A verdade sobre hospedagem WordPress e ataques DDoS: como plugins GPL podem te salvar
Você acha que só grandes sites sofrem ataques DDoS? Errado. Pequenos e médios sites WordPress são os alvos preferidos por terem proteção fraca. E a maioria dos tutoriais repete o básico: ‘use um CDN, contrate uma hospedagem cara’. Mas a realidade é que com plugins GPL bem configurados, você pode mitigar 90% dos ataques sem gastar rios de dinheiro.
Por que plugins GPL são sua melhor aposta contra DDoS
Plugins GPL (General Public License) são gratuitos ou de baixo custo, mas poderosos. Enquanto soluções empresariais como Cloudflare ou Sucuri cobram caro, você pode alcançar proteção similar com ferramentas open source. O segredo? Não é o plugin em si, mas como você o configura.
Configuração avançada de plugins de segurança GPL para DDoS
Vou te mostrar as configurações que ninguém ensina:
1. Bloqueio de IPs por falha de login
Não basta limitar tentativas de login. Use plugins como Limit Login Attempts Reloaded (GPL) e configure o bloqueio permanente após 3 falhas. Mas vá além: integre com Wordfence (versão gratuita) para bloquear faixas de IP inteiras de países suspeitos (Rússia, China, Ucrânia, etc).
2. Firewall de aplicação web (WAF) via .htaccess
O plugin 5G Blacklist (GPL) adiciona regras de bloqueio diretamente no .htaccess. Combine com WP Cerber (gratuito) para criar whitelists e blacklists de IPs. Isso reduz o tráfego malicioso em 70%.
3. Rate limiting no servidor
Não espere o plugin fazer tudo. Acesse o cPanel ou SSH e configure o mod_evasive (Apache) ou nginx_rate_limit (Nginx). Limite requisições por IP a 10 por segundo. Ataques DDoS geralmente usam bots com mais de 100 req/s.
A lacuna que você nunca viu: a camada de rede
Plugins atuam na camada de aplicação (HTTP). Mas ataques DDoS volumétricos (L3/L4) saturam a largura de banda. Aqui, a hospedagem faz diferença. Escolha provedores que ofereçam mitigação de rede gratuita, como Vultr, DigitalOcean ou Linode (com failover). Mas se você está com orçamento apertado, configure iptables no servidor para bloquear portas não usadas e limitar ICMP.
O manual de guerra: passo a passo para imunizar seu WordPress
- Instale Wordfence (gratuito) e Limit Login Attempts.
- Ative o firewall do Wordfence: vá em Wordfence > Firewall > Configure, e mude o nível para ‘High Protection’.
- No Limit Login Attempts, configure: máximo de 3 tentativas, bloqueio por 24 horas, e notificação por e-mail.
- Edite o .htaccess e adicione as regras do 5G Blacklist.
- No servidor, instale fail2ban para banir IPs que excederem 20 conexões por minuto.
- Para DDoS volumétrico, contrate uma hospedagem com proteção de rede ou use um proxy reverso como Cloudflare (plano gratuito). Configure para ‘Under Attack Mode’ durante ataques.
Conclusão: o mito da segurança paga
Você não precisa gastar US$ 100/mês em segurança. Com plugins GPL e configurações cirúrgicas, seu WordPress aguenta enxurradas de tráfego. Mas lembre-se: nenhuma proteção é 100%. Tenha backups diários e um plano de contingência. Agora pare de ler tutoriais genéricos e coloque essas configurações em prática.