¿Cómo proteger su sitio de los ataques de fuerza bruta de WordPress?

Escucha este artículo

Ataque de fuerza bruta o (ataque de fuerza bruta) WordPress suprimido incluso antes de que el ataque tenga éxito. Muchos administradores de sitios ven cómo los recursos de su servidor se agotan rápidamente, sus sitios dejan de responder o incluso se bloquean por completo, lo que provoca la prohibición de usuarios reales. El problema es que puede sentirse impotente cuando los bots de fuerza bruta obstruyen la página de inicio de sesión tratando de llegar a su administrador de wp.

Pero no estás indefenso. Si ve múltiples intentos de inicio de sesión fallidos para el mismo usuario, posiblemente desde varias direcciones IP, ha venido al lugar correcto. En este artículo, explicaré cómo se ve un ataque de fuerza bruta de WordPress y cómo proteger su sitio de él.

El contenido del artículo:

• ¿Qué es un ataque de fuerza bruta de WordPress?
• ¿Cómo proteger su sitio de los ataques de fuerza bruta de WordPress?
• Impacto de un ataque de fuerza bruta en WordPress
• Elimina los efectos de la iteración de WordPress
• ¿Es su sitio vulnerable a ataques de fuerza bruta?
• Tipos de ataques de fuerza bruta
• Otras mejores prácticas de seguridad
• Producción

¿Qué es un ataque de fuerza bruta de WordPress?

Ataque de fuerza bruta WordPress son intentos de obtener acceso no autorizado a su wp-admin probando diferentes combinaciones de nombres de usuario y contraseñas. Los piratas informáticos han desarrollado bots que bombardean continuamente la página de inicio de sesión con credenciales a través de prueba y error.

Los bots a menudo prueban una serie de contraseñas de diccionario y, por lo tanto, también se conocen como ataques de diccionario o ataques de adivinación de contraseñas. Los ataques se pueden configurar para que se originen en diferentes direcciones IP y, por lo tanto, eludan las medidas de seguridad básicas. Hay otros tipos de ataques de fuerza bruta, que discutiré más adelante en el artículo.

El objetivo de un ataque de fuerza bruta es obtener acceso a su wp-admin y luego instalar malware en su sitio.

¿Cómo proteger su sitio de los ataques de fuerza bruta de WordPress?

Da miedo experimentar un ataque de fuerza bruta, especialmente porque parece que no hay nada que puedas hacer para detenerlo. Además, los efectos del ataque son inmediatamente visibles. La mayoría de los sitios tienen recursos de servidor limitados que se agotan rápidamente y, a menudo, el sitio atacado se cae por completo.

Afortunadamente, hay muchas cosas que puede hacer para prevenir los ataques de fuerza bruta de WordPress. Aquí hay una lista de pasos de fuerza bruta de WordPress que bloquearán la mayoría de los ataques y mitigarán los peores.

1. Limite el número de intentos de inicio de sesión

La mejor manera de detener un ataque de fuerza bruta de WordPress es limitar la cantidad de intentos de inicio de sesión. Si se ingresa la contraseña incorrecta demasiadas veces en la página de inicio de sesión, la cuenta se bloquea temporalmente. Esto bloquea la efectividad del bot de fuerza bruta, ya que usa prueba y error para adivinar las credenciales. Además, dado que el bot no puede probar varios miles de combinaciones, no se envían solicitudes al servidor y no se gastan recursos en la actividad del bot.

De forma predeterminada, WordPress permite un número ilimitado de intentos de inicio de sesión, por lo que es principalmente susceptible a ataques de fuerza bruta. Con los complementos de seguridad, puede activar automáticamente las restricciones de protección de inicio de sesión.

De hecho, si un usuario ha olvidado legalmente su contraseña, puede resolver un captcha para eludir fácilmente el bloqueo. Por lo tanto, limitar los intentos de inicio de sesión evita que los bots de fuerza bruta se infiltren sin afectar negativamente a los usuarios reales.

