En nuestro último estudio de caso, le mostramos cómo limpiamos un ataque SEO negativo en Kinsta. Hoy vamos a mostrarle algunos pasos de solución de problemas que tomamos para detener un ataque DDoS en un pequeño sitio de e-Commerce de WordPress. Los ataques DDoS pueden venir de la nada y los sitios más pequeños suelen ser aún más vulnerables, ya que no están preparados para lidiar con ello cuando sucede.

Déjenos hacerle esta pregunta. Si su sitio fuese atacado el día de mañana, ¿qué haría? Si no tiene ideas, entonces quizás usted debe marcar y leer este artículo.

¿Qué es un ataque DDoS?

DDoS es una abreviatura para ataques de denegación de servicio. El principal objetivo de un ataque DDoS es simplemente abrumar a su servidor web y paralizarlo o llevarlo hacia abajo. Una de las cosas frustrantes con estos tipos de ataque es generalmente que el atacante no gana nada y normalmente nada es hackeado (leer: WordPress Hacked: Qué Hacer Cuando Su Sitio Está en Problemas). El gran problema de los ataques DDoS es la abrumadora carga asociada con ellos.

Lo más probable es que usted también verá su ancho de banda llegar a pico a una cantidad increíble, y esto le puede costar cientos o incluso miles de dólares. Si usted está en un alojamiento más barato o compartido, esto puede desembocar fácilmente en la suspensión de su cuenta.

El 21 de octubre de 2016, el mayor ataque DDoS (DNS) relacionados en la historia ocurrió, llevando a abajo a grandes empresas como PayPal, Spotify, Twitter, Reddit, y eBay. Algunas incluso lo llamaron el Día del Juicio Final del internet. A medida que la web sigue creciendo, no es de sorprender que los ataques DDoS están aumentando a un ritmo alarmante. De hecho, según datos proporcionados de easyDNS, los ataques DDoS a lo largo del tiempo llegan a ser mucho peores. Para un montón de sitios, podría ser sólo una cuestión de tiempo hasta que llegue su turno.

Los ataques DDoS a lo largo del tiempo
Los ataques DDoS a lo largo del tiempo

Aquí, en Kinsta, solemos ser capaces de rechazar más ataques que los hosts más baratos, simplemente por las precauciones de seguridad adicionales que tenemos, como nuestra implementación del cortafuegos de nivel empresarial de Google Cloud Platform. Pero también recomendamos la utilización de empresas por ahí que tienen grandes infraestructuras y software desarrollado específicamente para impedir los ataques DDoS.

Siempre seremos partidarios de dejar que los expertos hagan lo que saben hacer. Cloudflare y Sucuri son dos que recomendamos para los usuarios de WordPress o cualquier tipo de plataforma. Invertir en protección DDoS decente puede ahorrarle tiempo, dinero y frustración en el camino. Si tu sitio está alojado en Kinsta, no necesitarás pasar por el proceso de configuración de Cloudflare o Sucuri. Todos los sitios alojados en Kinsta están automáticamente protegidos por nuestra integración con Cloudflare, que incluye un firewall seguro con protección DDoS gratuita.

Detener un Ataque DDoS en un Pequeño Sitio EDD

En este estudio de caso, teníamos un pequeño sitio de e-Commerce de WordPress que estaba ejecutando Easy Digital Downloads. El sitio normalmente sólo generaba entre 30-40 MB un día en ancho de banda y un par de cientos de visitantes por día. En junio, se comenzó a utilizar un montón de ancho de banda de la nada, sin que Google Analytics, haya mostrado tráfico adicional. ¡El sitio al instante fue a entre 15-19 GB de transferencia de datos por día! Eso es un aumento de 4650%. No es bueno. Y no cabe duda de que no es sólo un pequeño aumento en el tráfico de bot. Afortunadamente, el dueño fue capaz de detectar rápidamente esto en la analítica de Kinsta.

