Detener ataques de inyección de código en mi web

Buenos días. Llevo todo el día recibiendo correos electrónicos desde Wordpress de mi web con el siguiente texto (oculto la dirección de mi web):

---------------------------------------------------------------------------------------------------------------------
This email was sent from your website "xxx.com" by the Wordfence plugin at Thursday 11th of July 2019 at 10:36:08 AM
The Wordfence administrative URL for this site is: http://xxx.com/wp-admin/admin.php?page=Wordfence
The Wordfence Web Application Firewall has blocked 630 attacks over the last 10 minutes. Below is a sample of these recent attacks:

julio 11, 2019 10:36am 213.85.19.151 (Russian Federation) Blocked for SQL Injection in query string: attribute_pa_color=gris-mar1111111111111" UNION SELECT CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51�
julio 11, 2019 10:36am 213.85.19.151 (Russian Federation) Blocked for SQL Injection in query string: add-to-cart=14781111111111111' UNION SELECT CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,�
julio 11, 2019 10:36am 213.85.19.151 (Russian Federation) Blocked for SQL Injection in query string: add-to-cart=12431111111111111 UNION SELECT CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,8�
julio 11, 2019 10:36am 213.85.19.151 (Russian Federation) Blocked for SQL Injection in query string: share=facebook1111111111111 UNION SELECT CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,�
julio 11, 2019 10:36am 213.85.19.151 (Russian Federation) Blocked for SQL Injection in query string: attribute_pa_color=gris-mar1111111111111" UNION SELECT CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51�
julio 11, 2019 10:36am 213.85.19.151 (Russian Federation) Blocked for SQL Injection in query string: add-to-cart=12421111111111111" UNION SELECT CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,�
julio 11, 2019 10:36am 213.85.19.151 (Russian Federation) Blocked for SQL Injection in query string: add-to-cart=18181111111111111 UNION SELECT CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,8�
julio 11, 2019 10:36am 213.85.19.151 (Russian Federation) Blocked for SQL Injection in query string: add-to-cart=12421111111111111" UNION SELECT CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,�
julio 11, 2019 10:36am 213.85.19.151 (Russian Federation) Blocked for SQL Injection in query string: add-to-cart=18181111111111111 UNION SELECT CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,8�
julio 11, 2019 10:36am 213.85.19.151 (Russian Federation) Blocked for SQL Injection in query string: add-to-cart=14601111111111111' UNION SELECT CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,�
--------------------------------------------------------------------------------------------------------------------------

Entiendo que son ataques de inyección de código o algo así. ¿Se puede parar de alguna manera?, ¿qué están intentando hacer?. Llevo todo el día con la web muy lenta muy lenta y me imagino que será por esto. Recibo un correo cada 5 minutos y la IP de los ataques cambia de vez en cuando, algunos son desde Colombia y otros desde Rusia, por lo que me imagino que lo harán a través de proxys o algo así.
Cualquier tipo de información que me podáis dar es de agradecer.

Un saludo

Si siempre intentan acceder a una misma url.

paginaweb.com/add-to-cart=14601111111111111

Mete una redirección 301 a otra página, aunque no sé si es la mejor solución ya que las peticiones seguirán entrando.

Gracias, pero, ¿qué intentan hacer?. Desde Worfence me da la cadena completa de la URL que intentan usar, no se si hacer clic en ella a ver qué pasa o mejor estarme quietecito.

De casualidad mostraste antes tu web en forobeta??

Activa en Wordfence la opción "estoy bajo un ataque" o informa al hosting para que lo bloqueen.

Ante un ataque de estas características, te digo que están intentando acceder a tus archivos de la web, login, control total, etc... Todo ello para poner publicidad en tu web y que les genere a ellos dinerito, o bien, si son listos y tienes un ecommerce, cambiar la cuenta destino ante los pagos que se hagan... Suerte, espero que no te pillen la web 🙂

Estan probando a ver si sacan una sqli, si tienes actualizado el wp y sus plugins no deberías de tener problema ya que la última vulnerabilidad sqli en wordpress fue detectada el 22-03-2019 WordPress Plugin Form Maker 1.13.3 - SQL Injection en el plugin form-maker, por eso te digo que si tienes todo actualizado no van a hackearte, eso sí, por precaución cambia las credenciales de acceso y revisa que tengas todo actualizado.

Activa la protección anti DDoS en cloudflare (si no tienes cuenta haces una) y listo, bloqueará los bot puesto que no pasan la seguridad.

No uso wordfence actualmente, pero tenia una opcion si mal no recuerdo para poner en blacklist temporalmente esas ip.

No están haciendo un ataque ddos sino un ataque sqli según muestra el log, por lo que la protección antiddos no va a funcionar, en cuanto a bloquear las ip's aunque es una opción si el o los atacantes están utilizando balanceadores de ip's no servirá de nada, de hecho y si el o los atacantes tienen algo de conocimientos y no son el tipico lammer muy posiblemente esté atacando desde la red tor por lo que la ip cambiará cada 10 minutos o cada vez que el atacante quiera cambiarla, además, según se ve en el log que muestra, se están haciendo peticiones de forma manual ya que estas están siendo dirigidas a url's distintas, por lo que me inclino a que no están utilizando ninguna herramienta automatizada como sqlmap.

La ip que figura en el log 213.85.19.151 ya está metida en algunas blacklist

Bienvenido [MENTION=142457]pumi[/MENTION], eso pasa todo el tiempo.

Si tu sitio/tienda no vende a RUSIA, entonces bloquea tranquilamente el rango de IPs en htaccess, y ya.
Asegurate que WordPress y los plugins que utilices esten actualizados. Suerte! :cerveza: