Blog de guebs

Desarrollo web

3 medidas para paliar el incremento de ataques de fuerza bruza contra WordPress

Aitor Ortuondo — 17 de febrero, 2014 @ 08:503 comentarios

4 Flares 4 Flares ×

Desde hace unos meses la cantidad e intensidad de los ataques de fuerza bruta contra WordPress está siendo muy elevada. En este artículo os vamos a recomendar tomar ciertas medidas que evitarán el éxito del ataque en vuestros sitios web.

El objetivo de estos ataques es adivinar el usuario/contraseña para acceder al panel de administración de WordPress, de forma que puedan controlar el sitio web y hacer las modificaciones que consideren oportunas.

Para conseguir su objetivo usan un software que automáticamente prueba a iniciar sesión en el wp-login.php de un WordPress, usando combinaciones de usuario/contraseña diferentes, hasta que finalmente consiguen acertar con alguna combinación correcta.

Medidas que nosotros hemos tomado

Nosotros hemos tomado diferentes medidas para disminuir la intensidad de los ataques, tanto a nivel de red como a nivel de los servidores.

Por ejemplo, estamos analizando todas peticiones HTTP contra wp-login.php y bloqueando aquellos que cumplan ciertos requisitos que hemos establecido. Gracias a esta medida detenemos un altísimo porcentaje de los ataques de fuerza bruta.

¿Que medidas puedes tomar tu?

1 – No uses el nombre de usuario predeterminado

En la mayoría de sitios WordPress el nombre de usuario del administrador es admin y los atacantes lo saben. Por tanto, cada vez que instales un nuevo WordPress (o cualquier CMS) procura que el login del administrador no sea admin.

2 – Usa contraseñas complejas

Dada las características del ataque es evidente que cuando más compleja sea tu contraseña, más difícil será que el ataque de fuerza bruta consiga adivinar tu contraseña.

Una contraseña compleja es 1$&.TEMp%a.BFs8d, cualquier contraseña de la que puedas acordarte fácilmente no es una buena contraseña.

3 – Instala un plugin que limite el número de intentos de login

Hay varios plugins disponibles para WordPress que bloquean a cualquier usuario que al intentar iniciar sesión introduce una combinación erronea de usuario/contraseña.

Estos plugins, lógicamente también bloquean los ataques de fuerza bruta, aunque dependiendo de las características del ataque no lo hacen de forma completa. Hay ataques que se realizan desde miles de IPs diferentes, por lo que antes de bloquear todo el ataque es posible que puedan hacer 4000 o más intentos, suficientes en muchos casos para adivinar tu contraseña.

Entre los plugins disponibles, te recomendamos instalar Limit Login Attempts, ya que no hay necesidad de configurarlo, funciona nada más activarlo.

Como instalar el plugin Limit Login Attempts

Muy fácil. Accede al Panel de Administración de tu WordPress y una vez dentro vete a “Plugins > Añadir nuevo”. Una vez allí busca Limit Login Attempts:

Seguridad WordPress 1

El resultado de esa busqueda te dará el plugin Limit Login Attempts como primer resultado:

Instalar Limit Login Attempts

Pincha en el enlace Instalar ahora:

Instalar Limit Login Attempts 3

Y por último, haz click en el enlace Activar plugin.

4 Flares Twitter 0 Facebook 0 Google+ 0 Buffer 4 LinkedIn 0 Email -- 4 Flares ×

Etiquetas:

Sobre el autor de este artículo

Aitor Ortuondo es fundador de guebs, donde se dedica a hacer un poco de todo: atender a los clientes, desarrollar nuevas funcionalidades, escribir en este blog, supervisar la infraestructura técnica, comprar el cafe, ...

De vez en cuando publica algo en Twitter y .

Comentarios de los usuarios

  1. Marta Iraola dice:

    Gracias por el post.

    Os hacemos caso … como siempre !

    Aitor … por fin te pongo cara !!! Je je je

    S2

  2. Gracias Marta!

    Ese plugin lo instala softaculous, pero para que lo haga hay que seleccionar la opción de instalarlo. En cualquier caso, hay muchos wordpress sin el plugin y conviene tenerlo.

    Un saludo!

  3. ATE dice:

    Muchísimas gracias Aitor!!

    Gracias por el servicio y la información que nos dáis.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Categorías

Etiquetas

.EUS concurso correo cpd Dominios guebs hosting logo marte mi@guebs mysql Nuevos gTLD passenger PHP rails Revendedor ruby Ruby on Rails Servidor Cloud Servidor Cloud Premium sh1 sh2 SH3 sh4 sh5 sh6 sh7 sh9 spam WordPress

Histórico

Sindicar

Puedes sindicar el contenido de este blog en tu lector de noticias usando alguna de las siguientes formas:

Ya es hora de disfrutar de un hosting de calidad

contrata ahora
España México Colombia Peru Ecuador Chile Europa Reino Unido Euskera
© Ekostat Informatica, S.L. - Aviso Legal
css.php
4 Flares Twitter 0 Facebook 0 Google+ 0 Buffer 4 LinkedIn 0 Email -- 4 Flares ×