Alto uso de ancho de banda en el sitio WordPress
Alto uso de ancho de banda en el sitio WordPress

Después de ver el aumento, fue una cuestión de control de los registros del servidor para investigar lo que estaba sucediendo. Estos tipos de cosas pueden quedar fuera de control. Los últimos 7 días mostraron que la página de cuenta del sitio había sido solicitada 5,110,00 veces y produjo un total de 66 GB de tráfico. Es decir, desde un sitio que genera normalmente un poco más de 1 GB de datos en total en un mes entero. Así que nosotros sabíamos que algo estaba pasando al instante.

Analizando el top 10 IPs de cliente durante los últimos 7 días en el sitio mostró alguna actividad sospechosa inmediatamente. La mayoría de ellos tenían más de 10,000 solicitudes, y no eran pocas. Recuerde, este es un sitio pequeño que sólo debería estar recibiendo un par de miles de peticiones totales por mes.

Principales 10 IPs del cliente (bloqueadas por motivos de seguridad)
Principales 10 IPs del cliente (bloqueadas por motivos de seguridad)

Usted siempre puede confiar en Google ellos le proporcionan los datos. eiempre Introduciendo un par de las principales IPs en búsqueda, pudimos ver fácilmente que la mayoría de ellas eran todas direcciones proxy, es decir alguien trataba de ocultar su tráfico.

IP de proxy
IP de proxy

Cambiando Direcciones URL

La primera cosa que hicimos fue realmente cambiar la URL de la página a algo diferente. Esta es siempre una buena primera medida. Sin embargo, esto sólo detuvo el ataque durante un corto período de tiempo, hasta que se descubrió la nueva dirección URL. Recuerde, debido a que este es un sitio de comercio electrónico, debe tener una página de cuenta pública.

Obviamente en un blog solamente, cambiar la URL de acceso de WordPress y ocultarla completamente impediría un montón de estos tipos de ataques, pero esto no funcionaría en este caso. Lo llamamos WordPress seguridad por oscuridad.

¿Piratería o Intentos de Fuerza Bruta?

Otra cosa que puede confirmar en estas situaciones es que no sea un intento de hackeo, que en este caso no lo fue. WP Security Audit Log es un gran plugin para controlar rápidamente y ver si hay intentos de login no válidos en una página.

También puede comprobar los registros para ver si hay algunas acciones POST sucediendo en gran cantidad. Esto parece ser un clásico ataque DDoS en el que simplemente envían un montón de tráfico a una porción del sitio para intentar aplastarlo.

Bloqueo de IP

Si está ejecutando su propio servidor, el siguiente paso sería probablemente instalar un firewall o bloqueo de IP como WordFence plugin. Para los sitios que funcionan en Kinsta, no recomendamos este método por un par de razones.

En primer lugar, los plugins de seguridad y cortafuegos pueden tener un gran efecto en su rendimiento, especialmente las capacidades de escaneo. En segundo lugar, utilizamos los equilibradores de carga con Google Cloud Platform, lo que significa que muchas veces su funcionalidad de bloqueo de IP no funcionaría correctamente.

Así hemos creado nuestra propia herramienta. Ahora puede bloquear direcciones IP manualmente mediante la Herramienta de Denegación de IP en MyKinsta. O siempre puede contactar a nuestro equipo de soporte para ayudar con el geobloqueo.

Herramienta de IP Deny
Herramienta de IP Deny

Por supuesto, las IPs siempre pueden ser bloqueadas por el equipo de soporte de Kinsta, pero dependiendo de la longitud y la escala del ataque, este podría ser un proceso sin fin de poner en listas negras las IPs, que en la mayoría de los casos no soluciona el problema con la suficiente rapidez. Muchos de los ataques DDoS cuando son bloqueados en un área, simplemente aparecen en otro, o cambian de IPs y direcciones proxy.

Por ello, en este caso, lo mejor es tomar ventaja de una solución DDoS que podría ayudar a automatizar el proceso con sus normas integradas que han sido compiladas basando en años de datos.

