Rate Limit para WordPress
Utilizar uma estrategia de Rate Limit para WordPress ajuda sua aplicação a limitar o volume de requisições feitos por bots maliciosos e contribui para que seu site fique ainda mais seguro contra tentativas de login por força bruta, DDoS e exploração de vulnerabilidades.
O WordPress é provavelmente o CMS (Content Management System) mais utilizado no Brasil. Segundo uma pesquisa da WordCamp feita em 2020, mais de 75 milhões de sites rodam em WordPress no mundo, o que naturalmente faz com a quantidade de bots e ataques direcionados para essa plataforma sejam frequentes.
Quais as vantagens de aplicar Rate Limit no WordPress?
Economizar recursos de infraestrutura:
O Rate Limit no WordPress ajuda sua aplicação a economizar recursos de infraestrutura, já que os limites de requisições fazem com que bad bots sejam bloqueados, evitando consumo desnecessário de recursos computacionais (infraestrutura) e banda.
Aumento de disponibilidade:
Ataques DDoS na camada 7 fazem com que seu site perca desempenho ou até mesmo que fique offline, caso seu servidor não consiga lidar com todas as requisições.
Protegem dados sensíveis:
Ataques de Brute Force em WordPress com o intuito de testar múltiplos logins e senhas são muito frequentes. Com a implementação do Rate Limit é possível determinar taxas de requisições restritas para áreas sensíveis, inibindo este tipo de ataque.
Possíveis ganhos em performance:
Considerando que o Rate Limit fará com que sua hospedagem lide apenas com o tráfego legitimo, consequentemente ela não ficará ocupada, o que pode fazer com que você melhore seus tempos de resposta.
Idéias para configuração de Rate Limit no WordPress:
Abaixo, selecionamos algumas idéias para configuração de Rate Limit no WordPress, porém, tenha em mente que cada aplicação pode ter um comportamento diferente, sendo assim, antes de iniciar a tomar medidas de bloqueio, primeira entenda o comportamento de tráfego de sua aplicação.
No inicio, seja generoso em sua configuração de bloqueio:
Para aplicar uma configuração compatível com seu WordPress é necessário antes entender o comportamento legítimo de seu site para evitar falsos positivos, sendo assim, a recomendação é que você inicie sua estratégia de bloqueios sendo generoso.
Exemplo de regra para gerar logs
Dentro da GoCache é possível criar regras com ação de “simular”, onde a plataforma não toma nenhuma ação de bloqueio, mas gera logs de evento. Com isso é possível criar alguma amostragem antes de efetivamente bloquear determinados comportamentos.
Proteja sua área de login no WordPress:
Ataques de brute force são frequentes em sites WordPress desde sua primeira versão, mas nos últimos anos os scripts passaram a usar informações vazadas na internet, utilizando diferentes combinações de usuário e senha para acessar áreas sensíveis.
Recentemente a IBM realizou uma pesquisa que foi conduzida pelo The Harris Poll com resultados preocupantes. Segundo a pesquisa, mais de 60% dos brasileiros já teve dados vazados na internet.
Pensando nisso, é possível criar regras de bloqueio em áreas sensíveis, como /wp-login ou /wp-admin para evitar que bots fiquem tentando realizar login em seu WordPress.
Exemplo de Rate Limit para /wp-login
Atenção: requisições AJAX são bem frequentes em áreas administrativas do WordPress, então fique atento para não criar regras que bloqueiem atividades legitimas.
Se seu tráfego está concentrado no Brasil, considere limitar requisições de outros continentes ou países:
Principalmente pela de questão de custo, boa parte dos ataques web são feitos a partir de instâncias fora do Brasil. Além disso, se seu negócio tem foco no mercado brasileiro e o tráfego vindo de outras regiões é irrelevante, é possível criar regras de Rate Limit mais rigorosas para lidar com estas requisições que vem de fora.
Limitar volume de requisições em acessos de outros países.
Novamente, reforçamos que é importante entender o comportamento de seu tráfego para não tomar ações de bloqueio desnecessárias. Por exemplo, na regra acima limitamos o volume de requisições na Europa, mas eventualmente podemos ter um volume relevante de acessos elegíveis vindo de Portugal por compartilhar o mesmo idioma, sendo assim, se você tem tráfego elegível vindo deste país, considere não aplicar regras tão restritivas.
Atenção para não bloquear bots legítimos:
É necessário entender quem nem todos os bots que circulam nos sites e aplicações na internet são prejudiciais. Por exemplo, bots do Google, Pinterest, Linkedin e Alexa são legítimos e não devem ser bloqueados.
Desconsidere o bloqueio de bots legítimos
Especificamente na plataforma de Rate Limit da GoCache é possível desconsiderar bots legítimos, como por exemplo:
| Alexa bot | Linximpulse Bot | Mercado Livre Bot |
| Bing | Google ads bot | |
| Google image bot | Google bot | Yahoo |
| Baidu | Yandex | Apple |
| Sogou | MSN | Uptimerobot |
Consulte a lista atualizada de bots legítimos em nossa documentação.
Desconsidere conteúdo estático em sua estratégia de Rate Limit:
Boa parte das requisições de seu site provavelmente vem de conteúdo estático, sendo assim, recomenda-se que você não considere a contagem desse conteúdo em sua estratégia de Rate Limit.
Desconsidere conteúdo estático