Un firewall de aplicaciones web actúa como un proxy entre tu sitio web y todo el tráfico entrante. Utiliza un algoritmo inteligente para detectar todas las solicitudes sospechosas y bloquearlas antes de que lleguen al servidor de tu sitio web.

Recomendamos usar Sucuri porque es el mejor plugin de seguridad para WordPress y firewall de sitios web. Se ejecuta a nivel de DNS, lo que significa que puede detectar un ataque DDoS antes de que pueda hacer una solicitud a tu sitio web.

Los precios de Sucuri comienzan desde $199.99 por año.

Usamos Sucuri en WPBeginner. Vea nuestro caso de estudio sobre cómo ayudan a bloquear cientos de miles de ataques en nuestro sitio web.

Alternativamente, puede usar Cloudflare. Sin embargo, el servicio gratuito de Cloudflare solo ofrece protección limitada contra DDoS. Necesitará registrarse al menos en su plan de negocios para obtener protección DDoS de capa 7, que cuesta alrededor de $200 por mes.

Consulte nuestro artículo sobre Sucuri vs. Cloudflare para una comparación detallada lado a lado.

Identificar si es un ataque de Fuerza Bruta o DDoS

Tanto los ataques de fuerza bruta como los ataques DDoS utilizan intensivamente los recursos del servidor, lo que significa que sus síntomas se ven bastante similares. Su sitio web se volverá más lento y podría fallar.

Puede averiguar fácilmente si se trata de un ataque de fuerza bruta o un ataque DDoS observando los informes de inicio de sesión del plugin de Sucuri.

Simplemente instale y active el plugin gratuito Sucuri y luego vaya a la página Sucuri Security » Last Logins.

Si estás viendo un gran número de solicitudes de inicio de sesión aleatorias, esto significa que tu wp-admin está bajo un ataque de fuerza bruta. Para detenerlo, puedes consultar nuestra guía sobre cómo bloquear ataques de fuerza bruta en WordPress.

Qué hacer durante un ataque DDoS

Los ataques DDoS pueden ocurrir incluso si tienes un firewall de aplicaciones web y otras protecciones implementadas. Empresas como CloudFlare y Sucuri lidian con estos ataques regularmente, y la mayoría de las veces, nunca te enterarás de ellos ya que pueden mitigarlos fácilmente.

Sin embargo, en algunos casos, cuando estos ataques son grandes, aún pueden afectarte. En ese caso, lo mejor es estar preparado para mitigar los problemas que puedan surgir durante y después del ataque DDoS.

A continuación, se presentan algunas cosas que puedes hacer para minimizar el impacto de un ataque DDoS.

1. Alerta a los miembros de tu equipo

Si tienes un equipo, debes informar a tus compañeros de trabajo sobre el problema.

Esto les ayudará a prepararse para las consultas de soporte al cliente, estar atentos a posibles problemas y ayudar durante o después del ataque.

2. Informa a los clientes sobre los inconvenientes

Un ataque DDoS puede afectar la experiencia del usuario en tu sitio web. Si tienes una tienda WooCommerce, es posible que tus clientes no puedan realizar un pedido o iniciar sesión en sus cuentas.

Puedes anunciar a través de tus cuentas de redes sociales que tu sitio web está teniendo dificultades técnicas y que todo volverá a la normalidad pronto.

Si el ataque es grande, también puedes usar tu servicio de marketing por correo electrónico para comunicarte con los clientes y pedirles que sigan tus actualizaciones en redes sociales.

Si tienes clientes VIP, entonces podrías querer usar tu servicio telefónico de negocios para hacer llamadas individuales y hacerles saber cómo estás trabajando para restaurar los servicios.

La comunicación durante estos tiempos difíciles marca una gran diferencia en mantener fuerte la reputación de tu marca.

3. Contacta al Soporte de Hosting y Seguridad

Ponte en contacto con tu proveedor de hosting de WordPress. El ataque a tu sitio puede ser parte de un ataque más grande dirigido a sus sistemas. En ese caso, podrán proporcionarte las últimas actualizaciones sobre la situación.

Contacta a tu servicio de firewall y hazles saber que tu sitio web está bajo un ataque DDoS. Es posible que puedan mitigar la situación aún más rápido y proporcionarte más información.

Con proveedores de firewall como Sucuri, también puedes configurar tus ajustes para que estén en 'Modo Paranoico', lo que ayuda a bloquear muchas solicitudes y hacer que tu sitio web sea accesible para usuarios normales.

Cómo mantener seguro tu sitio web de WordPress

WordPress es bastante seguro desde el principio. Sin embargo, al ser el constructor de sitios web más popular del mundo, a menudo es blanco de hackers.

Afortunadamente, existen muchas prácticas de seguridad recomendadas que puedes aplicar a tu sitio web para hacerlo aún más seguro.

Hemos compilado una guía completa paso a paso de seguridad de WordPress para principiantes. Te guiará a través de la configuración de seguridad de WordPress más adecuada para proteger tu sitio web y sus datos contra amenazas comunes.

También te podría interesar ver otros artículos relacionados con la mejora de la seguridad de tu WordPress:

• Cómo realizar una auditoría de seguridad de WordPress (Lista de verificación completa)
• Los mejores plugins de seguridad para WordPress para proteger tu sitio (Comparado)
• Los mejores escáneres de seguridad de WordPress para detectar malware y hackeos
• Cómo escanear tu sitio de WordPress en busca de código potencialmente malicioso
• Principales razones por las que los sitios de WordPress son hackeados (& cómo prevenirlo)
• Cómo proteger tu sitio de WordPress de ataques de fuerza bruta
• Cómo encontrar una puerta trasera en un sitio de WordPress hackeado y solucionarlo
• Cómo monitorear la actividad del usuario en WordPress con registros de auditoría de seguridad
• Cómo agregar encabezados de seguridad HTTP en WordPress (Guía para principiantes)

Esperamos que este artículo te haya ayudado a aprender cómo bloquear y prevenir un ataque DDoS en WordPress. También podrías querer ver nuestra guía sobre cómo prevenir ataques de inyección SQL en WordPress y nuestra lista de verificación esencial de tareas cruciales de mantenimiento de WordPress que debes realizar regularmente.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.