Mover el Sitio a Cloudflare No Ayudó

Un montón de veces Cloudflare hace un trabajo decente en detener el tráfico básico de bots, pero cuando se trata del plan libre, su protección DDoS no es la mejor. De hecho, movimos el sitio a Cloudflare y resultó aún más tráfico sospechoso visitando el sitio.

Aunque pensamos que esto era simplemente debido al esfuerzo aumentado del atacante. Como se ve a continuación estaba llegando el punto de casi 50,000 solicitudes por hora. Su CDN sección funciona bien, pero si necesita más, es muy probable que usted tenga que pagar.

Solicitudes - Cloudflare
Solicitudes – Cloudflare

Después implementamos «limitación de velocidad» en el sitio web. La limitación de velocidad permite crear reglas basadas en el tráfico que coinciden con una dirección URL y, después la bloquean/limitan basado en la actividad. Esto puede ser activado en el plan gratuito, y cuesta $0.05 por 10,000 solicitudes. Sin embargo, al ritmo en que estábamos viendo peticiones, habría habido unas 36 millones de solicitudes por mes, lo que habría costado 180 dólares al mes por sí mismo. Así que es obvio que no era una solución que estaba arreglando el problema. Y sí, probamos todos los tipos de reglas específicas.

Limitación de velocidad IP
Limitación de velocidad IP

Nota: La limitación de tarifas se factura en función del número de solicitudes buenas (no bloqueadas) que coinciden con las reglas definidas en todos tus sitios web. Pero en este caso, no funcionaba.

El siguiente paso, que sabíamos ya estaba llegando, fue buscar un Web Application Firewall (WAF). Muchos usuarios no se dan cuenta de esto, pero el plan gratis de Cloudflare no incluye esto. Y esto es casi necesario para detener los ataques DDoS en la actualidad. Así que la siguiente opción sería actualizar el plan de Cloudflare Pro a $20/mes. Sin embargo, aquí es donde usted debe tomar algún tiempo y comparar con otras soluciones de terceros.

Comparando Cloudflare a Sucuri

En nuestra opinión, dos de las mejores soluciones de firewalls de aplicaciones web que son fáciles de implementar para cualquier tipo de sitio es Cloudflare y Sucuri. Sin embargo, si realmente los analizas, verás que Sucuri es quizás mucho mejor para tu presupuesto (si tu sitio no está alojado en Kinsta). Echemos un vistazo, ya que ambos tienen planes de 20$/mes.

Cloudflare

Con el Plan Pro de Cloudflare sólo obtendrá protección DDoS avanzada en las Capas 3 y 4 (lea más acerca de los ataques DDOS capa 3 y 4). Esto ayudará a detener automáticamente los ataques SYN de TCP, UDP e ICMP contra sus servidores edge, para que nunca alcancen su servidor de origen.

Para obtener la protección de la capa 7 tendrá que actualizar el plan de $200/mes. Recuerde que esta es una muy sitio e-commerce pequeño, así que $200/mes sería muy costoso además de sus tarifas de hosting.

Lectura sugerida: Cómo configurar Cloudflare APO para WordPress.

Todos los sitios en Kinsta están equipados con una integración gratuita de Cloudflare, que incluye una CDN de alto rendimiento habilitada para HTTP/3 y un cortafuegos de nivel empresarial con protección DDoS integrada. A diferencia de otros alojamientos que cobran tarifas exorbitantes por los certificados SSL, Kinsta ofrece certificados SSL gratuitos de nivel empresarial con soporte para dominios wildcard a través de Cloudflare.

Lo mejor de todo es que nuestra integración con Cloudflare no requiere que tengas tu propia cuenta de Cloudflare. Esto significa que puedes aprovechar la velocidad y seguridad añadidas sin tener que registrarte y gestionar otro servicio de suscripción mensual.

Como parte de nuestra integración con Cloudflare, Edge Caching guarda la caché de tu sitio/página de Kinsta en cualquiera de los 260+ centros de datos de la red global de Cloudflare.

Edge Caching se incluye de forma gratuita con todos los planes de Kinsta, no requiere un plugin independiente y reduce el tiempo necesario para servir el HTML de WordPress en caché ¡en más de un 50% de media!

