Todo o trabalho duro que você coloca em seu site WordPress pode acabar em um segundo se você não tomar nenhuma medida para protegê-lo de ataques DDoS.
Todos os sites de acesso público são vulneráveis a ataques DDoS , e sites baseados em WordPress não são exceção. Felizmente, o WordPress é uma plataforma muito flexível e, portanto, oferece suporte a medidas eficazes de proteção contra ataques. É apenas uma questão de prevenção: repelir um ataque ou mitigar seus efeitos; você tem que agir antes que aconteça.
O que é um ataque DDoS?
Abreviação de Distributed Denial of Service, um ataque DDoS é uma ação agressiva coordenada realizada por uma rede de computadores ou dispositivos comprometidos (uma botnet) que envia massivamente dados ou solicita dados de um servidor (o alvo). A enxurrada de solicitações sobrecarrega a capacidade do servidor, tornando-o lento ou travando por falta de recursos.
O dano potencial do ataque DDoS
Se o seu site se tornar alvo de um ataque DDoS, muitas coisas ruins podem acontecer com ele.
Por exemplo:
- A experiência de seus visitantes pode ser afetada negativamente. Na melhor das hipóteses, as respostas do site podem ficar lentas ; na pior das hipóteses, todo o site ficará fora do ar e inacessível.
- Se o seu site for uma loja online, você pode perder vendas e, se for apenas veicular conteúdo, seus visitantes podem ir a outro lugar para conseguir o que desejam.
- A reputação do seu site pode cair seriamente , tanto em termos de reputação de marca percebida (ou seja, sua empresa não é considerada séria) quanto em termos de autoridade, relevância e confiança, que são os pilares de qualquer estratégia de SEO .
- Vai custar-lhe reparar os danos. O custo dependerá da duração do ataque e é difícil de calcular porque você deve considerar muitos efeitos colaterais, como esforços de suporte ao cliente para responder a reclamações de usuários sobre interrupção do serviço ou contratação de um serviço de segurança para limpar seu site.
Quem são as vítimas dos ataques DDoS?
Qualquer site, independentemente do seu tamanho ou volume, pode ser alvo de um ataque DDoS.
Sites com exposição vulnerabilidades são os alvos mais fáceis, mas um ataque pode ser orquestrado de propósito contra qualquer site específico. O ataque pode ser conduzido por razões ideológicas (uma prática chamada hacktivismo); por exemplo, para desacreditar um site que promove certas ideias políticas ou religiosas. Ou para chantagear o dono do site e pedir um resgate. Ou pode ser simplesmente um hobby de um grupo de pessoas com experiência em tecnologia que desejam mostrar suas habilidades.
Um ataque também pode ser contratado : uma empresa paga um grupo de hackers para atacar especificamente seus concorrentes. Seja qual for o motivo, o ponto principal é: qualquer proprietário de site deve tomar precauções para evitar que um ataque DDoS danifique seu site. Não é difícil ou caro, então não há motivos reais para não fazê-lo.
Como proteger seu WordPress de ataques DDoS?
As duas medidas de segurança necessárias que você precisa tomar para proteger seu site WordPress contra ataques DDoS:
- Obtenha uma boa solução de backup do WordPress.
- Comece a usar uma solução de segurança anti-DDoS econômica e baseada em nuvem.
O solução de backup é algo que você deve ter por vários motivos, não apenas para proteção contra DDoS. Existem muitas soluções de backup gratuitas e pagas no catálogo de plugins do WordPress, então não estamos nos aprofundando neste assunto no momento. Após um ataque, se seu site for danificado, restaurá-lo com um backup seguro é uma maneira rápida de recuperá-lo.
Em termos de soluções de segurança anti-DDoS, você deve se perguntar quanta tranquilidade deseja ter e quanto dinheiro deseja pagar por isso. Se você não quiser pagar nada, terá que cuidar de algumas coisas sozinho.
Abordagem DIY
Uma das grandes vantagens do WordPress é que ele possui uma arquitetura aberta que permite que aplicativos de terceiros se integrem e interajam com ele. Isso é conseguido com diversas APIs (Application Programming Interface) disponíveis para os programadores. O problema é que essas APIs podem ser exploradas por um ataque DDoS para enviar uma enxurrada de solicitações. Portanto, a primeira coisa a fazer: desativar uma API explorável chamada XML-RPC.
