Security Blog
Security Blog
Posted By Gregory

De força bruta, DoS e ataques DDoS – qual é a diferença?

Como eles são perigosos? Quais ferramentas ou plugins do WordPress podem mitigá-los? Quais são as chances de que possamos fazer isso com sucesso? Vamos esclarecer as coisas com essas atividades intrusas que vemos todos os dias em qualquer site.


English version: Brute-force, DoS, and DDoS attacks – what’s the difference?


Um ataque de força bruta é um método de tentativa e erro usado por hackers para adivinhar credenciais ou dados criptografados, como login, senhas ou chaves de criptografia, através de esforço exaustivo (usando força bruta) com a esperança de, eventualmente, adivinhar corretamente. O ataque de força bruta ainda é um dos mais populares métodos de quebra de senhas para invadir o WordPress hoje.

Um ataque Denial-of-Service (DoS) é um ataque destinado a encerrar um site, tornando-o inacessível para os usuários previstos, inundando-o com tráfego inútil (solicitações de lixo eletrônico). Às vezes, ataques de DoS são usados para destruir sistemas de defesa de computadores. Algumas funcionalidades do WordPress podem ser exploradas como um vetor de ataque. Por exemplo, CVE-2018-6389 .

Um ataque DDoS é curto para ataque Distributed DoS. Tais ataques são realizados inundando o site segmentado com tráfego inútil de vários dispositivos ou uma botnet. Uma botnet é uma rede de computadores infectados com software malicioso (malware) sem o conhecimento do usuário, organizados em um grupo e controlados por criminosos cibernéticos. Os botnets modernos podem conter dezenas de milhares de dispositivos móveis ou computadores desktop comprometidos. Devido à sua natureza, os ataques modernos de DDoS são caros e exigem muitos recursos. Normalmente, isso significa que você tem um inimigo forte que tem dinheiro cinza suficiente para ordenar esse tipo de ataque. Frequentemente, a realização de ataques DDoS é ordenada por concorrentes inescrupulosos ou oponentes políticos.

Então, qual a diferença?

Tecnicamente eles parecem diferentes, mas do ponto de vista do proprietário de um site, a diferença está apenas no objetivo de um ataque .

Ambos, ataques DoS e DDoS têm o mesmo objetivo. E esse objetivo é pressionar a vítima , o site ou o servidor da Web segmentados e lucrar com isso. Às vezes, o ataque DDoS está ocorrendo para destruir o sistema de defesa e obter acesso administrativo.

O objetivo de fazer ataques de força bruta é obter acesso de administrador ao site direcionado para executar alguma atividade ilegal que o intruso / hacker deseja fazer. Suas atividades típicas são:

  • Roubando dados pessoais de um banco de dados de clientes
  • Redirecionar usuários legítimos para sites falsos para roubar seus dados pessoais
  • Instalando backdoors e trojans no servidor da web para usá-lo a longo prazo
  • Instalando software malicioso para infectar os computadores de administração e clientes
  • Adicionando links para sites infectados ao conteúdo do site

Esses ataques realmente afetam o WordPress?

Por padrão, o WordPress permite tentativas de login ilimitadas através do formulário de login, XML-RPC ou enviando cookies de autenticação especiais. Isso permite que as senhas sejam quebradas com relativa facilidade através do mencionado ataque de força bruta.

Como proteger o WordPress e mitigar esses ataques

Ambos os ataques de força bruta e DoS podem ser mitigados com sucesso com software de segurança instalado em um site. Em ambos os casos, você não precisa ser um nerd e pode obter essa proteção gratuitamente.

  1. Ataques de força bruta contra o WordPress podem ser mitigados com sucesso com o plugin WP Cerber gratuito. Entre outros recursos de segurança, ele tem proteção para as interfaces XML-RPC e REST API.
  2. Os ataques DoS podem ser mitigados com uma configuração especial do servidor da web. Você não pode conseguir isso instalando um plugin de segurança. A melhor prática é usar as regras de limitação de taxa do NGINX. Confira nossas recomendações: Transforme seu WordPress em Fort Knox .

Infelizmente, os ataques DDoS não podem ser mitigados em um nível de servidor da Web ou apenas com algum plug-in do WordPress. Os ataques DDoS podem ser mitigados com êxito apenas com um hardware especial instalado na rede do provedor de hospedagem. Por causa da mitigação de ataques DDoS envolve muitos recursos, custa dinheiro e é fornecido como um serviço de provedores de hospedagem por assinatura. Ao contrário dos ataques de força bruta e DoS, não há garantia de que todos os ataques DDoS serão mitigados com sucesso . Tudo depende de quão poderoso é o ataque e quão poderoso é o sistema anti-DDoS fornecido pelo provedor de hospedagem e qual a quantidade de provedor de hospedagem de largura de banda de rede.

Uma das soluções mais acessíveis para proteger o WordPress de ataques DDoS é usando o serviço Cloudflare. Mas existem algumas desvantagens menores. Esses caras terão controle sobre todos os seus registros de DNS, tráfego de entrada e saída da web de e para o seu site, porque todo o tráfego passa pelos servidores da Cloudflare. Alguns usuários relataram que o Cloudflare até teve problemas com os proprietários sendo bloqueados de seus sites. Então, se você não tem problemas com DDoS, como muitos de nós, não há razão para adicionar uma camada extra que possa gerar dor adicional no pescoço.

Pegue um intruso

WordPress IP address information

Cerber shows additional WHOIS information about the intruder IP address in the WordPress dashboard

Você pode identificar facilmente uma fonte física de um ataque – um computador, um dispositivo móvel etc.

Se você tiver o WP Cerber Security & Antispam instalado, confira este post: Saiba mais sobre o IP do invasor . A coisa mais decepcionante é que a grande maioria desses ataques não pode ser rastreada até um performer real ou um mestre. Toda tentativa de rastreá-los de volta acaba com um conjunto de PCs domésticos infectados ou dispositivos móveis que são usados como fantoches, pontos intermediários para um ataque.

Talvez, um dia, não haja acesso anônimo à Internet e qualquer pessoa no mundo seja responsável por todo o tráfego de saída de seus dispositivos conectados à Internet, mas, por enquanto, todos os sites estão sob pressão da atividade de hackers. .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.