Sucuri

Con el plan de sucuri de $20/mes, usted obtiene protección DDoS avanzada en las capas 3 y 4, junto con la capa 7. Esto ayuda a detectar automáticamente los cambios repentinos en el tráfico y protege contra inundaciones y ataques POSTS basados en DNS, para que nunca alcancen su servidor de origen. Así, justo al principio, probablemente usted va a ver la mejor mitigación de DDoS con Sucuri. Y en este caso, queríamos la capa 7 para los ataques de inundación HTTP.

Un ataque de inundación HTTP es un tipo de ataque de aplicaciones de capa 7 que utiliza las peticiones estándar válidas GET/POST utilizadas para obtener información, como en la URL típica de recuperaciones de datos (imágenes, información, etc.) durante las sesiones SSL. Un diluvio HTTP GET/POST es un ataque volumétrico que no utiliza paquetes mal formados, técnicas de redirección o reflexión. –Sucuri

Sucuri también ofrece equilibrio de carga en su plan de $70/mes mientras que Cloudflare tiene bastantes tasas vinculadas a distintos aspectos de su función de equilibrio de carga, tales como precios la base del uso, si desea geo-equilibrio de carga, etc.

Ambos tienen características similares, como la capacidad de añadir desafíos a ciertas páginas, listas negras de IPs, etc. Sin embargo, en cuanto a la protección DDoS, Sucuri ofrece mucho más. También nos gusta la IU en listas negras de IP de Sucuri y cómo ciertas cosas están configuradas vs Cloudflare.

Y recuerde, ninguna empresa puede prometer un 100% de protección DDoS, todo lo que puede hacer es ayudarle a mitigarlo de forma automática.

Mover el Sitio a Sucuri

Mover el sitio a Sucuri es bastante fácil. Al igual que Cloudflare, técnicamente no hay nada que usted necesite para instalar, ya que actúa como un proxy de servicio completo. Esto significa que usted está apuntando su DNS para ellos y después, ellos están apuntando a su host. Y, fundamentalmente, el firewall de aplicaciones web (WAF) se ubica en el medio.

Su panel de control, en nuestra opinión, no es tan llamativo o de aspecto moderno como Cloudflare, pero cuando se trata de un WAF, usted realmente debe estar simplemente preocupado por lo bien que funciona. Como puede ver a continuación, básicamente detectan la IP de su host actual y le proporcionan un firewall IP. Esta es a la que usted apunta su DNS (récords A y AAAA).

Panel de control - Sucuri
Panel de control – Sucuri

Puede estar funcionando en Sucuri en cuestión de minutos. Lo que es bueno en el caso de un ataque DDoS. El tiempo de espera sólo realmente es la propagación de DNS. Éstas incluyen un HTTP/2 CDN Anycast. Por lo tanto, es algo más que un simple firewall. También puede ayudar a acelerar su sitio WordPress. Pero también puede utilizar opcionalmente su propia CDN como KeyCDN ya que trabajan con Sucuri bien.

Ellos incluyen un certificado SSL gratis con Let’s Encrypt o puede cargar los suyos propios. Un inconveniente es que Let’s Encrypt no está automatizado, debe abrir un ticket. Pero su proceso de certificado SSL es rápido.

Otra sugerencia para mejorar el rendimiento es que usted a lo mejor desee habilitar la opción de cache de sitio. Esto preferirá usar la cache de su servidor original en lugar de usar la de Sucuri. Lo más probable es que usted tenga configuración de cache en su WordPress host según como usted prefiere tenerla.

La cache del sitio - Sucuri
La cache del sitio – Sucuri

Opciones de Seguridad Avanzada

En la pantalla de seguridad puede bloquear todo el tráfico XML-RPC, bots agresivos, habilitar seguridad adicional los encabezados como HSTS, y mucho más. Nota: el tráfico XML-RPC ya estaba bloqueado en este sitio en particular.

