Cómo proteger su sitio WordPress de ataques de fuerza bruta (Paso a Paso)

¿Quieres proteger tu sitio de WordPress de ataques de fuerza bruta? Estos ataques pueden ralentizar su sitio web, hacerlo inaccesible e incluso descifrar sus contraseñas para instalar malware en su sitio web. En este artículo, le mostraremos cómo proteger su sitio de WordPress de ataques de fuerza bruta.

¿Qué es un Ataque de Fuerza Bruta?

El Ataque de Fuerza Bruta es un método de hacking que utiliza técnicas de ensayo y error para entrar en un sitio web, una red o un sistema informático.

Los hackers utilizan software automatizado para enviar un gran número de solicitudes al sistema de destino. Con cada solicitud, este software intenta adivinar la información necesaria para obtener acceso, como contraseñas o códigos PIN.

Estas herramientas también pueden disfrazarse utilizando diferentes direcciones y ubicaciones IP, lo que dificulta que el sistema objetivo identifique y bloquee estas actividades sospechosas.

Un ataque de fuerza bruta exitoso puede dar a los hackers acceso al área de administración de su sitio web. Pueden instalar backdoor, malware, robar información de usuario y eliminar todo lo que haya en su sitio.

Incluso los ataques de fuerza bruta sin éxito pueden causar estragos enviando demasiadas peticiones que ralentizan los servidores de alojamiento de WordPress e incluso los bloquean.

Dicho esto, echemos un vistazo a cómo proteger su sitio de WordPress de ataques de fuerza bruta.

Paso 1. Instalar un plugin de WordPress Firewall

Los ataques de fuerza bruta ponen mucha carga en sus servidores. Incluso los que no tienen éxito pueden ralentizar su sitio web o bloquear completamente el servidor. Por eso es importante bloquearlos antes de que lleguen a su servidor.

Para ello, necesitará una solución de cortafuegos para sitios web. Un firewall filtra el tráfico malo y bloquea el acceso a su sitio.

Hay dos tipos de firewalls de sitios web que puede utilizar.

Application Level Firewall – Estos plugins de firewall examinan el tráfico una vez que llega a su servidor pero antes de cargar la mayoría de los scripts de WordPress. Este método no es tan eficiente porque un ataque de fuerza bruta puede afectar la carga de su servidor.

Firewall de sitios web de nivel DNS – Estos firewall dirigen el tráfico de su sitio web a través de sus servidores proxy en nube. Esto les permite enviar sólo el tráfico genuino a su servidor de alojamiento web principal, mientras que da un impulso a su velocidad y rendimiento de WordPress.

Recomendamos usar Sucuri. Es el líder de la industria en seguridad de sitios web y el mejor firewall de WordPress del mercado. Dado que es un cortafuegos para sitios web de nivel DNS, significa que todo el tráfico de su sitio web pasa a través de su proxy, donde se filtra el tráfico malo.

Utilizamos Sucuri en nuestro sitio web, y usted puede leer nuestra revisión completa de Sucuri para obtener más información.

Paso 2. Instalar actualizaciones de WordPress

Algunos ataques de fuerza bruta comunes atacan activamente vulnerabilidades conocidas en versiones anteriores de WordPress, plugins de WordPress populares o temas.

El núcleo de WordPress y los plugins más populares de WordPress son de código abierto y las vulnerabilidades a menudo se solucionan muy rápidamente con una actualización. Sin embargo, si no puede instalar las actualizaciones, entonces deja su sitio web vulnerable a esas viejas amenazas.

Simplemente vaya a la página Dashboard » Updates en el área de administración de WordPress para buscar actualizaciones disponibles. Esta página mostrará todas las actualizaciones de su núcleo, plugins y temas de WordPress.

Para más detalles, vea nuestra guía sobre cómo actualizar correctamente los plugins de WordPress.

Paso 3. Proteger el directorio administrativo de WordPress

La mayoría de los ataques de fuerza bruta en un sitio de WordPress están tratando de obtener acceso al área de administración de WordPress. Puede agregar protección con contraseña en su directorio de administración de WordPress a nivel de servidor. Esto bloquearía el acceso no autorizado a su área de administración de WordPress.

Simplemente ingrese a su panel de control de alojamiento de WordPress (cPanel) y haga clic en el ícono dePrivacidad del Directorio en la sección de Archivos.

Nota: Estamos usando Bluehost en nuestra captura de pantalla, pero configuraciones similares están disponibles en otras empresas de hosting como SiteGround, HostGator, etc.

A continuación, debe localizar la carpeta wp-admin y hacer clic en el nombre de la carpeta.

cPanel le pedirá que proporcione un nombre para la carpeta restringida, el nombre de usuario y la contraseña. Después de introducir esta información, haga clic en el botón Guardar para guardar su configuración.

Su directorio de administración de WordPress está ahora protegido por contraseña. Verá una nueva ventana de inicio de sesión cuando visite su área de administración de WordPress.

