O tráfego de bots está maior do que nunca. De acordo com a Distil Networks, em 2017, bots ruins contabilizaram para 21,8% de todo o tráfego de websites, um aumento de 9,5% em relação ao ano anterior. E só isso, mas 74% do tráfego de bots ruins é formado por bots moderados ou sofisticados que escapam da detecção para distribuir seus ataques por diversos endereços IP ou simulam o comportamento humano. Isso se torna um desafio para os negócios que não sabem como filtrar ou bloquear esse tipo de tráfego.

Hoje, queremos apresentar a você uma forma incrivelmente simples de combater esse problema com o Sucuri Web Application Firewall (WAF). Se o seu site WordPress estiver sob um ataque DDoS ou você estiver sofrendo com excesso de tráfego de bots e proxy, um WAF pode ajudar a resolver esses tipos de problemas quase instantaneamente.

Abaixo, nos aprofundaremos em como configurar o firewall Sucuri em seu site WordPress, juntamente com as configurações otimizadas e o plano que você deve escolher para obter os melhores resultados.

Sobre o Sucuri WAF

Sucuri é uma plataforma completa de segurança para websites que ajuda a proteger seu negócio das ameaças de segurança, bem como a mitigar os ataques que já estejam em andamento. A empresa oferece diversos produtos e serviços, como CDN, verificação de malware, reparos de hacks, monitoramento DNS, detecção de alteração de arquivos, proteção contra ataques de força bruta e muito mais.

Sucuri

Hoje, em especial, estamos focados apenas em um produto: o Sucuri Web Application Firewall (WAF). O Sucuri Firewall é baseado na nuvem e projetado para parar hacks e ataques a websites (incluindo tráfego ruim). Como funciona? Essencialmente, você aponta seu DNS para ele, que fica responsável por encaminhar o tráfego para sua hospedagem WordPress. O web application firewall fica no meio do processo, bloqueando o tráfego antes que ele chegue à sua hospedagem.

Sucuri Web Application Firewall (WAF)
Web Application Firewall (Fonte da Imagem: Sucuri)

A equipe Sucuri está constantemente pesquisando novas formas de melhorar a detecção e mitigação de ameaças em evolução. Ela até permite que você adicione suas próprias regras personalizadas, tornando o serviço oferecido muito poderoso!

Você Precisa do Sucuri?

Você realmente precisa de um serviço como Sucuri? Depende. Ter um web application firewall entre seu site WordPress e seu provedor de hospedagem nunca é algo ruim. 😉 Na verdade, ele provavelmente poupará seu tempo e impedirá problemas no longo prazo.

Infelizmente, não costumamos ver os clientes utilizando um serviço como Sucuri até que comecem a encontrar problemas. Os cenários mais comuns são ataques DDoS e tráfego ruim de bots e servidores proxy. Quando dizemos “ruim”, nem sempre significa que alguém está tentando hackear seu site. Na maioria das vezes, é o tráfego em massa que causa problemas junto ao seu provedor de hospedagem. Esse excesso pode se tratar de visitas, largura de banda ou outros fatores. Em outras palavras, é chamado de tráfego “ruim” porque custa dinheiro a você! Se estiver usando um provedor de hospedagem compartilhada, isso pode até mesmo levar seu site a ser suspenso.

Abaixo está um exemplo de um site que foi atingido por um tráfego de proxy de IP ruim de um dia para o outro. Podemos ver, usando o MyKinsta Analytics, exatamente quando isso começou. O site foi de uma média de 125 visitas por dia para 1.500 visitas diárias (e infelizmente não era apenas um tráfego viral temporário). Também foi de 25 MB de largura de banda por dia para 25 GB de largura de banda. Ah não!

Tráfego de bots e proxy
Tráfego de bots e proxy

Com um olhar mais aprofundado nas análises, podemos ver que a região que mais visitou o site foi a província de Arezzo, com mais de quatro milhões de solicitações nos últimos 30 dias. Esse site costuma receber 90% de seu tráfego dos Estados Unidos, portanto podemos identificar facilmente qual a origem do problema.