2. Bloquee los bots malos y no deseados

Los ataques de fuerza bruta casi siempre son realizados por bots. Los bots son pequeños programas diseñados para realizar una tarea simple repetidamente, lo que los hace ideales para ataques de fuerza bruta. El bot probará una serie de credenciales en la página de inicio de sesión hasta que encuentre una coincidencia.

Además, más de 25% de todo el tráfico del sitio web proviene de bots, por lo que existen muchos sistemas de seguridad que protegen contra los bots. Sin embargo, hay que hacer una distinción importante aquí: no todos los bots son malos. Hay buenos, como otros rastreadores de motores de búsqueda y bots de monitoreo de tiempo de actividad.

Desea que puedan acceder a su sitio, por lo que es importante obtener una protección contra bots que bloquee de manera inteligente solo los bots dañinos y no deseados. Hay muchos complementos anti-bot como All In One WP Security y Wordfence Security, pero de forma predeterminada bloquean todos los bots, incluido Googlebot.

3. Instale un firewall de aplicaciones web

La protección de inicio de sesión es protección contra ataques de fuerza bruta, mientras que el firewall es protección contra todo tipo de ataques; incluida la fuerza bruta.

Los cortafuegos usan reglas para bloquear el tráfico malicioso y hacen mucho para proteger su sitio web. Además, los cortafuegos mitigan uno de los problemas más graves de los ataques de fuerza bruta (la tensión excesiva en los recursos del servidor) al bloquear las solicitudes incorrectas repetidas.

Los ataques de fuerza bruta a menudo se configuran para atacar desde múltiples direcciones IP y, por lo tanto, pueden pasar por alto la mayoría de los firewalls. Sin embargo, con un firewall, su sitio web se convierte en parte de la protección global de la propiedad intelectual. El cortafuegos aprende qué direcciones IP son maliciosas en función del comportamiento registrado en más de 153 470 sitios web y bloquea activamente su tráfico. Estas medidas reducen en gran medida la cantidad de tráfico malo a su sitio antes de que el bot pueda incluso piratear la página de inicio de sesión de su sitio.

4. Agregue autenticación de dos factores a WordPress

Los nombres de usuario y las contraseñas se pueden adivinar, por lo que la autenticación de dos factores, o incluso la autenticación de múltiples factores, surgió como una forma de tener elementos dinámicos para la autenticación de usuarios. Con la autenticación de dos factores, se transfiere al dispositivo del usuario un token de inicio de sesión en tiempo real, como una OTP o un código QR. Tiene una duración limitada, normalmente de 10 a 15 minutos, y solo puede autenticar al usuario para esa sesión.

Un token adicional es difícil de piratear aparte del inicio de sesión y la contraseña. Por lo tanto, agrega otra capa de seguridad a la página de inicio de sesión. Puede instalar un complemento como WP 2FA para agregar fácilmente la autenticación de dos factores a su sitio.

5. Usa contraseñas seguras y únicas

El mayor fallo de seguridad es el propio usuario y, en consecuencia, las contraseñas establecidas por él. Las contraseñas son la mayor vulnerabilidad en cualquier sistema de seguridad debido a la tendencia humana (comprensible) de establecer contraseñas fáciles de recordar y reutilizarlas para diferentes cuentas. Estos son en realidad dos problemas de contraseña separados y diferentes.

- Primero, nunca reutilice contraseñas para diferentes cuentas. Muchos bots de fuerza bruta usan contraseñas robadas debido a la fuga de datos para atacar las páginas de inicio de sesión.

- En segundo lugar, como comprenderá, una contraseña como "contraseña" es muy fácil de adivinar. Use un mínimo de 12 caracteres incomprensibles o, mejor aún, use una frase de contraseña como su contraseña.

