O problema
O site era a principal porta de entrada digital de uma campanha a deputada estadual. Em abril de 2026 ele sofreu um ataque em dois tempos: primeiro um hack via plugin do WordPress que injetou redirecionamentos para um site de apostas turco, e em seguida um DDoS massivo, originado principalmente da Índia, que gerou 534,9 milhões de requests em cerca de 24 horas.
Não havia equipe de TI. A resposta foi inteiramente conduzida por mim, em paralelo às demandas normais da operação.
O diagnóstico
Os logs do Cloudflare revelaram o padrão: IPs concentrados em três ranges (um deles com 81,7M de requests sozinho), método GET massivo via desktop, pico entre 18h e 21h. No segundo momento, o ataque evoluiu para força bruta em wp-login.php e wp-admin-ajax.php — tentativa de tomar o controle administrativo do WordPress.
A resposta técnica
- Under Attack Mode no Cloudflare (desafio em todos os acessos)
- Managed Rules e regras customizadas bloqueando os ranges atacantes
- Bot Fight Mode para tráfego com assinatura de bot
- Rate limiting em
wp-login.phpewp-admin-ajax.php - Sanitização do banco via SQL para remover os redirecionamentos injetados
- Restauração via backup no cPanel e remoção do plugin vulnerável
O resultado
O site ficou no ar durante todo o ataque. 533,87M de requests foram mitigados pelo Cloudflare antes de chegar ao servidor. O tráfego legítimo não foi afetado e as proteções seguem ativas, sem novo incidente.
A lição: resposta a crise não é velocidade, é sequência certa. Diagnosticar antes de agir.