Detener y prevenir ataques DDoS en WordPress

By BylineHenry GR on

Reading time aprox: 5 minutes, 46 seconds

Detener y prevenir ataques DDoS en WordPress

WordPress es el CMS quizá más popular y usado del mundo y, no sólo se usa para crear bitácoras, también para todo tipo de páginas web.

Al ser uno de los más populares, es también uno de los más atacados. Como sabes, WordPress está alojado en un servidor y por tanto, es un candidato para sufrir ataques por parte de «los malos», también al servidor.

Los ataques DDoS pueden ralentizar los servidores y, eventualmente, hacerlos inaccesibles por los usuarios o visitantes.

Los ataques pueden, y ciertamente se producen, en servidores de cualquier tamaño.

Si usas un servidor con Linux, te interesa leer los artículos que sobre este tema están publicados en nuestra «web madre» https://sololinux.es, por ejemplo: https://www.sololinux.es/diferentes-tipos-de-ataques-ddos/, en el que se explican los diferentes tipos de ataques DDoS.

Puede que te preguntes ¿cómo puede un negocio pequeño que usa WordPress prevenir un ataque DDoS con pocos recursos?

Eso es exactamente lo que te voy a contar, para que no dependas únicamente de las medidas de seguridad de tu servidor.

¿Qué es un ataque DDos?

DDoS son las siglas del tipo de ataque Distributed Denial of Service, o sea, [ataque] Distribuido de Denegación de Servicio. Es un tipo de ciber ataque que hace uso de ordenadores y dispositivos comprometidos, para enviar o solicitar datos a un servidor (con WordPress, en nuestro caso).

El propósito de los requerimientos es frenar y hasta detener el servidor escogido como objetivo.

Este tipo de ataque se considera una evolución de los ataques DoS Denial of Service, siendo la diferencia el factor de multiplicidad, usando muchos ordenadores (en puntos distintos del planeta) atacando simultáneamente un mismo objetivo.

En ocasiones, estos dispositivos comprometidos se consideran una misma «red» que se denomina botnet, ya que cada máquina afectada actúa como un robot y dirige su ataque al sistema objetivo.

El factor distribución permite, en cierta medida, pasar desapercibido por un tiempo y así causar el mayor daño posible antes de ser detectado.

Incluso las grandes empresas y corporaciones internacionales, son susceptibles de sufrir un ataque DDoS.

Este tipo de ataques no son, necesariamente, para robar información de un servidor.

En 2018, la compañía GitHub, una popular plataforma de compartición de documentación, sufrió un ataque DDoS en el que le enviaron 1,3 terabytes por segundo al servidor.

Muchos otros grandes de Internet han sufrido ataques DDoS, por ejemplo: Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit, o DYN.

¿Por qué ocurren los ataques DDoS?

Existen varios motivos, las motivaciones más comunes son:

  • Gentes con conocimientos técnicos que se aburre y quiere una aventura.
  • Personas o grupos que quieren reivindicar su punto (generalmente político).
  • Grupos cuyo objetivo es una región o país y sus servicios .
  • Grupos o personas cuyo objetivo es una empresa específica, para causarle un perjuicio económico.
  • Por extorsión o secuestro (se conoce como «blackmail» o «ransomware»

¿Es lo mismo un ataque por fuerza bruta que un DDoS?

Por lo general, los ataques por fuerza bruta, están dirigidos a entrar en un servidor usando la cuenta de un usuario, adivinando la contraseña o probando con contraseñas al azar, hasta conseguir acceso.

Los ataques DDoS, son ataques cuyo objetivo no es acceder al servidor, sino ralentizarlo o hacer que nadie pueda acceder.

¿Qué daños puede causar un ataque DDoS?

Quizá uno de los ataques más peligrosos para un negocio. El ataque DDoS ralentiza o incluso detiene el servidor objetivo, eso se traduce en que tus clientes o potenciales clientes, no puede acceder a tu web, lo que les disuade de hacer negocio contigo.

No sólo pierdes un cliente, quizá muchos negocios con ese o muchos más clientes y el coste de recuperación puede ser muy alto.

Se me ocurren muchos puntos de difícil cálculo de su costo:

  • La pérdida de uno o más negocios.
  • El tiempo y esfuerzo invertido en atención al cliente para explicar porqué la interrupción del servicio.
  • El coste que puede suponer contratar expertos en seguridad que «arreglen» el problema.
  • Pero el mayor de todos, será la mala experiencia sufrida por los usuarios actuales.

Y ahora, vamos al grano.

¿Cómo detener y prevenir un ataque DDoS en WordPress?

Los ataques DDoS pueden ser muy difíciles de detectar, si están «inteligentemente» disfrazados. Sin embargo, hay algunas prácticas de seguridad básicas que pueden ayudar en su prevención y detención.

Elimina los vectores verticales de ataque

Suena extraño, ¿verdad? No es para asustarse.

La gran ventaja de WordPress es que es muy flexible. Esa flexibilidad nos permite integrar herramientas y plugins para otorgarle mayor robustez.

WordPress tiene varias API disponibles para los programadores, con las que los nuevos plugins y servicios se pueden integrar.

Dentro de las medidas que podemos tomar para mitigar los efectos de los ataques hasta incluso prevenirlos están:

Deshabilitar el servicio XML RPC en WordPress

XML-RPC permite que apps de terceros se comuniquen con WordPress. Por ejemplo, necesitarás XML-RPC para usar la app de WordPress en tu teléfono (celular).

Si eres como la gran mayoría, que no usa esa aplicación en el teléfono móvil, puedes deshabilitar el uso de RPC desde el servidor.

