Hace poco recibí un ataque y aún sigo recibiendolo, no es a YourWPweb.com, sino otras de mis webs.
El ataque consiste simplemente en visitas spam, visitas de forma masiva con la intención de saturar el servidor. Lo que se conoce como ataque DDOS, ataque de denegación de servicio.
Esto me obligó a tomar medidas. Porque aunque el ataque era pequeño al principio este fue creciendo, días tras día, seguramente para que si tienes un software no muy bueno de seguridad instalado no detecte el tráfico spam. Pero yo como humano si lo detecto. ¿Cómo?
El tráfico spam proviene de una botnet, esto quiere decir que proviene de una red de ordenadores hackeados…¿por qué creo esto? Porque las visitas provienen de practicamente todo el planeta y los sistemas operativos de las visitas basura son diversos, windows y a veces mac, y los navegadores firefox, chrome, opera, etc. En unos porcentajes muy comunes, lo que me hace pensar que el tráfico viene de dispositivos infectados y dirigidos como una botnet.
¿Cómo sé que son visitas spam y cómo las distingo de lar normales?
Lo primero que tienes que hacer si tienes un subidón de tráfico extraño es analizarlo, yo siempre lo hago. Normalmente son spam stándar jaja. Es decir, que las visitas provienen de una web que vende un servicio con la intención de que al mirar tus estádisticas veas su sitio web. Esto es muy típico y no es dañino pero no es el caso que estoy contando.
En mi caso se trata de una web es castellano donde llevo recibiendo visitas todos los años de países como España, México, Venezuela, etc. Y algunas de USA. Es lógico, una web en castellano recibe web de países hispano hablantes.
Por eso cuando me llegó de repente el triple de visitas de lo normal en un día provinientes de Francia, Alemania, China, Corea, Tailandia supe que algo pasaba. Lo dejé correr, pero al día siguiente se multiplicó por 3 las visitas. Estaba recibiendo mi primer ataque DDOS.
Luego explicaré cómo me defendí pero antes debo contar cómo distingo las visitas de los bots de la de los humanos ya que algunas visitas también provienen de surámerica.
Pues bien, en el caso de este ataque DDOS las visitas del atacante siempre empiezan en la URL principal. Es decir, sería tuweb.com, y no entran directamente en una subURL como tuweb.com/cosas-que-me-gustan, luego miré mis estadísticas de los últimos meses y descubrí que hasta el ataque solo el 4% de mis visitas atterizan directamente en la URL principal. Y casi no tengo visitas de países como Japón, Francia o China, que sumados no suponen ni el 0.5% de mis visitas.
En otras palabras, ya sé que si llegan a la URL principal y son de países no hispano hablantes es spam, y solo tengo un error inferior al 0.1%.
Luego está otra variable en la que he reparado, el 95% de mis visitas provienen de Google y solo un 0.5% de las visitas llegan directamente a la URL principal sin venir de Google, youtube, o una web intermedia en general.
Así pues, si el visitante visita la URL principal, no viene de ninguna web y es de un país en el que no se habla español, hay un 99,9% de probabilidades de que sea parte de las visitas del atacante.
Perfecto, una vez idéntificado al atacante ya pude tomar medidas, y vosotros también si os pasa lo mismo.
Ahora el siguiente paso es organizar la defensa.
Defender nuestro WordPress de visitas spam y ataque DDOS
Hay muchísimos plugins que nos permiten defender nuestro wordpress, desde el plugin Akismet a Wordfence pasando por mil plugin más menos famosos.
Pero en este artículo voy a mostrarte los que yo usé, cumpliendo 2 requisitos: defenderme de este ataque y nada más, y siendo gratuito.
Encontré muchos plugins que te permite bannear ip pero solo uno que solo haga eso y que además sea gratis, se llama
LionScripts: IP Blocker Lite. Es un simple bloqueador de IP, tiene una cajita donde metemos la IP y la añadimos a la lista negra, luego ya no podrán visitar nunca más nuestra web desde esa IP a no se que la saquemos de la lista negra.
El plugin en muy sencillo y cumple su función a la perfección. También tiene una versión de pago pero la función que nos interesa es gratuita.
Cuidado: No bloquees tu propia IP o tendrás que ir a un café o usar otro dispositivo para volver a acceder a tu web.
Lo siguiente es identificar las IP, si ya tienes un plugin que te permita ver las IP perfecto, sino instala este plugin: SlimStat.
Es un plugin muy usado y que nos permitirá saber las IP admás de la página/s que visita esa IP, el navegador, el SO, etc.
Además tiene muchas funciones de estadísticas, vamos que puede ser un complemente a las estadísticas de Google Analitycs o incluso sustiuto de nuestras estadísticas en WordPress generadas por el Jetpack.
Una vez instalado ambos plugins simplemente en SlimStats nos dirigimos al apartado: AccesLog y allí veremos lo siguiente:
Vemos en la fotografía lo que señalé anteriormente, visitas a la URL principal, navegadores variados, y las IP provienen de países variopintos. Podemos usar una web de localización, como esta o esta otra. Pero hay muchas otras webs que nos permiten localizar IP geográficamente, solo tienes que buscar en Google “ip location”, o similar.
Y listo, localizadas las IP y comprobada la procedencia pues procedemos, si es spam, a copiarla y añadidarla a la lista negra.
Resumen
Simplemente ante un ataque DDOS simple o incluso usuarios que nos molesten, bastará con instalar los 2 plugins mencionados, encontrar la IP del atacante o el patrón que sigue las visitas del atacante identificando así sus IP y bloquearlas.
Esto nos protege contra usuarios no deseados y contra ataques de bots.
El problema sería que el ataque DDOS fuera más sofisticado y tuviera IP ilimitadas en la práctica, en ese caso usariamos otro plugin y otra estrategia sobre la que ya escribiré.
|
|
Acepto donaciones de BAT's mediante el navegador Brave 🙂 |