DDoS

DDoS WordPress é o ataque distribuído de negação de serviço que sobrecarrega o servidor com volume massivo de requisições falsas, derrubando o site para usuários legítimos. A sigla vem de Distributed Denial of Service: ataque coordenado a partir de múltiplas fontes (geralmente botnets de computadores comprometidos) contra um único alvo. Em 2024, o maior DDoS já registrado atingiu 5.6 Tbps contra Cloudflare. Sites WordPress são alvos frequentes porque rodam em mais de 43% da web e nem todos têm proteção adequada. Saber o básico de DDoS é obrigatório em qualquer site comercial.

O que é um ataque DDoS

Um ataque DDoS funciona como engarrafamento artificial. Imagine que sua loja física pode atender 100 clientes por hora. Um atacante envia 50 mil pessoas falsas para a porta da loja simultaneamente. Os clientes reais não conseguem entrar porque o local está bloqueado por gente que não vai comprar nada. O servidor WordPress sofre o equivalente: tráfego falso satura recursos e visitantes legítimos não conseguem acessar.

O termo ataque ddos é usado em qualquer ataque que use múltiplas máquinas atacando simultaneamente um alvo. Diferente de DoS (Denial of Service, ataque de origem única), DDoS coordena botnets com milhares ou milhões de IPs distintos, tornando bloqueio simples por IP impraticável.

Em ddos vs dos, a escala é o diferencial. DoS pode ser mitigado bloqueando o IP atacante. DDoS exige análise de comportamento, machine learning para detectar padrões e infraestrutura distribuída para absorver o tráfego. Ataques modernos quase sempre são DDoS, raramente DoS isolado.

Os atacantes operam por motivos variados: extorsão (pague ou seu site cai), competição desleal (derrubar concorrente em data crítica), ativismo (hacktivismo), ou simplesmente vandalismo. Em e-commerce, ataques em datas como Black Friday são comuns: um dia fora do ar pode custar centenas de milhares de reais em vendas perdidas.

Tipos de DDoS: volumétrico, protocolo, aplicação

Ataques DDoS se dividem em três grandes categorias conforme a camada da rede que atacam. Cada uma exige defesa específica e pode aparecer combinada em ataques sofisticados.

Volumétrico é o tipo mais comum e mais simples conceitualmente. O ataque inunda a banda do servidor com tanto tráfego que a conexão fica saturada antes mesmo de chegar à aplicação. UDP flood, ICMP flood e DNS amplification são exemplos. Mede-se em bps (bits por segundo). Ataques volumétricos modernos chegam a Tbps usando técnicas de amplificação que multiplicam o tráfego enviado pelos atacantes.

O De protocolo explora fraquezas de protocolos de rede. SYN flood envia milhões de handshakes TCP incompletos, esgotando a tabela de conexões do servidor. Ping of Death, Smurf attack e fragmented packet attacks operam no nível 3 e 4 do modelo OSI. Mede-se em pps (pacotes por segundo). Não saturam banda mas saturam recursos do servidor.

De aplicação ataca o nível 7, onde o WordPress vive. HTTP flood simula requisições reais de usuários, fazendo o PHP, MySQL e plugins do WordPress trabalharem em loop. Slowloris mantém conexões HTTP abertas eternamente, consumindo workers do Apache. POST attacks fazem requisições com payloads grandes que travam parsing. Esse tipo é o mais difícil de detectar porque o tráfego parece legítimo: cada requisição individualmente é válida; o problema é o volume.

Em sites WordPress, ataques de aplicação são especialmente perigosos. Um HTTP flood bem feito contra wp-login.php ou xmlrpc.php pode derrubar o servidor com 100 requisições por segundo, volume baixíssimo comparado aos volumétricos mas que satura o PHP-FPM antes que o servidor perceba. Combine com firewall WordPress bem configurado para mitigação.

Ataques híbridos

Ataques modernos combinam os três tipos. Volumétrico para distrair, de protocolo para esgotar conexões, de aplicação para realmente derrubar a aplicação. A defesa precisa cobrir os três níveis simultaneamente, o que é praticamente impossível sem CDN especializada na frente.