Você precisa do XML-RPC apenas se o seu site WordPress interagir com aplicativos externos de terceiros, como o aplicativo WordPress em dispositivos móveis. Se você pode ficar sem eles, é melhor desabilitar o XML-RPC. Isso pode ser feito simplesmente editando o arquivo do seu site .htaccess arquivo para negar o acesso ao programa xmlrpc.php. Ou, se você não acha seguro alterar os arquivos internos do seu site sozinho, pode obter um plug-in que faz o trabalho para você.
Plug-ins anti-DDoS
Existem alguns plugins de segurança do WordPress que corrigem outras vulnerabilidades do WordPress.
Proteção Contra DDoS – este plug-in aborda problemas de desempenho causados por força bruta e ataques DDoS. Ao fazer todas as verificações por meio do arquivo .htaccess, ele interrompe as solicitações maliciosas no nível do servidor da Web, antes que elas cheguem ao site WordPress.
Ele também corrige a vulnerabilidade XML-RPC e suas opções de configuração oferecem aos usuários da Cloudflare a capacidade de negar acesso a visitantes de países específicos.
Desativar WP REST API – a API REST do WordPress é outra vulnerabilidade explorável do popular CMS. Felizmente, esta vulnerabilidade pode ser facilmente corrigida com este plug-in superleve. Ele usa apenas 22 linhas de código – menos de 2KB – e funciona desabilitando a API WP REST para visitantes não logados no WordPress. Depois de instalá-lo e ativá-lo, se visitantes desconectados fizerem solicitações JSON/REST ao seu site, eles receberão uma mensagem informando que a API REST está restrita a usuários autenticados.
Desativar XML-RPC Pingback – com mais de 80.000 instalações e classificação de 4,5 estrelas; este plug-in elimina todos os métodos exploráveis da interface XML-RPC. Além disso, ele remove o X-Pingback dos cabeçalhos HTTP, o que impede que os bots acessem o arquivo xmlrpc.php.
Suítes de segurança
Se você deseja esquecer completamente o DDoS e outras preocupações de segurança para colocar todos os seus esforços em seus negócios, deseja uma solução que cubra todas as bases.
Tal solução deve incluir:
- Um firewall de aplicativo da web. O firewall fica entre seu site e a internet, detectando o tráfego hostil e bloqueando-o.
- Um pacote de antivírus para sites. Ele deve verificar periodicamente e automaticamente seu site para detectar qualquer vestígio de malware e removê-lo.
- Varredura do servidor em busca de hacks não infecciosos, como banners de anúncios de sites desconhecidos.
- Auditoria/monitoramento do site para detectar qualquer atividade suspeita, como alterações de arquivo, novas postagens, novos usuários, tentativas de login com falha e muito mais.
Vamos explorar as seguintes soluções que oferecem segurança abrangente do site WordPress.
sucuri
sucuri é uma renomada empresa de segurança na web com muita experiência em sites WordPress.
No momento em que você habilitar sucuri no seu site, eles instalam um firewall proxy em nuvem entre seu site e a internet, filtrando todo o tráfego direcionado ao seu servidor de hospedagem. O firewall permite que apenas visitantes legítimos acessem seu site WordPress. Como efeito colateral, seu site terá uma resposta mais rápida, graças à nuvem Sucuri, e você poderá economizar dinheiro com hospedagem, reduzindo o volume de tráfego que seu servidor precisa lidar.
A solução completa da Sucuri adiciona à mistura um pacote antivírus que escaneia e monitora seu site regularmente para mantê-lo livre de todos os tipos de malware: snippets maliciosos de JavaScript, redirecionamentos suspeitos, injeções de código, etc.
Ele também verifica se seu site não recebe na lista negra por serviços de avaliação de reputação. Ao navegar no log de auditoria do site, você será informado sobre tudo o que acontece no seu site WordPress, incluindo novos usuários, tentativas de login com falha, alterações de arquivo e muito mais.
Os planos de preços da Sucuri começam em torno de 199 por ano para um serviço básico – o que não é tão básico, pois falta apenas alguns itens voltados para empresas. Os recursos incluídos mais do que justificam o preço, mas se isso não for suficiente para convencê-lo, considere que eles também oferecem um serviço de limpeza de malware, juntamente com a remoção da lista negra.
Se você tem seu site protegido, é improvável que precise desse serviço, mas considere que um especialista em segurança pode facilmente cobrar 250 por hora para remover uma infecção por malware do seu site.