Tráfego de spam por região
Tráfego de spam por região

A maioria dos provedores de hospedagem, incluindo a Kinsta, bloqueiam bots ruins comuns, filtram IPs de spam e possuem configurações adicionais de segurança, como limitar o acesso de um IP. Entretanto, isso não costuma ser tão eficiente quanto um WAF profissional, como Sucuri ou Cloudflare, em que o modelo de negócio inteiro gira em torno da inovação no que diz respeito às melhores formas de filtrar o tráfego ruim.

É por isso também que não recomendamos usar sua hospedagem WordPress para hospedar e-mails. Usar somente as melhores ferramentas e serviços em seus campos e indústrias respectivas ajudará seus negócios a terem sucesso. Nos focamos no que fazemos de melhor e isso é oferecer hospedagem de alto desempenho e suporte de nível mundial. 👍

O Que Tentar Antes do Sucuri

Se você está com problemas de tráfego ruim atingindo seu site WordPress, existem algumas ações que você pode experimentar antes de adicionar o Sucuri.

1. Bloquear Manualmente Endereços IP Individuais

A primeira é tentar bloquear os endereços IP infratores manualmente. Se você é um cliente Kinsta, pode usar o relatório Top Client IPs no MyKinsta Analytics para visualizar os principais ofensores.

Top client IPs
Top client IPs

Através de poucas pesquisas rápidas no Google pelos IPs podemos observar quantos deles são, provavelmente, endereços IP proxy vindos da Itália (que é onde a província de Arezzo fica localizada). Então, muito provavelmente são bots ou spammers.

Endereços IP proxy
Endereços IP proxy

Em seguida, você pode usar a ferramenta IP Deny para bloquear endereços IP. Monitore suas visitas e a largura de banda posteriormente para verificar se o problema foi resolvido. Em alguns casos, pode ser apenas que alguns IPs ruins que estejam atingindo seu site e, uma vez bloqueados, você estará pronto para continuar em frente. Entretanto, isso poderia se tornar um processo sem fim de bloqueio de IPs, o que não resolveria o problema rápido o suficiente.

Endereços IP bloqueados
Endereços IP bloqueados

Se você não é um cliente Kinsta, pode usar um dos diversos plugins de segurança WordPress que possuem recursos de bloqueio e limitação de IP.

Mas tenha cuidado com essa abordagem. Muitos plugins de segurança afetam o desempenho do site, devido às suas funcionalidades sempre ativas de verificação. É por isso que a Kinsta bane alguns (não todos) os plugins de segurança. A Kinsta também utiliza balanceamento de carga com o Google Cloud Platform, o que significa, em alguns casos, que recursos de bloqueio de IP de alguns plugins de segurança não funcionarão como desejado

2. Bloqueio Geográfico

Outra recomendação é bloquear o tráfego de uma região ou país inteiro. A Kinsta oferece suporte para bloqueio geográfico. Para isso, basta você entrar em contato com nossa equipe de suporte e informar os códigos ISO dos países que você deseja bloquear. Veja mais detalhes sobre recusa de tráfego com base no local.

Ou você pode tentar usar um plugin de segurança WordPress como o IP Location Block ou o WordFence que suporte o bloqueio geográfico. Novamente, vale ressaltar que eles não são suportados e não funcionarão na hospedagem Kinsta.

Se as soluções acima não funcionarem, recomendamos que você implemente um WAF premium, como o Sucuri. Não é necessário instalar ou gerenciar nenhum plugin e ele fica simplesmente posicionado entre seu site e sua hospedagem. Este é o melhor método no que diz respeito a desempenho e irá, como num passe de mágica, se livrar de todo o tráfego ruim!

