GoCache
  • Produtos
    • CDN
    • WAF – Web Application Firewall
    • Rate Limit
    • Lithio – Otimizador de Imagens
    • Role Based Access Control
    • Plugin WordPress e Magento
    • API Pública
    • Certificado SSL
  • Soluções
    • E-Commerce
    • Portais de Conteúdo e Notícias
    • Educação / Edtech
    • Startup
    • Outros
  • Planos
  • Parceiros
    • Parceiros de Tecnologia
  • Cases
  • Ajuda
    • Central de Ajuda – FAQ
    • Documentação Técnica
    • Documentação da API
  • Contato
  • Login
  • CADASTRE-SE
  • Menu Menu

Rate Limit para WordPress

16 de setembro de 2020/em Segurança

Utilizar uma estrategia de Rate Limit para WordPress ajuda sua aplicação a limitar o volume de requisições feitos por bots maliciosos e contribui para que seu site fique ainda mais seguro contra tentativas de login por força bruta, DDoS e exploração de vulnerabilidades.

O WordPress é provavelmente o CMS (Content Management System) mais utilizado no Brasil. Segundo uma pesquisa da WordCamp feita em 2020, mais de 75 milhões de sites rodam em WordPress no mundo, o que naturalmente faz com a quantidade de bots e ataques direcionados para essa plataforma sejam frequentes.

Quais as vantagens de aplicar Rate Limit no WordPress?

Economizar recursos de infraestrutura:

O Rate Limit no WordPress ajuda sua aplicação a economizar recursos de infraestrutura, já que os limites de requisições fazem com que bad bots sejam bloqueados, evitando consumo desnecessário de recursos computacionais (infraestrutura) e banda.

Aumento de disponibilidade:

Ataques DDoS na camada 7 fazem com que seu site perca desempenho ou até mesmo que fique offline, caso seu servidor não consiga lidar com todas as requisições.

Protegem dados sensíveis:

Ataques de Brute Force em WordPress com o intuito de testar múltiplos logins e senhas são muito frequentes. Com a implementação do Rate Limit é possível determinar taxas de requisições restritas para áreas sensíveis, inibindo este tipo de ataque.

Possíveis ganhos em performance: 

Considerando que o Rate Limit fará com que sua hospedagem lide apenas com o tráfego legitimo, consequentemente ela não ficará ocupada, o que pode fazer com que você melhore seus tempos de resposta.

Idéias para configuração de Rate Limit no WordPress:

Abaixo, selecionamos algumas idéias para configuração de Rate Limit no WordPress, porém, tenha em mente que cada aplicação pode ter um comportamento diferente, sendo assim, antes de iniciar a tomar medidas de bloqueio, primeira entenda o comportamento de tráfego de sua aplicação.

No inicio, seja generoso em sua configuração de bloqueio:

Para aplicar uma configuração compatível com seu WordPress é necessário antes entender o comportamento legítimo de seu site para evitar falsos positivos, sendo assim, a recomendação é que você inicie sua estratégia de bloqueios sendo generoso.

Exemplo de regra para gerar logs

Dentro da GoCache é possível criar regras com ação de “simular”, onde a plataforma não toma nenhuma ação de bloqueio, mas gera logs de evento. Com isso é possível criar alguma amostragem antes de efetivamente bloquear determinados comportamentos.

Proteja sua área de login no WordPress:

Ataques de brute force são frequentes em sites WordPress desde sua primeira versão, mas nos últimos anos os scripts passaram a usar informações vazadas na internet, utilizando diferentes combinações de usuário e senha para acessar áreas sensíveis.

Recentemente a IBM realizou uma pesquisa que foi conduzida pelo The Harris Poll com resultados preocupantes. Segundo a pesquisa, mais de 60% dos brasileiros já teve dados vazados na internet.

Pensando nisso, é possível criar regras de bloqueio em áreas sensíveis, como /wp-login ou /wp-admin para evitar que bots fiquem tentando realizar login em seu WordPress.

Exemplo de Rate Limit para /wp-login

Atenção: requisições AJAX são bem frequentes em áreas administrativas do WordPress, então fique atento para não criar regras que bloqueiem atividades legitimas.

Se seu tráfego está concentrado no Brasil, considere limitar requisições de outros continentes ou países: 

Principalmente pela de questão de custo, boa parte dos ataques web são feitos a partir de instâncias fora do Brasil. Além disso, se seu negócio tem foco no mercado brasileiro e o tráfego vindo de outras regiões é irrelevante, é possível criar regras de Rate Limit mais rigorosas para lidar com estas requisições que vem de fora.

Limitar volume de requisições em acessos de outros países.

Novamente, reforçamos que é importante entender o comportamento de seu tráfego para não tomar ações de bloqueio desnecessárias. Por exemplo, na regra acima limitamos o volume de requisições na Europa, mas eventualmente podemos ter um volume relevante de acessos elegíveis vindo de Portugal por compartilhar o mesmo idioma, sendo assim, se você tem tráfego elegível vindo deste país, considere não aplicar regras tão restritivas.

Atenção para não bloquear bots legítimos:

É necessário entender quem nem todos os bots que circulam nos sites e aplicações na internet são prejudiciais. Por exemplo, bots do Google, Pinterest, Linkedin e Alexa são legítimos e não devem ser bloqueados.

Desconsidere o bloqueio de bots legítimos

Especificamente na plataforma de Rate Limit da GoCache é possível desconsiderar bots legítimos, como por exemplo:

Alexa botLinximpulse BotMercado Livre Bot
LinkedinBingGoogle ads bot
Google image botGoogle botYahoo
BaiduYandexApple
SogouMSNUptimerobot

Consulte a lista atualizada de bots legítimos em nossa documentação.

Desconsidere conteúdo estático em sua estratégia de Rate Limit:

Boa parte das requisições de seu site provavelmente vem de conteúdo estático, sendo assim, recomenda-se que você não considere a contagem desse conteúdo em sua estratégia de Rate Limit.

Desconsidere conteúdo estático


Use o Rate Limit da GoCache em seu WordPress

Teste gratuitamente por 7 dias e valide nosso recurso de Rate Limit em sua aplicação WordPress!

new RDStationForms(‘newsletter-artigos-blog-842f5cbb60b7ed599409’, ‘UA-47041721-1’).createForm();

Share this entry
  • Share on Facebook
  • Share on Twitter
  • Share on WhatsApp
  • Share on LinkedIn
  • Share on Tumblr
  • Share by Mail
https://www.gocache.com.br/wp-content/uploads/2020/09/rate-limit-wordpress.jpeg 317 545 Go Cache https://www.gocache.com.br/wp-content/uploads/2021/11/gocache-nova-preta.png Go Cache2020-09-16 18:05:202022-01-17 18:35:55Rate Limit para WordPress

Baixe nosso Ebook

Procurar

Últimas publicações

  • Insufficient Logging & Monitoring – O que é? 23 de maio de 2022
  • Improper Assets Management – O que é? 23 de maio de 2022
  • Injection – O que é? 23 de maio de 2022
  • Security Misconfiguration – O que é? 23 de maio de 2022
  • Mass Assignment – O que é? 23 de maio de 2022

Produtos

  • Content Delivery Network
  • SSL
  • Web Application Firewall - WAF
  • Rate Limit
  • Lithio - Otimizador de Imagens
  • Role Based Access Control
  • Plugin para WordPress e Magento

Soluções por vertical

  • Portais de conteúdo e notícias
  • E-Commerce
  • Educação / Edtech
  • Plataformas de E-Commerce
  • Startup
  • Outros

Empresa

  • Central de Ajuda
  • Carreiras
  • Parceiros
  • Blog
  • Contato
  • Planos
  • Cases de Sucesso
  • Datasheet GoCache

Documentação

  • Termos de Uso e Politica de Privacidade
  • API Pública da GoCache
  • Documentação Painel

Acompanhe nosso Blog!

  • Insufficient Logging & Monitoring – O que é?
  • Improper Assets Management – O que é?
  • Injection – O que é?
  • Security Misconfiguration – O que é?
  • Mass Assignment – O que é?
  • Broken Function Level Authorization (BFLA) – O que é?
  • Lack of Resources & Rate Limiting – O que é?
  • Excessive Data Exposure – O que é?
CDN e SEO: Práticas recomendadas para melhorar seus resultados CDN Cache Headers: Aprenda a inspecionar
Scroll to top

Este site utiliza cookies para aprimorar sua navegação. Na GoCache o uso de cookies é feito apenas para reconhecer um visitante constante e melhorar a experiência no uso dos Serviços. Os cookies são pequenos arquivos de dados transferidos de um site da web para o disco do seu computador, e não armazenam dados pessoais. Se preferir, você pode apagar os cookies existentes em seu computador através do browser utilizado.

AceitarRecusarTermo de uso

Cookie and Privacy Settings



How we use cookies

We may request cookies to be set on your device. We use cookies to let us know when you visit our websites, how you interact with us, to enrich your user experience, and to customize your relationship with our website.

Click on the different category headings to find out more. You can also change some of your preferences. Note that blocking some types of cookies may impact your experience on our websites and the services we are able to offer.

Essential Website Cookies

These cookies are strictly necessary to provide you with services available through our website and to use some of its features.

Because these cookies are strictly necessary to deliver the website, refusing them will have impact how our site functions. You always can block or delete cookies by changing your browser settings and force blocking all cookies on this website. But this will always prompt you to accept/refuse cookies when revisiting our site.

We fully respect if you want to refuse cookies but to avoid asking you again and again kindly allow us to store a cookie for that. You are free to opt out any time or opt in for other cookies to get a better experience. If you refuse cookies we will remove all set cookies in our domain.

We provide you with a list of stored cookies on your computer in our domain so you can check what we stored. Due to security reasons we are not able to show or modify cookies from other domains. You can check these in your browser security settings.

Google Analytics Cookies

These cookies collect information that is used either in aggregate form to help us understand how our website is being used or how effective our marketing campaigns are, or to help us customize our website and application for you in order to enhance your experience.

If you do not want that we track your visit to our site you can disable tracking in your browser here:

Other external services

We also use different external services like Google Webfonts, Google Maps, and external Video providers. Since these providers may collect personal data like your IP address we allow you to block them here. Please be aware that this might heavily reduce the functionality and appearance of our site. Changes will take effect once you reload the page.

Google Webfont Settings:

Google Map Settings:

Google reCaptcha Settings:

Vimeo and Youtube video embeds:

Other cookies

The following cookies are also needed - You can choose if you want to allow them:

Privacy Policy

You can read about our cookies and privacy settings in detail on our Privacy Policy Page.

Termos de Uso e Política de Privacidade – GoCache CDN
Accept settingsHide notification only