Como proteger WordPress contra DDoS

Proteção ddos em WordPress requer múltiplas camadas. Nenhuma sozinha é suficiente, mas combinadas reduzem dramaticamente o risco.

Primeira camada é CDN com proteção DDoS. Cloudflare, Fastly, BunnyCDN e AWS Shield colocam infraestrutura distribuída entre o atacante e seu servidor. Tráfego volumétrico é absorvido na borda; ataques de aplicação passam por filtros de WAF (Web Application Firewall) antes de chegar ao WordPress. Em 2026, sites sem CDN com proteção DDoS são vulneráveis por default.

Segunda camada é firewall WordPress. Plugins como Wordfence, AIOS e Sucuri filtram requisições suspeitas no nível PHP. Bloqueiam ataques contra wp-login.php, xmlrpc.php e endpoints REST mais visados. Não substituem CDN mas adicionam proteção interna que pega o que passou.

Terceira camada é otimização de servidor. Configurar limites de conexões simultâneas, rate limiting por IP no nível de Nginx/Apache, fail2ban para bloquear IPs com comportamento anômalo, e cache WordPress agressivo para reduzir carga em PHP. Servidor bem tunado aguenta mais antes de cair.

Quarta camada é desativar XMLRPC e REST API quando não usados. Esses endpoints são alvos comuns de ataques DDoS contra WordPress por aceitarem requisições autenticadas e não autenticadas. Plugins de segurança permitem desativar XMLRPC com um clique, e desativar endpoints REST inseguros via configuração específica.

Quinta camada é monitoramento contínuo. UptimeRobot, Pingdom, BetterUptime alertam quando o site cai. Logs de servidor monitorados via Datadog, New Relic ou ferramentas mais simples permitem identificar padrões de ataque cedo. Combine com proteção contra brute force que costuma vir junto.

Cloudflare e outras soluções anti-DDoS

O mercado de proteção DDoS é dominado por algumas empresas. Conhecer as opções principais é o ponto de partida para escolher.

Cloudflare é o nome dominante. Plano gratuito já oferece proteção DDoS automática contra ataques básicos volumétricos. Plano Pro (US$ 25/mês por site) adiciona WAF managed rules, image optimization e Polish. Plano Business (US$ 200/mês) cobre ataques mais sofisticados e adiciona suporte 24/7. Em ataques massivos, Cloudflare frequentemente bloqueia 99% do tráfego antes de chegar ao servidor original.

Sucuri é especializado em WordPress. Combina CDN com WAF dedicado que entende vulnerabilidades específicas de plugins e temas WordPress. Custa entre US$ 200 e US$ 500/ano por site dependendo do plano. Para sites WordPress especificamente, é alternativa séria a Cloudflare por ter regras mais especializadas em proteção contra ataques na camada de aplicação.

AWS Shield é solução enterprise para sites hospedados em infraestrutura Amazon. Shield Standard é grátis e oferece proteção básica. Shield Advanced custa a partir de US$ 3.000/mês mas cobre ataques massivos e oferece DDoS Response Team da Amazon dedicada. Para projetos grandes na AWS, é o caminho.

BunnyShield é alternativa europeia mais barata, oferecendo proteção DDoS volumétrica como parte do CDN BunnyCDN. Bom para sites pequenos e médios que querem CDN + DDoS sem pagar Cloudflare Pro.

Combine essas soluções com bons security headers configurados, pois DDoS frequentemente vem acompanhado de tentativas de exploração de vulnerabilidades. CDN + WAF + headers + servidor tunado é a stack defensiva profissional.

Em sites WordPress brasileiros, Cloudflare gratuito + Wordfence gratuito é o mínimo defensivo aceitável. Para sites comerciais sérios, Cloudflare Pro + plugin de segurança pago é o padrão profissional. Para e-commerces grandes, Cloudflare Business + Sucuri ou similar.

Para sites WordPress que precisam de proteção robusta com firewall, monitoramento, hardening e mitigação de DDoS já configurados em produção, a FULL Services entrega o AIOS (All In One Security) já licenciado dentro da stack profissional, com firewall ajustado, proteção contra brute force, monitoramento de alterações em arquivos críticos e bloqueio geográfico. Em vez de configurar plugin por plugin, você roda em base validada onde a defesa contra ataques está pronta desde o primeiro acesso.