No existe tal cosa como un sistema impenetrable en Internet. Desde pequeñas empresas hasta instalaciones gubernamentales, los piratas informáticos suelen explotar las debilidades en línea. Una de las más comunes de estas amenazas es el ataque de “fuerza bruta”.
De hecho, su sitio probablemente experimente miles de estos por día sin que se dé cuenta.
Y debido a la frecuencia con la que ocurren estos intentos, siempre es una buena idea proteger WordPress de los ataques de fuerza bruta.
Recuerde, una onza de prevención vale una libra de cura. Lo que significa que unos momentos hoy te salvarán de una migraña masiva más adelante.
Hoy, le mostraré cómo agregar la protección de fuerza bruta de WordPress y reducir en gran medida los riesgos de las amenazas en línea.
¿Qué es un ataque de fuerza bruta?
Un ataque de » fuerza bruta » es cuando un hacker o bot intentará una gran cantidad de nombres de usuario y contraseñas hasta que encuentre el correcto. Y la mayoría comenzará con el nombre de usuario de inicio de sesión predeterminado más común: » admin «.
Según el nivel de dificultad de las credenciales de inicio de sesión, un ataque de fuerza bruta podría tardar de segundos a literalmente días en obtener acceso.
Sin embargo, muchos sistemas hoy en día monitorearán intentos rápidos como este y colocarán en la lista negra la dirección IP entrante del atacante. Esto significa que tendrá que usar otro punto de acceso a Internet para volver a intentarlo.
Una vez que el hacker tiene las credenciales de inicio de sesión de la cuenta de administrador en WordPress, puede causar todo tipo de estragos.
Entonces, ¿cómo agrega seguridad a WordPress para limitar los ataques de fuerza bruta?
WordPress Protect: protección de inicio de sesión de fuerza bruta mejorada
Una de las opciones más potentes es la de WordPress Protect . Es un sistema que desarrollamos en GreenGeeks con administradores de sistemas y proveedores externos que protege todos los sitios de WordPress en nuestros servidores.
En 2017, descubrimos que la plataforma no solo estaba protegida contra 180 000 intentos de fuerza bruta por día, sino que también redujo los tiempos de carga de la página en un 13 %.
Si usa GreenGeeks para alojar su sitio web de WordPress , no tendrá que hacer nada. Es una adición automática que no requiere ninguna acción por su parte.
El sistema funciona al realizar un seguimiento de cuántos intentos de inicio de sesión se generan dentro de un período de tiempo específico. Si los intentos fallan con demasiada frecuencia, la conexión se estrangulará.
Esencialmente, es un escudo contra la fuerza bruta que siempre está activo… manteniendo a nuestros clientes protegidos en todo momento.
Use los complementos de fuerza bruta de WordPress
Los complementos son la sangre vital de WordPress. El uso de las mejores herramientas de fuerza bruta de WordPress disminuirá en gran medida las amenazas a su sitio.
Uno de mis complementos de seguridad favoritos es Wordfence . Es una herramienta gratuita que monitoreará su sitio en busca de una variedad de diferentes tipos de amenazas de seguridad, incluidos los ataques de fuerza bruta.
Sin embargo, Wordfence no es el único complemento excelente disponible para WordPress. Hay una serie de herramientas extremadamente populares y de alta calificación que puede instalar ahora mismo para comenzar a proteger el sitio de inmediato.
Y la mayoría de ellos ofrecen protección de fuerza bruta de forma gratuita.
Usar autenticación de dos fábricas
Un método muy eficaz para evitar el acceso no autorizado a WordPress es el de utilizar la autenticación de dos factores . Aquí es cuando un pirata informático necesitará sus credenciales, así como un método externo para acceder al sitio.
En muchos casos, las personas utilizarán mensajes de texto SMS como parte del proceso de inicio de sesión. Esto se debe a que es muy poco probable que un pirata informático obtenga acceso a su sitio mediante un ataque de fuerza bruta mientras se aferra a su teléfono inteligente.
En realidad, muchas grandes empresas utilizarán la autenticación de dos factores de una forma u otra. Por ejemplo, la plataforma de juegos Steam utilizará una aplicación de teléfono inteligente para verificar que está iniciando sesión en el sitio web.
Ocultar o mover la pantalla de inicio de sesión de WordPress
Ocultar o mover la pantalla de inicio de sesión de WordPress elimina la mayoría de los ataques de fuerza bruta automatizados. Eso es porque cambia la URL predeterminada que se usa cuando se instala WordPress.