Recomiendo usar un administrador de contraseñas como LastPass o 1Password para evitar la reutilización de contraseñas y crear contraseñas seguras según sea necesario. Si sospecha que una cuenta se ha visto comprometida, puede forzar un restablecimiento de todas las contraseñas.

6. Deshabilitar XML-RPC en WordPress

Un archivo XML-RPC es otra forma de autenticar a los usuarios. En otras palabras, es una forma alternativa de acceder a su panel de administración, por lo que también es susceptible a ataques de fuerza bruta. Este es un archivo en gran parte obsoleto que muchos complementos o temas no utilizan activamente. Todavía está incluido en WordPress por compatibilidad con versiones anteriores y, por lo tanto, es relativamente seguro desactivarlo.

7. Verifique y elimine regularmente las cuentas de usuario no utilizadas

Las cuentas inactivas a menudo son el objetivo de los piratas informáticos porque existe la posibilidad de que los usuarios no se den cuenta si sus cuentas son pirateadas. Además, las cuentas inactivas tienen las mismas contraseñas durante largos períodos de tiempo, lo que facilita la fuerza bruta.

Por lo tanto, verifique periódicamente las cuentas de usuario y elimine las que no se utilicen activamente. Para ganar puntos extra, asegúrese de que cada cuenta tenga los derechos de usuario mínimos necesarios para administrar su cuenta. Por ejemplo, es imprudente hacer que todos sean administradores.

8. Considera el geobloqueo en WordPress

Si ve mucho tráfico de bots desde un lugar, puede bloquear todo el país. Sin embargo, aconsejo precaución al usar el bloqueo geográfico. Esto solo es útil si no espera ningún usuario legítimo de la ubicación.

Además, tenga en cuenta que puede mantener buenos bots fuera de esa región. Por ejemplo, Googlebot puede ejecutarse desde cualquiera de sus servidores en el mundo, y definitivamente desea que Googlebot acceda a su sitio.

9. Deshabilitar la exploración de directorios

De forma predeterminada, la mayoría de las carpetas y archivos principales de WordPress son de acceso público a través del navegador. Por ejemplo, puede ingresar yourwebsite.ru/wp-includes en la barra de direcciones de su navegador, y todo el contenido de la carpeta será visible de inmediato.

Aunque la exploración de directorios no es una vulnerabilidad en sí misma, puede revelar información sobre un sitio, que a su vez se puede utilizar para explotar vulnerabilidades.

La carpeta /wp-content contiene complementos y temas, y si un pirata informático puede ver cuáles están instalados y sus números de versión, puede encontrar y explotar vulnerabilidades. Este es un tipo menos popular de ataque de fuerza bruta llamado ataque de fuerza bruta. Por lo tanto, como medida de precaución, tiene sentido deshabilitar por completo la exploración de directorios.

Soluciones que puede conocer en otros lugares pero que no debe implementar en su sitio

Hay muchos consejos de seguridad bien intencionados pero muy malos por ahí. Entonces, además de esta lista de qué hacer, también enumeraré qué no hacer.