Plano Sucuri Firewall Recomendado

Recomendamos o plano de firewall Sucuri Pro ou superior. Por quê? Porque o plano Pro (US$20/mês) inclui suporte para certificados SSL personalizados, juntamente com Proteção Avançada de HTTPS DDoS nas camadas 3, 4 e 7. Se você estiver curioso, a Cloudflare inclui apenas a camada 7 de proteção em seu plano de US$200/mês.

Isso ajuda a detectar automaticamente mudanças repentinas no tráfego e a se proteger contra inundações de POST e ataques baseados em DNS, para que eles nunca atinjam seu servidor de origem. A menos que você seja um especialista em segurança, pode ser difícil diferenciar entre um pequeno ataque DDoS e tráfego ruim pressionando seu site.

Um ataque de inundação HTTP é um tipo de ataque de aplicação de Camada 7 que utiliza as solicitações padrão GET/POST válidas, usadas para buscar informações, como em recuperações de dados de URL comuns (imagens, informações, etc) durante as sessões SSL. Uma inundação HTTP de GET/POST é um ataque volumétrico que não utiliza pacotes disformes, spoofing e técnicas de reflexão. – Sucuri

O plano Pro também inclui suporte HTTP/2, que é um recurso que você com certeza vai querer que esteja presente quando se fala de desempenho. Recursos adicionais presentes em todos os planos incluem:

  • Sistema de Detecção de Intrusão
  • Sistema de Prevenção de Intrusão
  • Registros de Auditoria Gerenciados / Segurança
  • Proteção de Inundação HTTP
  • Proteção Contra Força Bruta
  • Virtual Patching e Hardening
  • SQL, XSS e prevenção de inclusão de código (leitura adicional: injeção SQL)
  • Autenticação de Dois Fatores com um clique, Captcha e Proteção com Senha em qualquer página
  • Suporte à CDN externa
  • Balanceamento de carga

Eles têm um teste gratuito de 30 dias.

Como Configurar o Sucuri Firewall

Hoje, conduziremos você para descobrir como configurar o Sucuri Firewall em seu site WordPress usando o plano Pro recomendado. É bastante fácil e leva apenas alguns minutos.

Passo 1

Primeiro, registre-se para o plano Sucuri Pro se ainda não tiver feito isso.

Passo 2

Uma vez no painel Sucuri, clique no botão “Proteger Meu Site Agora!” (“Protect My Site Now!”).

Sucuri – proteger meu site
Sucuri – proteger meu site

Passo 3

Insira o nome do seu domínio e configure as opções a seguir (deixamos todas as três opções desmarcadas):

  • Sob um ataque DDoS: Marcar essa opção automaticamente habilitará algumas das opções mais agressivas do Sucuri. Você pode ativá-la se tiver certeza de que está sofrendo um ataque. Essas configurações poderão ser alteradas posteriormente.
  • Diretórios permitidos: Marque essa opção se você deseja restringir o acesso a diretórios do administrador somente a endereços IP presentes na lista de permissões (como /wp-login ou /admin). Observação: Em sites de eCommerce, você pode deixar essa opção desabilitada. Lembre-se que os clientes também acessam essas áreas.
  • DNS Sucuri: Sucuri oferece a você a opção de usar infraestrutura de DNS deles. Isso permite que eles façam o roteamento geográfico para obter um desempenho global otimizado, tolerância a falhas e alta disponibilidade. Entretanto, hoje não vamos selecionar essa opção, já que queremos utilizar nosso próprio provedor DNS de terceiros. Por exemplo, se você estiver usando o DNS da Kinsta e quer continuar gerenciando seus registros DNS na Kinsta, não habilite essa opção.
Adicionar firewall ao website
Adicionar firewall ao website

Passo 4

Importante: se você optar pelo plano Pro ou superior da Sucuri, ele poderá fornecer e instalar GoDaddy SSL no firewall antes de você fazer a alteração no DNS. O certificado GoDaddy será renovado automaticamente e incluído no custo mensal. Portanto, ao migrar para o plano Pro, você deve ter uma transição tranquila e não incorrer nenhum tempo de inatividade.

