WPBeginner - Tutoriales de WordPress para principiantes

Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Copa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Cómo detener y prevenir un ataque DDoS en WordPress

By Editorial Staff | Reviewed by Syed Balkhi | | Reader Disclosure

Compartir WhatsApp

WordPress es uno de los creadores de sitios web más populares del mundo porque ofrece potentes funciones y una base de código segura. Sin embargo, esta popularidad lo convierte en objetivo de ataques DDoS.

Los piratas informáticos utilizan los ataques DDoS para ralentizar los sitios web y hacerlos inaccesibles a los usuarios. Estos ataques pueden dirigirse tanto a sitios web pequeños como grandes. Las consecuencias de un ataque DDoS pueden ser graves: pérdida de ingresos, reputación dañada y visitantes frustrados.

WPBeginner ha sido el objetivo de muchos de estos ataques, y hemos aprendido a tomar medidas para minimizar el riesgo y mantener nuestro sitio web seguro. Puede que te estés preguntando cómo un sitio web de una pequeña empresa que utiliza WordPress puede evitar este tipo de ataques DDoS con recursos limitados.

Esta guía le mostrará cómo prevenir y detener ataques DDoS en WordPress, permitiéndole gestionar con confianza la seguridad de su sitio web contra ataques como un profesional.

Stopping and preventing a DDOS attack on a WordPress site

¿Qué es un ataque DDoS?

DDoS (Distributed Denial of Service) es un tipo de ciberataque que utiliza ordenadores y dispositivos comprometidos para enviar o solicitar datos a un servidor de alojamiento WordPress. El objetivo de estas peticiones es ralentizar y, eventualmente, colapsar el servidor objetivo.

Los ataques DDoS evolucionaron a partir de los ataques DoS (Denegación de Servicio). A diferencia de un ataque DoS, se aprovechan de muchas máquinas o servidores comprometidos repartidos por diferentes regiones.

Estas máquinas comprometidas forman una red, que a veces se denomina botnet. Cada máquina afectada actúa como un bot y lanza ataques contra el sistema o servidor objetivo. Esto les permite pasar desapercibidos durante un tiempo y causar el máximo daño antes de ser bloqueados.

DDoS attack diagram

Incluso las mayores empresas de Internet son vulnerables a los ataques DDoS.

En 2018, GitHub, una popular plataforma de alojamiento de código, fue testigo de un ataque DDoS masivo que envió 1,3 terabytes por segundo de tráfico a sus servidores.

Puede que también recuerdes el famoso ataque de 2016 a DYN (un proveedor de servicios DNS). Este ataque fue noticia en todo el mundo, ya que afectó a muchos sitios web populares como Amazon, Netflix, PayPal, Visa, Airbnb, The New York Times, Reddit y miles de sitios web más.

Preguntas frecuentes sobre DDoS

He aquí algunas respuestas a preguntas frecuentes acerca de los ataques DDoS.

¿Por qué se producen los ataques DDoS?

Hay varias motivaciones detrás de los ataques DDoS. He aquí algunas de las más comunes:

  • Las personas con conocimientos técnicos que simplemente se aburren lo encuentran aventurero
  • Personas y grupos que defienden un punto de vista político
  • Grupos dirigidos a sitios web y servicios de un determinado país o región
  • Ataques dirigidos contra una empresa o un proveedor de servicios específicos para causar un perjuicio económico.
  • Chantaje para cobrar el dinero del rescate

¿Cuál es la diferencia entre un ataque de fuerza bruta y un ataque DDoS?

Brute force attack

Los ataques de fuerza bruta intentan obtener acceso no autorizado a un sistema adivinando contraseñas o probando combinaciones aleatorias.

Los ataques DDoS se utilizan exclusivamente para colapsar el sistema objetivo, haciéndolo lento o inaccesible.

Para más detalles, consulte nuestra guía sobre cómo bloquear los ataques de fuerza bruta en WordPress.

¿Qué daños puede causar un ataque DDoS?