• Proteja el directorio wp-admin con una contraseña: no lo hagas en absoluto. Aparece en casi todos los artículos sobre prevención de fuerza bruta. La contraseña que protege el directorio wp-admin romperá AJAX para usuarios no registrados al restringir el acceso al archivo admin-ajax.php. AJAX se usa a menudo para respaldar los aspectos dinámicos de los sitios web. Supongamos que tiene una barra de búsqueda en su sitio. Si un visitante lo usa para buscar productos, solo se recargarán los resultados de la búsqueda, no todo el sitio web. Esto ahorra muchos recursos y acelera y mejora enormemente la experiencia del usuario de los sitios web. También verá muchas soluciones para excluir el archivo admin-ajax.php, pero no siempre funcionan sin problemas. La conclusión es que el esfuerzo que implican las soluciones alternativas no refleja un nivel de seguridad proporcional. Así que este es un gran paso para un pequeño beneficio adicional.
• cambio de URL de inicio de sesión de wp: Este consejo se encuentra a menudo en artículos sobre cómo reforzar la seguridad de WordPress. Sin embargo, recomiendo encarecidamente no cambiar la URL de inicio de sesión, ya que es casi imposible recuperarla si se pierde. (a menos, por supuesto, que lo tenga escrito, en una hoja de papel en una caja fuerte)
• Evite usar admin como nombre de usuario: Debido a que los bots de fuerza bruta intentan adivinar combinaciones de nombre de usuario/contraseña, tiene sentido evitar nombres de usuario obvios como admin. WordPress no le permite cambiar los nombres de usuario desde el panel de control, por lo que deberá instalar un complemento para hacerlo. Sin embargo, esta medida tiene un valor limitado y le aconsejo que no dedique demasiado tiempo y esfuerzo a ella. Hay otras formas de recuperar nombres de usuario de ciertos tipos de sitios, como los sitios de membresía. El esfuerzo requerido para tener nombres de usuario únicos para los miembros, hacer cumplir la política y luego lidiar con las consecuencias inevitables de que las personas olviden sus nombres de usuario únicos no vale la pena por el beneficio limitado.

Impacto de un ataque de fuerza bruta en WordPress

Hay dos formas de pensar en las consecuencias de un ataque de fuerza bruta. Primero, qué sucede durante el ataque y segundo, qué sucede si el ataque tiene éxito.

Por lo general, la primera pregunta no surge con frecuencia en los ataques porque hay poco o ningún impacto en el sitio web cuando está siendo atacado. Las consecuencias se hacen evidentes después de un ataque exitoso. Sin embargo, esto no se aplica a los ataques de fuerza bruta.

¿Qué sucede cuando su sitio es de fuerza bruta?

Verá un impacto inmediato en los recursos del servidor. Dado que el ataque está bombardeando su página de inicio de sesión con solicitudes, el servidor debe responder a cada una de ellas. Por lo tanto, verá todas las consecuencias de aumentar el uso del servidor en su sitio web: sitio web más lento, algunos usuarios no pueden iniciar sesión, tiempo de inactividad, falta de disponibilidad, etc. Los servidores web también limitan rápidamente el uso del servidor, ya que esto afectará su rendimiento, especialmente si está utilizando un alojamiento compartido.

¿Qué sucede si un ataque de fuerza bruta tiene éxito?

Si el ataque tiene éxito, es razonable esperar malware o algún tipo de corrupción. Hay varias razones por las que los piratas informáticos quieren acceder a su sitio, y ninguna de ellas es buena.

Si eso no es suficiente, su sitio web podría convertirse en parte de una botnet y usarse para atacar otros sitios web sin su consentimiento. Esto puede tener graves consecuencias, ya que otros sistemas de seguridad marcan tu sitio web como malicioso si forma parte de una botnet.

Elimina los efectos de la iteración de WordPress

Si un ataque de fuerza bruta tuvo éxito, debe asumir lo peor: su sitio ha sido comprometido. Por lo tanto, su primera prioridad es proteger su sitio. Estos son los pasos principales que debe seguir para limitar el daño:

1. Forzar el cierre de sesión de todos los usuarios y cambiar todas las contraseñas;
2. Escanee su sitio en busca de malware inmediatamente.

Una vez que se haya asegurado de que su sitio esté libre de malware, siga los pasos de prevención enumerados anteriormente.

¿Es su sitio vulnerable a ataques de fuerza bruta?

Sí, todos los sistemas son vulnerables a los ataques de fuerza bruta. Debido a la forma en que funcionan, los ataques de fuerza bruta se pueden lanzar contra cualquier sistema con una página de inicio de sesión. Los sitios web de WordPress no son diferentes. La popularidad de WordPress lo convierte en un objetivo para los piratas informáticos.

• Primero, es porque la mayor parte de Internet funciona con WordPress.
• Segundo, porque algunos aspectos de WordPress son bien conocidos.

