¿Qué es un ataque de fuerza bruta?
Brute Force Attack es un método de piratería que utiliza técnicas de prueba y error para ingresar a un sitio web, una red o un sistema informático.
Los piratas informáticos utilizan software automatizado para enviar una gran cantidad de solicitudes al sistema de destino. Con cada solicitud, este software intenta adivinar la información necesaria para obtener acceso, como contraseñas o códigos PIN.
Estas herramientas también pueden disfrazarse mediante el uso de diferentes direcciones IP y ubicaciones, lo que dificulta que el sistema objetivo identifique y bloquee estas actividades sospechosas.
Un ataque de fuerza bruta exitoso puede dar a los piratas informáticos acceso al área de administración de su sitio web. Pueden instalar software malicioso, robar información del usuario y eliminar todo en su sitio.
Incluso los ataques fallidos de fuerza bruta pueden causar estragos al enviar demasiadas solicitudes, lo que ralentiza los servidores de alojamiento de WordPress e incluso los bloquea.
Dicho esto, echemos un vistazo a cómo proteger su sitio de WordPress de los ataques de fuerza bruta.
Paso 1. Instale un complemento de firewall de WordPress
Los ataques de fuerza bruta ponen mucha carga en sus servidores. Incluso los que no tienen éxito pueden ralentizar su sitio web o bloquear completamente el servidor. Por eso es importante bloquearlos antes de que lleguen a su servidor.
Para hacer eso, necesitará una solución de firewall para sitios web. Un firewall filtra el tráfico malicioso y lo bloquea para que no acceda a su sitio.
Hay dos tipos de firewalls de sitios web que puede utilizar.
Cortafuegos a nivel de aplicación – Estos cortafuegos plugins examine el tráfico una vez que llegue a su servidor, pero antes de cargar la mayoría de los scripts de WordPress. Este método no es tan eficiente porque un ataque de fuerza bruta aún puede afectar la carga de su servidor.
Cortafuegos de sitios web a nivel DNS – Estos cortafuegos enrutan el tráfico de su sitio web a través de sus servidores proxy en la nube. Esto les permite enviar solo tráfico genuino a su servidor de alojamiento web principal mientras aumenta la velocidad y el rendimiento de WordPress.
Recomendamos usar Sucuri. Es el líder de la industria en seguridad de sitios web y el mejor firewall de WordPress del mercado. Dado que es un firewall de sitio web de nivel DNS, significa que todo el tráfico de su sitio web pasa por su proxy donde se filtra el tráfico malo.
Usamos Sucuri en nuestro sitio web, y puede leer nuestra revisión completa de Sucuri para obtener más información.
Paso 2. Instale las actualizaciones de WordPress
Algunos ataques de fuerza bruta comunes se dirigen activamente a vulnerabilidades conocidas en versiones anteriores de WordPress, el popular WordPress plugins, o temas.
Núcleo de WordPress y WordPress más popular plugins son de código abierto y las vulnerabilidades a menudo se solucionan muy rápidamente con una actualización. Sin embargo, si no instala las actualizaciones, dejará su sitio web vulnerable a esas viejas amenazas.
Simplemente ve a Panel de control »Actualizaciones página en el área de administración de WordPress para comprobar si hay actualizaciones disponibles. Esta página mostrará todas las actualizaciones para su núcleo de WordPress, pluginsy temas.
Para obtener más detalles, consulte nuestra guía sobre cómo actualizar correctamente WordPress plugins.
Paso 3. Proteger el directorio de administración de WordPress
La mayoría de los ataques de fuerza bruta en un sitio de WordPress intentan obtener acceso al área de administración de WordPress. Puede agregar protección con contraseña en su directorio de administración de WordPress a nivel de servidor. Esto bloquearía el acceso no autorizado a su área de administración de WordPress.
Simplemente inicie sesión en su panel de control de alojamiento de WordPress (cPanel) y haga clic en el icono ‘Privacidad del directorio’ en la sección Archivos.
Nota: Estamos usando Bluehost en nuestra captura de pantalla, pero hay configuraciones similares disponibles en otras compañías de hosting importantes, así como SiteGround, HostGator, etc.
A continuación, debe ubicar la carpeta wp-admin y hacer clic en el nombre de la carpeta.
cPanel ahora le pedirá que proporcione un nombre para la carpeta restringida, el nombre de usuario y la contraseña. Después de ingresar esta información, haga clic en el botón Guardar para almacenar su configuración.
Su directorio de administración de WordPress ahora está protegido con contraseña. Verá un nuevo mensaje de inicio de sesión cuando visite su área de administración de WordPress.
Si se encuentra con un error 404 o un mensaje de error con demasiados redireccionamientos, debe agregar la siguiente línea a su archivo .htaccess de WordPress.