Para eso, debes editar el archivo ‘.htaccess’ de tu servidor e incluir el siguiente código:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Adicionalmente, te sugiero que deshabilites XML-RPC dentro de WordPress. Para eso, tienes que añadir una línea de código en tu plugin personal. Si no recuerdas cómo hacer tu plugin, visita: Mi Primer Plugin en WordPress. El código sencillo es:

add_filter('xmlrpc_enabled', '__return_false');

Deshabilita la REST API de WordPress

La aplicación de WordPress JSON REST API permite a los plugin el acceso a los datos de WordPress, actualizar contenido, e incluso borrarlo. Para deshabilitar este servicio, lo más sencillo es instalar y activar un plugin llamado Disable WP Rest API.

Este plugin deshabilita la API para todos los usuarios, desde el momento que lo actives.

Instala un Firewall

Independientemente de si tu servidor tiene instalado un firewall (que debería) puedes instalar lo que se conoce como firewall de aplicación (WAFWebsite Application Firewall). En este caso, un plugin de Firewall para WordPress.

La razón para esto, es que un firewall en el servidor seguramente es «genérico», mientras que los plugin están diseñados específicamente para ser usados con WordPress.

Aunque hayas bloqueado los ataques por XML-RPC y REST API, hay otros peligros que un firewall te ayudará a combatir de forma más cómoda.

Cosas tan tontas como activar el bloqueo de una IP en particular o una serie de IPs, son mucho más fáciles si las haces con un plugin, en lugar de a mano, una a una.

Instalar un WAF, te protegerá en gran medida, pero ten en cuenta que cuando el Firewall empiece a actuar, el ataque DDoS ya habrá llegado a tu servidor, por lo que puede ser un poco tarde.

Un servicio externo que quizá es recomendable instalar (aunque tiene un coste) es el de Sucuri, que actúa a escala de DNS, por lo que puede detectar y bloquear un ataque DDoS incluso antes de que llegue efectivamente a tu servidor.

¿Cómo diferenciar un DDoS de un ataque de Fuerza Bruta?

Por desgracia, a simple vista, ambos ataques hacen uso intensivo de los recursos del servidor, por lo que los síntomas pueden ser muy parecidos.

Si has instalado Sucuri u otro plugin de seguridad, podrás ver en los informes que ofrece el plugin sobre el acceso, la cantidad de intentos, lo que es un indicativo de un ataque por Fuerza Bruta.

¿Qué hacer si te encuentras en un ataque DDoS?

Los ataques DDoS pueden aparecer incluso si estás protegido con un firewall y las demás protecciones que he mencionado. Las compañías como Sucuri o ClouFlare, están continuamente monitorizando y comparando con sus bases de datos y sus recursos.

Por esa razón, si tienes un plan contratado con alguno de ellos, es probable que ni siquiera te percates de que «los malos» han lanzado un ataque contra tu sitio, ya que ellos mitigan rápidamente sus efectos.

Sin embargo, en algunos casos en que los ataques son de gran envergadura, es posible que el impacto si llegues a sentirlo. En ese caso, mejor si te «pilla preparado».

Algunos consejos para minimizar el impacto de un DDoS:

Alerta a los miembros de tu equipo

Si tienes un equipo de colaboradores (autores, editores, administradores, etcétera) informales rápidamente del incidente. Así tendrán la oportunidad de prepararse para las quejas de tus clientes y ayudar en lo posible.

Avisa a tus clientes sobre el incidente

Un ataque DDoS impactará seriamente la experiencia de tus visitantes. Si tienes una tienda (por ejemplo con WooCommerce) tus clientes no podrán hacer pedidos ni compras y, posiblemente, ni siquiera acceder a sus cuentas.

Utiliza tus redes sociales para comunicar el incidente a tus seguidores y que sepan que volverás a estar en servicio en breve. No es una vergüenza sufrir un ataque informático.

Si la duración del incidente es larga, puedes usar el correo electrónico para comunicar a tus clientes y que estén pendientes de las redes sociales donde avisarás del restablecimiento del servicio.

Si algunos de tus clientes son VIP, usa el teléfono y comunicales personalmente el incidente y que sepan que ya estás trabajando en la solución.

Mantener una comunicación activa, mantendrá fuerte tu reputación al dar seriedad a tu marca.

Contacta con los servicios de seguridad y alojamiento.

Contacta rápidamente con tu servicio de alojamiento. El ataque que estás sufriendo puede ser parte de un ataque de mayores dimensiones, atacando a todos los servicios de tu proveedor. En ese caso, te darán información del estado de la situación.

Si has contratado los servicios de un Firewall externo, contacta con ellos para que sepan que estás sufriendo un ataque; ellos podrán guiarte y ayudarte, incluso quizá mitigar completa o parcialmente el impacto del ataque.

Mantener tu WordPress seguro

WordPress es suficientemente seguro, nada más instalarlo, sin embargo, es recomendable asegurar todo lo posible, recuerda que al ser su uso tan popular, también es popular para «los malos».

Afortunadamente, hay acciones que puedes realizar para mantenerte aún más seguro y, aunque nunca se está preparado para todas las contingencias, muchas si son «controlables».

Recuerda, mantente actualizado, realiza copias de seguridad regularmente y recuerda, el eslabón más débil es usualmente el factor humano.

¡Gracias por leernos!


¡Tus comentarios y preguntas nos ayudan a mejorar, por favor comenta!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

3 × 4 =

Para ofrecer las mejores experiencias, utilizamos tecnologías como las cookies para almacenar y/o acceder a la información del dispositivo. El consentimiento de estas tecnologías nos permitirá procesar datos como el comportamiento de navegación o las identificaciones únicas en este sitio. No consentir o retirar el consentimiento, puede afectar negativamente a ciertas características y funciones.    Más información
Privacidad