Si te encuentras con un error 404 o demasiados mensajes de redireccionamiento, entonces necesitas añadir la siguiente línea a tu archivo WordPress.htaccess.

1ErrorDocument 401 default

Para más detalles, vea nuestro artículo sobre cómo proteger con contraseña el directorio de administración de WordPress.

Paso 4. Añadir autenticación de dos factores en WordPress

La autenticación de dos factores añade una capa de seguridad adicional a la pantalla de inicio de sesión de WordPress. Básicamente, los usuarios necesitarán que sus teléfonos generen un código de acceso único junto con sus credenciales de inicio de sesión para acceder al área de administración de WordPress.

Agregar la autenticación de dos factores hará más difícil que los hackers obtengan acceso incluso si son capaces de descifrar su contraseña de WordPress.

Para instrucciones detalladas paso a paso, vea nuestra guía sobre cómo agregar la autenticación de dos factores en WordPress

Paso 5. Usar contraseñas seguras únicas

Las contraseñas son las claves para acceder a tu sitio de WordPress. Necesita utilizar contraseñas seguras únicas para todas sus cuentas. Una contraseña segura es una combinación de números, letras y caracteres especiales.

Es importante que utilice contraseñas seguras no sólo para sus cuentas de usuario de WordPress, sino también para FTP, panel de control de alojamiento web y su base de datos de WordPress.

La mayoría de los principiantes nos preguntan cómo recordar todas estas contraseñas únicas? Bueno, no es necesario. Hay excelentes aplicaciones de gestión de contraseñas disponibles que almacenarán de forma segura sus contraseñas y las rellenarán automáticamente por usted.

Para obtener más información, consulte nuestra guía para principiantes sobre la mejor manera de administrar contraseñas para WordPress.

Paso 6. Desactivar la navegación por el directorio

Por defecto, cuando su servidor web no encuentra un archivo de índice (es decir, un archivo como index.php o index.html), muestra automáticamente una página de índice que muestra el contenido del directorio.

Durante un ataque por fuerza bruta, los hackers pueden utilizar la exploración de directorios para buscar archivos vulnerables. Para corregir esto, necesitas añadir la siguiente línea en la parte inferior de tu archivo WordPress.htaccess.

1Opciones – Índices

Para más detalles, vea nuestro artículo sobre cómo desactivar la navegación por el directorio en WordPress.

Paso 7. Desactivar la ejecución de archivos PHP en carpetas específicas de WordPress

Los hackers pueden querer instalar y ejecutar un script PHP en sus carpetas de WordPress. WordPress está escrito principalmente en PHP, lo que significa que no se puede desactivar en todas las carpetas de WordPress.

Sin embargo, hay algunas carpetas que no necesitan ningún script PHP. Por ejemplo, la carpeta de carga de WordPress que se encuentra en /wp-content/uploads.

Puede desactivar de forma segura la ejecución de PHP en la carpeta uploads, que es un lugar común que los hackers utilizan para ocultar archivos de puerta trasera.

Primero, necesita abrir un editor de texto como el Bloc de notas en su ordenador y pegar el siguiente código:

123deny de todos

Ahora, guarde este archivo como .htaccess y cárguelo en las carpetas /wp-content/uploads/ de su sitio web utilizando un cliente FTP.

Paso 8. Instalar y configurar un plugin de WordPress Backup

Las copias de seguridad son la herramienta más importante en su arsenal de seguridad de WordPress. Si todo lo demás falla, entonces las copias de seguridad le permitirán restaurar fácilmente su sitio web.

La mayoría de las empresas de alojamiento de WordPress ofrecen opciones de copia de seguridad limitada. Sin embargo, estas copias de seguridad no están garantizadas, y usted es el único responsable de hacer sus propias copias de seguridad.

Hay varios plugins de copia de seguridad de WordPress, que le permiten programar copias de seguridad automáticas.

Recomendamos usar UpdraftPlus. Es fácil para principiantes y le permite configurar rápidamente copias de seguridad automáticas y almacenarlas en ubicaciones remotas como Google Drive, Dropbox, Amazon S3, y más.

Para instrucciones paso a paso, vea nuestra guía sobre cómo hacer copias de seguridad y restaurar su sitio WordPress con UpdraftPlus

Todos los consejos mencionados anteriormente le ayudarán a proteger su sitio WordPress contra ataques de fuerza bruta. Para una configuración de seguridad más completa, debe seguir las instrucciones de nuestra guía de seguridad de WordPress para principiantes.

Esperamos que este artículo le haya ayudado a aprender a proteger su sitio WordPress de ataques de fuerza bruta. También puedes buscar los signos que indican que tu WordPress ha sido pirateado y cómo corregir un sitio de WordPress pirateado.

Si te ha gustado este artículo, suscríbete a nuestros tutoriales de vídeo de YouTube Channel for WordPress. También puede encontrarnos en Twitter y Facebook.

Deja un comentario