Segurança Astra
Astra Security é uma das principais soluções de segurança do WordPress. O firewall de ponto final inteligente do Astra é instalado perfeitamente em seu site e fornece proteção em tempo real contra ataques DDoS da camada 7 e mais de 100 tipos de outros ataques. Este firewall equipado com inteligência de aprendizado de máquina identifica ataques conhecidos, comportamento de bot e solicitações maliciosas e evolui com cada novo tipo de ataque. Ativo 24 horas por dia, 7 dias por semana, o firewall Astra protege seu site sem falhas.
Além disso, o firewall Astra funciona perfeitamente bem em seu próprio servidor sem exigir qualquer tipo de alteração de DNS.
Mas isso não é tudo. O pacote Astra Security tem muito mais a oferecer. Cada pacote de segurança vem com WAF, Malware Scanner, bloqueador de país e IP e vários outros recursos úteis.
Começar com o Astra Security é fácil e todo o processo leva menos de 15 minutos. É assim que funciona:
- Instale o plug-in Astra Security do repositório WordPress
- Crie a sua conta aqui, escolha um plano e inscreva-se
- Por fim, clique em ‘Conectar ao Astra’ no back-end do WP
Isso conectaria seu back-end do WP ao painel do Astra, que ficaria mais ou menos assim:
Cloudflare
Cloudflare usa sua enorme CDN (rede de distribuição de conteúdo) para proteger seu site WordPress de ataques DDoS, o que torna seu site mais rápido, além de protegê-lo. Com mais de 200 data centers distribuídos em todo o mundo, o CDN é grande o suficiente para absorver e desviar até mesmo dos ataques mais potentes, então você não precisa se preocupar com a sobrecarga de sua capacidade de mitigação.
Uma abordagem de mitigação proativa permite que a Cloudflare antecipe ataques aproveitando a inteligência compartilhada, com curadoria da análise comportamental de assinaturas e IPs em mais de 20 milhões de sites. A proteção detecta e bloqueia os ataques das camadas 3, 4 e 7 na borda, impedindo-os de atingir seu site.
Além disso, todas as portas TCP em sua infraestrutura são protegidas, empregando o Spectrum para fazer proxy do tráfego por meio do data center da Cloudflare.
O serviço é gratuito para sites individuais e pequenos (não críticos para os negócios). O plano gratuito inclui mitigação de ataque DDoS, CDN global e suporte por e-mail. Os planos pagos começam em $ 20 por mês, adicionando um firewall de aplicativo da web, análise de cache, otimização móvel, entre outros benefícios.
Para sites críticos para os negócios, o plano empresarial adiciona suporte por chat/telefone 24 horas por dia, 7 dias por semana, 365 dias por ano, SLA 100% ativo, suporte ao engenheiro de soluções, entre outros benefícios.
StackPath
Uma rede global com 65 Tbps de capacidade total permite do StackPath solução para mitigar os maiores e mais sofisticados ataques DDoS, abordando toda a gama de métodos de ataque, incluindo inundações HTTP, SYN e UDP. A plataforma do StackPath coleta e analisa informações sobre ataques DDoS junto com seus pontos de presença, permitindo bloquear todas as tentativas maliciosas, independentemente de sua origem.
Para proteger seu site WordPress na camada de rede, a rede global StackPath emprega equipamentos de rede que protegem contra ataques DDoS das camadas 3 e 4 no dispositivo. Enquanto isso, um inteligente firewall de aplicação web mitiga ataques DDoS sofisticados da camada 7 em menos de um segundo, usando técnicas exclusivas de validação de JavaScript que detectam e bloqueiam bots automatizados e fornecem ferramentas avançadas para configurar limites de DDoS para atender às suas necessidades específicas.
A proteção DDoS do StackPath faz parte de um conjunto de serviços de borda que começa em $ 20 por mês e inclui CDN, WAF (firewall de aplicativo da web), DNS e serviços de monitoramento. Esses quatro serviços podem ser contratados individualmente, custando $ 10 por mês cada. Escala de preços de acordo com o volume; por exemplo, se você precisar de um CDN de 100 TB/mês e um WAF de solicitações de 50 milhões/mês, terá que pagar 2.000 por mês.
Sem desculpa!
Se o seu site vai para baixo , ou entra na lista negra, ou perde reputação, não dê uma desculpa. Você tem todos os recursos ao seu alcance para evitar que um desastre estrague seu amado site WordPress. Se você ainda não o fez, tome uma atitude e faça alguma coisa antes que seja tarde demais.