Opciones avanzadas de seguridad - Sucuri
Opciones avanzadas de seguridad – Sucuri

Vista en Tiempo Real

Una cosa que realmente nos gusta es su protección DDoS en tiempo real. Usted puede fácilmente ir y ver un registro completo de las solicitudes actuales. Puede mandar a lista negra con un clic o a lista blanca cualquier cosa sospechosa, e incluso le dará una razón si ya estaba bloqueada.

Protección DDoS en tiempo real
Protección DDoS en tiempo real

Otros Informes Útiles

Hay un montón de otros informes útiles, tales como la gráfica de ataques bloqueados. Esto le permite ver rápidamente un porcentaje de qué tipos de ataques son bloqueados, incluidos los ataques de DDoS. Algunos otros gráficos en esta ventana incluyen el tráfico por tipo de explorador, los dispositivos y los códigos de respuesta HTTP.

Protección DDoS en tiempo real
Protección DDoS en tiempo real

La gráfica de tráfico promedio por hora es útil para ver cuando las horas pico son para su tráfico y se ve la relación de solicitudes bloqueadas.

El tráfico promedio por hora
El tráfico promedio por hora

La tabla de tráfico por país puede ayudarle a determinar si algo está viniendo de una geolocalización específica. Bajo de sus controles de acceso, usted puede fácilmente bloquear un país completo temporalmente con un solo clic.

Tráfico por país
Tráfico por país

Otras características bajo control de acceso incluyen la capacidad de lista blanca y lista negra de IPs y rutas, los agentes de bloquear usuarios, bloquear las cookies, bloquear remitentes HTTP, y también proteger una página determinada con un captcha, autenticación de dos factores, o una contraseña simple.

Control de acceso - Sucuri
Control de acceso – Sucuri

¿Sucuri ayudó a nuestro pequeño sitio de comercio electrónico de WordPress? De hecho, una hora después de que el DNS terminó propagando, el ancho de banda y las solicitudes descendieron inmediatamente en el sitio (como se muestra a continuación) y no ha habido ni un solo problema desde entonces. Por lo tanto, definitivamente es una inversión buena y ahorra tiempo si llega a tener tal problemas.

Firewall de aplicaciones web añadido
Firewall de aplicaciones web añadido

Y aquí está la forma en que el sitio se veía hace un rato después de la mudanza a Sucuri. Como se puede ver ahora se ha vuelto a su estado original de 30-40 MB de transferencia de datos por día.

Uso de ancho de banda bajo
Uso de ancho de banda bajo

Incluso si usted no está bajo un ataque, quizás sólo quiera una manera fácil de evitar que los bots le roben el ancho de banda del host.

Si ya ha probado otras soluciones, quizá dele a Sucuri un intento. Y no nos malinterprete Cloudflare sigue siendo una solución fantástica para un montón de sitios, como los recomendamos para la mayoría de nuestros clientes. Sus planes más caros de 200 dólares/mes probablemente también hayan mitigado el ataque. No obstante, siempre es bueno saber acerca de otras soluciones. Especialmente si usted está en un bajo presupuesto.

Resumen

Esperemos que la información anterior le dé un poco más de información sobre cómo detener un ataque DDoS. Naturalmente, esto es sólo una de muchas maneras diferentes en que podría abordar tal situación. Pero si ya está en modo de emergencia, normalmente la migración sea a Sucuri o a Cloudflare le permite recuperarse sin problemas en cualquier momento.

Si usted está tratando de ahorrar dinero en ancho de banda contra los bots de spam, un firewall de aplicaciones web también puede ser una solución muy efectiva.

¿Cuáles son sus pensamientos sobre Cloudflare vs Sucuri? Además, le gustaría ver estos estudios con datos en vivo? Si es así, háganoslo saber a continuación ya que esto nos ayuda a decidir qué tipo de contenido se debe publicar en el futuro.

Brian Jackson

Brian tiene una gran pasión por WordPress, lo ha estado utilizando durante más de 10 años e incluso ha desarrollado un par de plugins premium. Brian disfruta de los blogs, las películas y el senderismo. Conéctese con Brian en Twitter.