En un ejemplo particularmente relevante para los ataques de fuerza bruta, WordPress no restringe los intentos de inicio de sesión no válidos. Puede solucionar esto con la función de restricción de inicio de sesión con complementos de seguridad.

Además, muchos propietarios de sitios tienden a usar nombres de usuario y contraseñas que son fáciles de recordar. Los más comunes incluyen admin como nombre de usuario y contraseña 1234 o 12345678 como contraseña. Estos factores hacen que su sitio sea vulnerable a los ataques de fuerza bruta.

Tipos de ataques de fuerza bruta

Los ataques de fuerza bruta son diferentes de otros tipos de amenazas y ataques como los ataques de ingeniería social o los ataques XSS. Los ataques de ingeniería social, como el phishing, manipulan a las personas para que compartan sus credenciales haciéndose pasar por una persona de confianza, mientras que los ataques XSS aprovechan las vulnerabilidades de un sitio web. Los ataques de fuerza bruta se basan en credenciales débiles o robadas para tener éxito.

Verá varias variedades de ataques de fuerza bruta en la naturaleza. Todos siguen el mismo patrón de prueba y error, pero las credenciales que prueban o el mecanismo que utilizan pueden diferir. Estos son algunos de los tipos más comunes de ataques de fuerza bruta:

• Ataques simples: Los ataques simples de fuerza bruta utilizan la lógica para adivinar las credenciales en función de su conocimiento del usuario, como nombres de mascotas o cumpleaños obtenidos, por ejemplo, de sitios de redes sociales.
• Rellenando credenciales: este tipo de ataque explota los datos pirateados basándose en la suposición de que los usuarios tienden a usar los mismos nombres de usuario y contraseñas en varios sistemas.
• Ataque de diccionario: como sugiere el nombre, estos bots usan archivos de diccionario para las contraseñas. Puede ser un diccionario real o uno especialmente creado para adivinar una contraseña.
• Ataques de mesa arcoiris: Similar a un ataque de diccionario, una tabla arcoíris es un tipo especial de lista de diccionario. En lugar de una lista de contraseñas, la tabla del arco iris contiene una lista de contraseñas cifradas.
• Pulverización de contraseñas: Este tipo de ataque es lógicamente un ataque de fuerza bruta. En los ataques típicos de fuerza bruta, el objetivo es un nombre de usuario específico y el juego de adivinanzas se juega con una contraseña. Por el contrario, en el rociado de contraseñas, una lista de contraseñas se compara con varios nombres de usuario para encontrar una coincidencia potencial. Este es un ataque más distribuido que uno dirigido.

Como administrador del sitio, es posible que no necesite conocer las diferencias entre los diferentes tipos de ataques de fuerza bruta. Sin embargo, estos términos a menudo se usan indistintamente, por lo que es útil comprender los mecanismos subyacentes.

Otras mejores prácticas de seguridad

Prevenir los ataques de fuerza bruta de WordPress es un gran objetivo, pero es solo una parte de la seguridad del sitio web. Estos son algunos de los mejores consejos para ayudar a proteger su sitio contra malware:

1. Instale un complemento de seguridad con un buen escáner y limpiador de malware;
2. Mantenga todo actualizado (tema, complementos, wp);
3. Utilice copias de seguridad diarias.

Producción

Los ataques de fuerza bruta pueden derribar un sitio web incluso si no tienen éxito. La mejor manera de lidiar con esta amenaza potencial es instalar un firewall con protección contra bots incorporada.

Incluso si un ataque de fuerza bruta tiene éxito, el firewall lo ayudará a detectar malware y eliminarlo rápidamente. Como con todas las infecciones, una acción rápida limitará en gran medida el daño.

Leyendo este artículo:

• ¿Cómo bloquear un país en WordPress?
• Inyección SQL de WordPress: una guía completa para proteger

Gracias por leer: AYUDANTE DE SEO | NICOLA.TOP