Basta abrir um ticket com sua equipe e solicitar que ele primeiro instale o certificado GoDaddy. Você pode atualizar seu DNS.

Use os Certificados Let’s Encrypt com Sucuri

Como alternativa, a outra opção é que eles forneçam gratuitamente os certificados “Let’s Encrypt”. No entanto, eles só podem ser emitidos depois que você direcionar seu domínio para eles. Se você decidir usar sua opção gratuita “Let’s Encrypt”, recomendamos que você aponte seu site fora dos horários de pico.

Use os Certificados Let’s Encrypt com Kinsta

A Kinsta também fornece gratuitamente os certificados Let’s Encrypt. Para usar os nossos, é preciso primeiro entrar em contato com o suporte deles e fazer com que eles permitam o ajuste para “encaminhar a validação do certificado”. Isto permite que o provisionamento do HTTPS seja concluído com sucesso. Você pode então instalar o certificado SSL gratuito a partir do painel do MyKinsta.

Passo 5

Agora é o momento de apontar seu domínio. Role a página do painel geral para baixo, até a seção de informações de DNS que eles oferecem. Você precisará atualizar o registro A (A Record) para que seu domínio aponte para o firewall Sucuri. Isso pode ser feito junto ao seu provedor de domínio ou provedor DNS.

Apontar registro A para o firewall
Apontar registro A para o firewall

Observação: Sucuri deve selecionar seu endereço de IP atual automaticamente. Portanto, uma vez que você aponte seu domínio para o Sucuri, ele automaticamente encaminhará o tráfego de volta para sua hospedagem WordPress.

Se você estiver usando DNS da Kinsta, isso pode ser feito no painel MyKinsta. Clique em seu domínio e atualize o nome de registro A com o endereço IP fornecido pelo Sucuri.

IP do Sucuri Firewall
IP do Sucuri Firewall

Alterações de DNS podem levar até 48 horas para propagar, mas geralmente o processo dura apenas algumas horas. Você pode verificar se seu DNS foi propagado no site whatsmydns.net. Você também pode clicar no pequeno ícone de “atualizar” no painel Sucuri para confirmar que seu domínio esteja apontando para ele.

Ativação Sucuri
Ativação Sucuri

A opção ficará verde quando detectar que tudo está sendo roteado corretamente.

Sucuri ativado
Sucuri ativado

Passo 6

Se você possui um firewall em sua hospedagem WordPress, é recomendável que você coloque os endereços IP do Sucuri em sua lista de permissões. Como todas as conexões do seu servidor de hospedagem passarão pelo firewall, colocar o endereço de IP na lista de permissões impedirá que algo seja bloqueado incorretamente. Observação: Os IPs abaixo são exemplos simples. Acesse seu painel para obter os IPs Sucuri corretos com base em sua conta.

192.88.134.0/23
185.93.228.0/22
2a02:fe80::/29
66.248.200.0/22

Clientes Kinsta

Se você é um cliente Kinsta, entre em contato com nossa equipe de suporte e solicite que adicionemos as regras apropriadas da Sucuri WAF em seu site. Os IPs da Sucuri já estão na lista de permissões em nosso ambiente, mas trabalhamos de perto com a equipe deles e temos regras Nginx adicionais que precisam ser adicionadas para garantir que sua experiência com Kinsta + Sucuri funcione sem problemas.

Configurações Otimizadas do Sucuri

Em geral, não recomendamos usar o plugin Sucuri para WordPress, já que ele basicamente cria uma sobrecarga adicional, requer gerenciamento e pode causar problemas de desempenho. Deixe que o Sucuri Firewall, que fica entre seu site WordPress e a hospedagem, faça o que faz de melhor no nível do servidor.

Abaixo estão algumas configurações recomendadas que você deve aplicar no painel Sucuri.