Los ataques DDoS pueden reducir el rendimiento de un sitio web o hacerlo inaccesible. Esto se traduce en una mala experiencia para el usuario, pérdida de negocio y los costes de mitigar el ataque, que pueden ser de miles de dólares.

He aquí un desglose de estos costes:

  • Pérdida de negocio debido a la inaccesibilidad del sitio web
  • Coste del soporte al cliente para responder a las consultas relacionadas con la interrupción del servicio.
  • Coste de mitigar el ataque contratando servicios o soporte de seguridad
  • El mayor coste es la mala experiencia del usuario y la reputación de la marca

¿Cómo puedo detener y prevenir los ataques DDoS en WordPress?

Los ataques DDoS pueden estar hábilmente camuflados y ser difíciles de afrontar. Sin embargo, con algunas buenas prácticas básicas de seguridad, puedes prevenir y evitar fácilmente que los ataques DDoS afecten a tu sitio web WordPress.

Estos son los pasos que debe seguir para prevenir y detener los ataques DDoS en su sitio:

  1. Remove DDoS / Brute Force Attack Verticals
  2. Activate a WAF (Website Application Firewall)
  3. Identify Whether It Is a Brute Force or DDoS Attack
  4. What to Do During a DDoS Attack
  5. How to Keep Your WordPress Website Secure

Eliminar DDoS / Ataques de Fuerza Bruta Verticales

Lo mejor de WordPress es que es muy flexible. WordPress permite que plugins y herramientas de terceros se integren en tu sitio web y añadan nuevas características.

Para ello, WordPress pone a disposición de los programadores varias API. Estas API son métodos mediante los cuales los plugins y servicios de WordPress de terceros pueden interactuar con WordPress.

Sin embargo, algunas de estas APIs también pueden ser explotadas durante un ataque DDoS enviando una tonelada de peticiones. Puedes desactivarlas de forma segura para reducir esas peticiones.

Desactivar XML-RPC en WordPress

XML-RPC permite a las aplicaciones de terceros interactuar con su sitio web WordPress. Por ejemplo, necesitas XML-RPC para utilizar la aplicación de WordPress en tu dispositivo móvil.

Si usted es como la gran mayoría de los usuarios que no utilizan la aplicación móvil para ejecutar su sitio web, entonces puede desactivar XML-RPC simplemente añadiendo el siguiente código al archivo .htaccess de su sitio:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Hosted with ❤️ by WPCode
1-click Use in WordPress

Para métodos alternativos, consulte nuestra guía sobre cómo desactivar fácilmente XML-RPC en WordPress.

Desactivar REST API en WordPress

La API REST JSON de WordPress permite a plugins y herramientas acceder a los datos de WordPress, actualizar contenidos y/o incluso borrarlos. A continuación se explica cómo desactivar la API REST en WordPress.

Recomendamos utilizar el plugin WPCode. Este es el mejor plugin de fragmentos de código que le permitirá desactivar la API REST en tan sólo unos clics.

Para más información, consulte nuestra guía sobre cómo desactivar la API REST JSON en WordPress.

Alternativamente, puedes usar el plugin Disable WP Rest API. El plugin funciona de inmediato y desactivará la API REST para todos los usuarios no conectados.

Activar un WAF (cortafuegos de aplicaciones web)

Website Application Firewall (WAF)

Desactivar vectores de ataque como REST API y XML-RPC proporciona una protección limitada contra ataques DDoS. Su sitio web sigue siendo vulnerable a las peticiones HTTP normales.

Si bien se puede mitigar un pequeño ataque DDoS tratando de atrapar las IPs de las máquinas malas y bloqueándolas manualmente, este enfoque es menos eficaz cuando se trata de un ataque grande.

La forma más sencilla de bloquear solicitudes sospechosas es activando un cortafuegos de aplicaciones de sitios web.

Un cortafuegos de aplicaciones de sitios web actúa como un proxy entre su sitio web y todo el tráfico entrante. Utiliza un algoritmo inteligente para detectar todas las solicitudes sospechosas y bloquearlas antes de que lleguen al servidor de su sitio web.

