Protégete de ataques de fuerza bruta en WordPress sin ser Karate Kid

  • noviembre 3, 2020

Si tiene un blog o sitio web, ya debería tenerlos oído hablar de ataques de fuerza bruta en WordPress. Es posible que incluso los haya recibido y experimentado de primera mano.

De hecho, hace algún tiempo en WordPress hubo grandes estallidos de ataques masivos de fuerza bruta. Este es el tipo de ataque que ocurre con mayor frecuencia en el mundo.

Para que comprenda mejor cuál es el problema, le diré como dicen, ataques de fuerza bruta. Lo haré de la manera más fácil, porque comprenderlo te ayudará a protegerte.

Comenzamos con el hecho de que necesitas un nombre de usuario y una contraseña para acceder a tu blog.

UNA ataque de fuerza bruta lo que hace es probar las combinaciones de contraseñas junto con los usuarios que de forma predeterminada suelen estar en la configuración de WordPress, como un «administrador» conocido.

Entonces, es un intento de usuario / contraseña: admin / 12345678, admin / qwerty.

¡Hasta que tengas acceso a tu blog y control total!

Formas de cometer ataques de fuerza bruta en WordPress

Teniendo en cuenta lo anterior, existen 2 formas de hacerlo ataque de fuerza bruta en WordPress.

Como puede ver, el mayor problema para comprender qué es un ataque es tienes que hacer millones de combinaciones para poder encontrar el adecuado y acceder a su sitio.

Pero los ataques no son tan aleatorios y hay formas de reducir las posibles combinaciones y manejar una gran cantidad de intentos de inicio de sesión. En particular, estas son las siguientes formas:

  • Análisis preliminar del sitio web para saber quiénes son sus usuarios.
  • Utilizar gran potencia de procesamiento, con supercomputadoras o redes de computadoras.
  • Conociéndote personalmente

Ataques automáticos de fuerza bruta

Este tipo de ataques los llevan a cabo bots (programas informáticos que deambulan por Internet) y redes zombies (equipos infectados con virus o gusanos que forman una gran red con mucho procesamiento y son controlados por un hacker).

Si el bot o programa responsable del ataque es avanzado, anteriormente hiciste un escaneo para obtener una lista de usuarios. Si está mal protegido y esto es posible, esto refinará aún más el ataque.

Para evitarlo, intente colocar en su sitio web: http://yourdomain.com/?author=1 y suba sucesivamente el número secuencialmente. ¿Es tu nombre de usuario?

En caso de que los usuarios no trabajen en ellos (hiciste algo bien), lo intentará con los nombres predeterminados como «administrador».

En un ataque de contraseña Las contraseñas aleatorias a menudo se combinan con ataques de diccionario.donde las palabras de los diccionarios de idiomas más comunes se verifican como contraseñas.

Ataques de fuerza bruta en los manuales de WordPress

A veces dan más miedo que los anteriores, ya que se trata de ataques cometidos por “conocidos”.

Y supo realizar un poco de ingeniería social, es posible que sepan más sobre usted de lo que piensa y será más fácil para ellos tener éxito al intentar iniciar sesión.

Verifican el usuario típico que tiene normalmente o su apodo en línea. Y para obtener la contraseña, probarán el nombre de su mascota, la fecha del aniversario, el nacimiento de los niños o una combinación de los mismos.

Conocer al enemigo es una gran defensa

Revisa lo que ya has leído y tendrás una lista lo que debe hacer para protegerse:

  1. Utilice contraseñas seguras: más de 8 caracteres y combina números, números y símbolos en mayúsculas y minúsculas. Entonces, las combinaciones que deben hacerse hasta encontrarlas son innumerables.
  2. Contraseña No debería tener nada que ver contigo: No estar en un diccionario de ningún idioma (hombre, si sabes navajo, lo mismo te funciona). 😉
  3. Tu nombre es de el usuario no tiene que ser un «administrador»: y ciertamente no será visible en WordPress. Hay formas de ocultar esto.
  4. No deje su nombre de usuario y contraseña especificados y visibles en ninguna parte.
  5. Si necesita realizar millones de intentos para encontrar una contraseña, bloquear errores de entrada si se ejecuta más de un número seguido, por ejemplo 5. De esta forma, la IP se bloqueará temporalmente y no podrás seguir intentándolo.
  6. Si encuentra una IP que realiza ataques continuos, arréglalo para siempre.
  7. Incluye doble inicio de sesión: protección del archivo wp-admin (o uso de autenticación doble).

Herramientas para ayudarlo a protegerse de los ataques de fuerza bruta en WordPress

Para hacer lo anterior, existen herramientas que pueden ayudarlo a proteger su WordPress.

Puedes usar https://howsecureismypassword.net/ para verificar la contraseña y cuánto tiempo tomará piratear una computadora de escritorio típica. En otro artículo te enseñaré cómo crear contraseñas seguras y cómo recordarlas y almacenarlas, así que no se dé de baja si no quiere perderse.

Puede cambiar el nombre de usuario utilizando complementos como iThemes Security o, si tiene problemas, cámbielo directamente a phpMyAdmin.

También utilizando el complemento de seguridad anterior o Wordfence Security, puede restringir los intentos de inicio de sesión y ocultar el nombre de usuario utilizando el campo de alias en la configuración del usuario. Si solo desea restringir los intentos, también puede usar el complemento «Restringir intentos de inicio de sesión» (pero recomiendo los anteriores, ya que no se ha actualizado en mucho tiempo y debe eliminarse de inmediato).

Otra opción es utilizar un servidor que tenga seguridad especializada en WordPress, como Webempresa. También restringen los intentos de inicio de sesión y bloquean las direcciones IP que rastrean su blog.

Por último, para realizar un doble login, puedes proteger el directorio wp-admin con una contraseña o utilizar sistemas de autenticación dual, que, por ejemplo, te enviarán un código SMS a tu móvil.

¿Ya no tienes miedo de los ataques de fuerza bruta?

Es cierto que este es el ataque más común y muchos sitios web los enfrentan. pero su sitio será más seguro si sigue estos consejos y aplica estas medidas. Además, te sentirás a gusto ante la mayoría de ataques de este tipo.

Ahora, incluso si recibe estos correos electrónicos sobre intentos de inicio de sesión, no serán motivo de frustración.

Y tú, ¿aplicas alguna medida adicional que yo no apliqué aquí? Dime en los comentarios.

No Comments Found