Opções Avançadas de Segurança

Na aba “Segurança” (“Security”), recomendamos que habilite as seguintes opções:

  • XMLRPC, Comentários e Trackbacks bloqueados: Se seu site não permite comentários ou se você utiliza um sistema externo para isso (como o Disqus), você pode bloquear qualquer tentativa de comentário, já que ela provavelmente seria um spam. Se você estiver usando os comentários nativos do WordPress, não habilite essa opção.
  • Bloquear proxies anônimos e os três países que mais causam ataques: Habilitar essa opção prevenirá que qualquer um que esteja na China, Rússia ou Turquia interaja com seu site. Eles ainda conseguirão visualizar todo o conteúdo, mas não poderão registrar contas, enviar comentários ou tentar fazer login (basicamente, estarão no modo “somente leitura”). A mesma restrição é aplicada aos usuários que estiverem usando serviços de proxies anônimos para ocultar seus endereços IP.
  • Filtro agressivo de bots: Esta configuração bloqueará agentes de usuário inválidos que não combinam com navegadores reais, como agentes de usuário vazios, agentes que são iniciados com PHP e agentes de usuário impróprios de navegadores comuns.
  • Detecção avançada de evasão: Esta opção habilitará as assinaturas Sucuri avançadas de detecção de invasão. Recomendamos ativá-la, mas se seu site suportar URLs de caracteres não-ASCII (como japonês, indiano, russo), talvez você precise desabilitá-la.
Configurações avançadas de segurança Sucuri
Configurações avançadas de segurança Sucuri

A opção “Habilitar Proteção DDoS de Emergência” funciona muito bem se você acredita que seu site está sob ataque. A proteção contra inundação HTTP impedirá que qualquer um que esteja usando um navegador sem JavaScript habilitado visite o site (exceto os grandes mecanismos de pesquisa). Entretanto, de acordo com nossa experiência, ele também gera uma solicitação HTTP adicional no carregamento DOC inicial. Por isso, é recomendável que a opção seja desativada quando tudo for normalizado.

Você também pode habilitar cabeçalhos de segurança adicionais em seu site, como o HSTS.

Cache

Em “Desempenho → Nível de Cache” (“Performance→ Caching Level”), você pode configurar como deseja que o Sucuri lide com o cache. O mais provável é que seu site WordPress já esteja configurado corretamente. Assim, recomendamos que selecione a opção “Cache do site”. Isso fará com que o cache de seu servidor de origem seja seguido, ao invés de utilizar o do Sucuri. Se você é um cliente Kinsta, significa que seu site continuará a usar nosso cache de página inteira veloz e não irá interferir com nenhuma regra personalizada que temos.

Cache de site Sucuri
Cache de site Sucuri

Você pode testar a opção de cache recomendada pelo Sucuri e talvez até obtenha um desempenho um pouco melhor com ela. Mas deve ter atenção se você possuir um site altamente dinâmico, como WooCommerce ou EDD. Na Kinsta, temos regras adicionais para não armazenar em cache certas coisas, como páginas de carrinho de compras, de finalização de pedidos e, ainda mais importante, cookies. O Sucuri recomenda usar seus próprios cabeçalhos para sites de eCommerce.

CDN

Sucuri permite que você use sua própria CDN de terceiros (como KeyCDN ou MaxCDN) ou a CDN que eles oferecem. A CDN Sucuri apresenta uma rede HTTP/2 Anycast rápida com 6 SuperPOPs nos EUA, Europa e Ásia, e 3 CDN POPs na Austrália, Brasil e Filipinas. Tudo isso está incluso sem taxas adicionais se você estiver utilizando o firewall da empresa.

Sucuri CDN
Sucuri CDN

Você pode usar a CDN Kinsta com o Sucuri, mas a CDN deles é rápida e confiável, por isso recomendamos que use somente uma ou outra. Se você quiser usar o CDN da Kinsta, será necessário selecionar “Outro” na guia Suporte do CDN.