Website application firewall

Recomendamos usar Sucuri porque es el mejor plugin de seguridad para WordPress y cortafuegos para sitios web. Funciona a nivel de DNS, lo que significa que puede atrapar un ataque DDoS antes de que pueda hacer una solicitud a su sitio web.

Los precios de Sucuri empiezan a partir de 199,99 dólares al año.

Utilizamos Sucuri en WPBeginner. Vea nuestro estudio de caso sobre cómo ayudan a bloquear cientos de miles de ataques a nuestro sitio web.

Como alternativa, puede utilizar Cloudflare. Sin embargo, el servicio gratuito de Cloudflare solo ofrece una protección DDoS limitada. Tendrás que acceder al menos a su plan empresarial para obtener protección DDoS de capa 7, que cuesta unos 200 dólares al mes.

Consulte nuestro artículo sobre Sucuri vs. Cloudflare para una comparación detallada.

Nota: Los cortafuegos de aplicaciones de sitios web (WAF) que funcionan a nivel de aplicación son menos eficaces durante un ataque DDoS. Bloquean el tráfico una vez que ya ha llegado a su servidor web, por lo que sigue afectando al rendimiento general de su sitio web.

Identifique si se trata de un ataque de fuerza bruta o DDoS

Tanto los ataques de fuerza bruta como los DDoS hacen un uso intensivo de los recursos del servidor, por lo que sus síntomas son bastante similares. Su sitio web se ralentizará y puede bloquearse.

Puedes averiguar fácilmente si se trata de un ataque de fuerza bruta o un ataque DDoS mirando los informes de acceso del plugin Sucuri.

Simplemente instale y active el plugin gratuito de Sucuri y luego vaya a la página Sucuri Security ” Last Logins.

Failed logins

Si usted está viendo un gran número de solicitudes de acceso / acceso al azar, entonces esto significa que su wp-admin está bajo un ataque de fuerza bruta. Para detenerlo, puedes consultar nuestra guía sobre cómo bloquear ataques de fuerza bruta en WordPress.

Qué hacer durante un ataque DDoS

Los ataques DDoS pueden producirse incluso si dispone de un cortafuegos de aplicaciones web y otras protecciones. Empresas como CloudFlare y Sucuri lidian con estos ataques de forma regular, y la mayoría de las veces, nunca oirás hablar de ellos ya que pueden mitigarlos fácilmente.

Sin embargo, en algunos casos, cuando estos ataques son grandes, aún pueden afectarle. En ese caso, lo mejor es estar preparado para mitigar los problemas que puedan surgir durante y después del ataque DDoS.

A continuación se indican algunas cosas que puede hacer para minimizar el impacto de un ataque DDoS.

1. Alerte a los miembros de su equipo

Si trabajas en equipo, debes informar a tus compañeros acerca de la incidencia.

Esto les ayudará a prepararse para las consultas de soporte al cliente, estar atentos a posibles problemas y ayudar durante o después del ataque.

2. Informar a los clientes acerca de los inconvenientes

Un ataque DDoS puede afectar a la experiencia del usuario en su sitio web. Si tiene una tienda WooCommerce, es posible que sus clientes no puedan realizar pedidos o acceder a sus cuentas.

Puede anunciar a través de sus cuentas en los medios sociales que su sitio web tiene dificultades técnicas y que todo volverá a la normalidad en breve.

Si el ataque es grande, también puede utilizar su servicio de marketing por correo electrónico para comunicarse con los clientes y pedirles que sigan las actualizaciones de sus medios sociales.

Si tiene clientes VIP, quizá le interese utilizar el servicio telefónico de su empresa para realizar llamadas individuales y comunicarles cómo está trabajando para restablecer los servicios.

La comunicación en estos tiempos difíciles marca una gran diferencia a la hora de mantener fuerte la reputación de su marca.

3. Póngase en contacto con el soporte de alojamiento y seguridad

Póngase en contacto con su proveedor de alojamiento de WordPress. El ataque a su sitio puede formar parte de un ataque mayor dirigido a sus sistemas. En ese caso, podrán proporcionarle las últimas actualizaciones acerca de la situación.

Póngase en contacto con su servicio de cortafuegos e infórmeles de que su sitio web está sufriendo un ataque DDoS. Es posible que puedan mitigar la situación aún más rápido y proporcionarle más información.

Con proveedores de cortafuegos como Sucuri, también puedes establecer tus ajustes para que estén en ‘Modo Paranoico’, lo que ayuda a bloquear muchas peticiones y hacer que tu sitio web sea accesible para usuarios normales.

Cómo mantener seguro su sitio web en WordPress

WordPress es bastante seguro desde el primer momento. Sin embargo, al ser el maquetador de sitios web más popular del mundo, suele ser el objetivo de los piratas informáticos.

Por suerte, hay muchas buenas prácticas de seguridad que puede aplicar a su sitio web para hacerlo aún más seguro.

Hemos recopilado una completa guía de seguridad de WordPress paso a paso para principiantes. Le guiará a través de los mejores ajustes de seguridad de WordPress para proteger su sitio web y sus datos contra las amenazas más comunes.

Puede que también quiera ver otros artículos relacionados con la mejora de la seguridad de WordPress:

Esperamos que este artículo te haya ayudado a aprender cómo bloquear y prevenir un ataque DDoS en WordPress. Puede que también quieras ver nuestra guía sobre cómo prevenir ataques de inyección SQL en WordPress y nuestra lista esencial de tareas cruciales de mantenimiento de WordPress que debes realizar regularmente.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Popular en WPBeginner ¡Ahora mismo!

Descargo: Nuestro contenido está apoyado por los lectores. Esto significa que si hace clic en algunos de nuestros enlaces, podemos ganar una comisión. Vea cómo se financia WPBeginner , por qué es importante, y cómo puede apoyarnos. Aquí está nuestro proceso editorial .

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

El último kit de herramientas de WordPress

Obtenga acceso GRATUITO a nuestro kit de herramientas - una colección de productos y recursos relacionados con WordPress que todo profesional debería tener!

Descargar ahora

Reader Interactions

4 comentariosDeja una respuesta

  1. Jiří Vaněk

    Currently, I dare to say that an excellent and free protection against DDoS attacks is Cloudflare. The DNS A record is hidden behind a proxy DNS, so the attack is mostly directed not at the target server but at the Cloudflare server. Cloudflare then effectively filters out the DDoS attack. For me, currently one of the best solutions available.

    Responder

  2. Prabuddh

    Disable XML RPC in WordPress Code is wrong,
    The code ends with but you ended with which gives an error, Please solve this.

    Thanks

    Responder

    • WPBeginner Support

      We di bit see your recommendations in your comment but we did find a typo and it should be fixed :)

      Responder

      Administrador

  3. Mohamad EL-Wakeel

    great articles, but would you make one as comparison between
    DDoS Attack & Brute Force Attack, and how to detect both.

    Thanks.

    Responder

Deja tu comentario

Gracias por elegir dejar un comentario. Tenga en cuenta que todos los comentarios son moderados de acuerdo con nuestros política de comentarios, y su dirección de correo electrónico NO será publicada. Por favor, NO utilice palabras clave en el campo de nombre. Tengamos una conversación personal y significativa.

Copyright © 2009 - 2024 WPBeginner LLC. Todos los derechos reservados. WPBeginner® es una marca registrada.

Gestionado por Awesome Motive | Alojamiento de WordPress por SiteGround

The WordPress® trademark is the intellectual property of the WordPress Foundation. Uses of the WordPress®, names in this website are for identification purposes only and do not imply an endorsement by WordPress Foundation. WPBeginner is not endorsed or owned by, or affiliated with, the WordPress Foundation.

Necesito ayuda con…

Búsquedas populares:

Iniciar un blog WordPress SEO Rendimiento de WordPress Errores de de WordPress Seguridad WordPress Creación de una tienda online