ErrorDocument 401 default
Para obtener más detalles, consulte nuestro artículo sobre cómo proteger con contraseña el directorio de administración de WordPress.
Paso 4. Agregar autenticación de dos factores en WordPress
La autenticación de dos factores agrega una capa de seguridad adicional a su pantalla de inicio de sesión de WordPress. Básicamente, los usuarios necesitarán que sus teléfonos generen un código de acceso único junto con sus credenciales de inicio de sesión para acceder al área de administración de WordPress.
Agregar autenticación de dos factores dificultará el acceso de los piratas informáticos incluso si pueden descifrar su contraseña de WordPress.
Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo agregar autenticación de dos factores en WordPress
Paso 5. Utilice contraseñas seguras únicas
Las contraseñas son las claves para acceder a su sitio de WordPress. Debe utilizar contraseñas seguras únicas para todas sus cuentas. Una contraseña segura es una combinación de números, letras y caracteres especiales.
Es importante que utilice contraseñas seguras no solo para sus cuentas de usuario de WordPress, sino también para FTP, el panel de control de alojamiento web y su base de datos de WordPress.
La mayoría de los principiantes nos preguntan cómo recordar todas estas contraseñas únicas. Bueno, no es necesario. Hay excelentes aplicaciones de administración de contraseñas disponibles que almacenarán de forma segura sus contraseñas y las completarán automáticamente por usted.
Para obtener más información, consulte nuestra guía para principiantes sobre la mejor manera de administrar las contraseñas de WordPress.
Paso 6. Desactive la exploración de directorios
De forma predeterminada, cuando su servidor web no encuentra un archivo de índice (es decir, un archivo como index.php o index.html), muestra automáticamente una página de índice que muestra el contenido del directorio.
Durante un ataque de fuerza bruta, los piratas informáticos pueden utilizar la exploración de directorios para buscar archivos vulnerables. Para solucionar este problema, debe agregar la siguiente línea en la parte inferior de su archivo .htaccess de WordPress.
Options -Indexes
Para obtener más detalles, consulte nuestro artículo sobre cómo deshabilitar la exploración de directorios en WordPress.
Paso 7. Deshabilite la ejecución de archivos PHP en carpetas específicas de WordPress
Los piratas informáticos pueden querer instalar y ejecutar un script PHP en sus carpetas de WordPress. WordPress está escrito principalmente en PHP, lo que significa que no puede deshabilitarlo en todas las carpetas de WordPress.
Sin embargo, hay algunas carpetas que no necesitan ningún script PHP. Por ejemplo, su carpeta de cargas de WordPress ubicada en / wp-content / uploads.
Puede deshabilitar de forma segura la ejecución de PHP en la carpeta de cargas, que es un lugar común que usan los piratas informáticos para ocultar archivos de puerta trasera.
Primero, debe abrir un editor de texto como el Bloc de notas en su computadora y pegar el siguiente código:
<Files *.php> deny from all </Files>
Ahora, guarde este archivo como .htaccess y cárguelo en / wp-content / uploads / carpetas en su sitio web usando un cliente FTP.
Paso 8. Instale y configure un complemento de copia de seguridad de WordPress
Las copias de seguridad son la herramienta más importante en su arsenal de seguridad de WordPress. Si todo lo demás falla, las copias de seguridad le permitirán restaurar fácilmente su sitio web.
La mayoría de las empresas de alojamiento de WordPress ofrecen opciones de copia de seguridad limitadas. Sin embargo, estas copias de seguridad no están garantizadas y usted es el único responsable de realizar sus propias copias de seguridad.
Hay varias copias de seguridad excelentes de WordPress plugins, que le permiten programar copias de seguridad automáticas.
Recomendamos usar UpdraftPlus. Es amigable para principiantes y le permite configurar rápidamente copias de seguridad automáticas y almacenarlas en ubicaciones remotas como Google Drive, Dropbox, Amazon S3 y más.
Para obtener instrucciones paso a paso, consulte nuestra guía sobre cómo hacer una copia de seguridad y restaurar su sitio de WordPress con UpdraftPlus
Todos los consejos mencionados anteriormente lo ayudarán a proteger su sitio de WordPress contra ataques de fuerza bruta. Para una configuración de seguridad más completa, debe seguir las instrucciones de nuestra guía de seguridad definitiva de WordPress para principiantes.
Esperamos que este artículo le haya ayudado a aprender a proteger su sitio de WordPress de los ataques de fuerza bruta. También puede estar atento a las señales de que su WordPress está pirateado y cómo arreglar un sitio de WordPress pirateado.
Si le gustó este artículo, suscríbase a nuestro Canal de Youtube . También puedes encontrarnos en Twitter y Facebook.
.