Se você deseja configurar seu site com uma CDN de terceiros, também é possível fazer isso. Basta visitar nossa Base do Conhecimento para acessar tutoriais sobre integrações com CDNs de terceiros:

Compressão

Em “Desempenho → Compressão” (“Performance → Compression”), recomendamos que você habilite a opção de compressão. Isso reduzirá o número de bytes enviados pela rede e melhorará o desempenho do seu site.

Habilitar compressão no Sucuri
Habilitar compressão no Sucuri

Pronto! Agora deixe que o Sucuri mostre sua magia pelos próximos dias e você ficará positivamente surpreso com os resultados. No site em que fizemos a implantação, a largura de banda utilizada foi reduzida instantaneamente e as visitas retornaram à média diária normal.

Recursos após o Sucuri WAF
Recursos após o Sucuri WAF

Recursos e Relatórios Adicionais Úteis

Agora que você configurou o Sucuri, existem muitos outros recursos e relatórios dos quais você pode tirar vantagem para melhorar ainda mais a qualidade do tráfego que chega ao seu site.

Controle de Acesso

A aba de “Controle de Acesso” (“Access Control”) permite que você dê permissão ou bloqueie IPS e rotas, bloqueie agentes de usuário, cookies, HTTP referrers e também proteja páginas específicas com captcha, autenticação de dois fatores ou uma senha simples. Você também pode bloquear com facilidade um país inteiro, através do recurso de bloqueio geográfico.

Bloqueio geográfico Sucuri
Bloqueio geográfico Sucuri

Visão em Tempo Real

A visão em tempo real é incrível! Você pode visualizar rapidamente um registro inteiro das solicitações atuais, adicionar qualquer ação suspeita à lista de bloqueios ou de permissões, além de informar o motivo pelo qual algo já está sendo bloqueado.

Visão da proteção DDoS em tempo real
Visão da proteção DDoS em tempo real

Ataques Bloqueados

O gráfico de ataques bloqueados permite que você visualize rapidamente a porcentagem de quais tipos de ataques foram bloqueados, incluindo ataques DDoS. Alguns gráficos nesta janela incluem o tráfego por tipo de navegador, dispositivos e códigos de resposta HTTP.

Ataques bloqueados Sucuri
Ataques bloqueados Sucuri

Média de Tráfego por Hora

O gráfico de média de tráfego por hora é muito conveniente para observar os horários de pico de tráfego e a proporção de solicitações que estão sendo bloqueadas.

Média de tráfego por hora
Média de tráfego por hora

Tráfego por País

A tabela de tráfego por país pode ajudar você a determinar se algo está vindo de uma geolocalização específica. Através dos controles de acesso, você pode bloquear facilmente um país inteiro temporariamente com o clique de um único botão.

Tráfego por país
Tráfego por país

Visualizando o IP Real

Pelo seu lado, pode parecer que todos os usuários estão utilizando o mesmo endereço de IP. Isso ocorre simplesmente em virtude do WAF. Se sua aplicação ou hospedagem precisa do IP real do usuário, dê uma olhada na documentação do Sucuri.

Resumo

O firewall Sucuri é muito fácil de configurar, o que o torna uma escolha óbvia se você estiver enfrentando problemas com tráfego de baixa qualidade, ataques DDoS ou bots. Para muitos sites, o plano de US$20/mês se pagará sozinho, ao garantir que o tráfego ruim seja filtrado e que apenas o acesso de clientes seja permitido. Isso sem falar que você provavelmente observará um aumento de desempenho tanto no front-end do seu site quanto no back-end com o painel do WordPress.

O que você acha do Sucuri? Você já experimentou em seu site WordPress? Compartilhe sua experiência conosco nos comentários abaixo.

Brian Jackson

Brian tem uma enorme paixão pelo WordPress, e tem utilizado há mais de uma década e até desenvolve alguns plugins premium. Brian gosta de blogs, filmes e caminhadas. Conecte-se com Brian no Twitter.