Si los piratas informáticos no conocen la dirección, no pueden llamar a su puerta.
Puedes personalizar las URL al instalar WordPress manualmente . Pero, ¿qué sucede si ya tiene un sitio que está en funcionamiento? Ahí es cuando usaría complementos como WPS Hide Login .
Algunos de estos complementos le darán la oportunidad de personalizar la URL de su página de inicio de sesión a algo completamente aleatorio o algo más exclusivo para sus necesidades.
Usar credenciales de inicio de sesión de administrador personalizadas
De forma predeterminada, WordPress crea una cuenta de «administrador» al instalar. Ahora puede cambiar esta cuenta de administrador a cualquier otro nombre que desee, y le sugiero que lo haga.
¿Porqué es eso?
Porque «admin» es el nombre de usuario más común. Es una cuenta predeterminada y, por lo general, lo primero que intentan los piratas informáticos en un ataque de fuerza bruta. En otras palabras, les está entregando la mitad de las credenciales de inicio de sesión desde el principio.
Personalmente, elimino la cuenta de «administrador» y creo algo único para cada sitio que administro. A veces incluso añado números entre las letras del nombre de usuario para hacerlo más difícil.
Directorio de administración protegido con contraseña
Otro método común para proteger WordPress es proteger con contraseña la carpeta de administración . Si usa algo como cPanel , puede usar «Privacidad de directorio» para evitar el acceso a la pantalla de inicio de sesión y otros recursos de administración.
Esto significa que los piratas informáticos deberán conocer las credenciales del directorio incluso antes de ver la pantalla de inicio de sesión de WordPress.
Piense en ello como agregar un cerrojo a la puerta de su casa. Si bien puede tomar unos minutos adicionales girar ambas llaves, sigue siendo una protección superior en comparación con la cerradura en el pomo de la puerta.
Además, la mayoría de los bots de fuerza bruta automatizados omitirán este proceso porque están buscando específicamente la URL de la página de inicio de sesión de su sitio web.
Mantenga WordPress siempre actualizado
Una buena regla general para proteger WordPress es asegurarse siempre de que el núcleo, los complementos y los temas estén actualizados. Si bien es posible que esto no evite los ataques de fuerza bruta, como los métodos que mencioné anteriormente, es una buena práctica para mantener.
Esto se debe a que los piratas informáticos buscan cualquier explotación de un sitio web. Los archivos desactualizados o programados incorrectamente pueden abrir la puerta para que los piratas informáticos inserten sus propias credenciales de inicio de sesión en una base de datos.
Entonces, en lugar de un ataque de fuerza bruta, simplemente pueden iniciar sesión como administradores.
Afortunadamente, puede configurar WordPress para que actualice los archivos automáticamente de varias maneras para que no tenga que acordarse de hacerlo. Esto brinda a los desarrolladores de complementos y temas la oportunidad de corregir cualquier vulnerabilidad y ayudar a mantener su propio sitio protegido.
Esto incluye configurar los archivos principales de WordPress para que también se actualicen automáticamente .
Mantenga siempre una copia de seguridad
Otra buena práctica a seguir es siempre asegurarse de tener una copia de seguridad actualizada de su sitio web . Esta es una medida «por si acaso» y, con suerte, nunca tendrá que restaurar desde una copia de seguridad.
Sin embargo, ser capaz de recuperarse rápidamente después de un ataque de fuerza bruta le ahorrará tiempo y datos perdidos.
Tienes muchas opciones para complementos de copia de seguridad en WordPress . Algunos incluso guardarán archivos directamente en plataformas de almacenamiento en la nube como Dropbox, Google Drive o Microsoft OneDrive.
Cualquiera de estos sistemas le brindará un método redundante para recuperar su sitio en caso de que un hacker tenga éxito con un ataque de fuerza bruta. Solo recuerde tapar cualquier agujero en el sitio para evitar que el pirata informático vuelva a tener éxito.
Nunca subestime la necesidad de proteger WordPress
Cualquiera de los métodos anteriores es extremadamente útil. Sin embargo, no debe limitarse a uno o dos de ellos. Cuanto más esfuerzo pones, más protegido se vuelve el sitio.
WordPress es un sistema sólido para crear sitios web. Pero nunca asuma que tiene suficiente protección para mantener sus archivos y visitantes seguros en última instancia. Pasar unos momentos ahora para bloquear el sitio vale la pena en comparación con lo que puede perder.
¿Qué plugins de seguridad de WordPress son tus favoritos? ¿Con qué frecuencia ha cambiado complementos antiguos no compatibles por versiones más nuevas?