Breaking

Post Top Ad

Your Ad Spot

sábado, 12 de octubre de 2019

Defiende tu sitio web de WordPress contra los ataques de fuerza bruta

Si eres bastante nuevo en WordPress o un desarrollador experimentado, te sorprenderá la frecuencia con la que tus sitios web están bajo ataque. También es posible que se pregunte quién o qué está llevando a cabo este tipo de actividad, sin mencionar por qué lo atacarían.
Las respuestas son simples. En la mayoría de los casos, el mal actor es un bot automatizado. Y te están apuntando simplemente porque estás ejecutando WordPress. Como el Sistema de gestión de contenido (CMS) más popular, está directamente en la mira de los actores maliciosos.
Si bien hay todo tipo de ataques diferentes flotando por ahí, la variedad de fuerza bruta se encuentra entre las más populares. Y ese es nuestro tema para hoy.
Echemos un vistazo a qué son los ataques de fuerza bruta y algunas formas en que puede proteger mejor su sitio web de WordPress.

¿Qué es un ataque de "fuerza bruta"?

Un ataque de fuerza bruta, según Wikipedia :
"... consiste en un atacante que envía muchas contraseñas o frases de contraseña con la esperanza de eventualmente adivinar correctamente".
En el mundo real, esto significa que un script malicioso se ejecuta repetidamente, ingresando nombres de usuario y contraseñas en la página de inicio de sesión de WordPress. Es posible ver cientos o incluso miles de intentos como este por día.
Por supuesto, si todo esto fuera completamente al azar, sería bastante difícil iniciar sesión con éxito en un sitio web utilizando dicha técnica. Pero hay dos razones principales por las que estos ataques a veces pueden funcionar:
  1. El uso de credenciales de inicio de sesión débiles, como el uso de un nombre de usuario y una contraseña muy comunes.
  2. Usar credenciales que se han filtrado previamente en otro lugar.
Si alguno de estos escenarios está en su lugar, eso aumenta las probabilidades de un ataque exitoso. Y una vez que el atacante tiene acceso a su panel de WordPress, puede causar todo tipo de estragos.
Pero incluso si no tienen éxito, estos ataques pueden ser tanto una molestia como una pérdida de recursos del servidor. Por lo tanto, es importante establecer políticas que puedan ayudar a mitigar su daño.
Código binario en la pantalla de una computadora.

Formas de contraatacar

Afortunadamente, hay varias cosas que puede hacer para proteger mejor su sitio web de WordPress contra ataques de fuerza bruta. El más básico es establecer medidas de seguridad de sentido común , como el uso de contraseñas seguras y prácticamente cualquier otra cosa que no sea "admin" como nombre de usuario. Estos pasos por sí solos al menos harán que su sitio sea más difícil de descifrar.
Sin embargo, hay algunas acciones aún más fuertes que puede tomar, que incluyen:

Limite el acceso a la página de inicio de sesión

Dependiendo de la configuración de su servidor web, puede considerar bloquear el acceso a la página de inicio de sesión de WordPress a todos menos a un grupo específico o rango de direcciones IP. En un servidor Apache, por ejemplo, esto podría hacerse a través del archivo .htaccess .
La advertencia es que esta estrategia depende de que los administradores tengan una dirección IP estática. En entornos corporativos, este sería probablemente el caso. Sin embargo, otros escenarios pueden hacer que este método sea más difícil. La documentación oficial de WordPress tiene algunos consejos adicionales que vale la pena ver.
Otro enfoque es proteger con contraseña la página de inicio de sesión en el nivel del servidor. Si bien esto agrega un poco de inconveniente, ayuda a garantizar que solo los usuarios autorizados tengan acceso al tablero.

Utiliza un complemento

Hay una serie de complementos de WordPress que están dedicados a la seguridad, con varias características de oferta diseñadas para proteger contra ataques de fuerza bruta. Algunas de las opciones más populares incluyen:
La función " Proteger " de Jetpack , que bloqueará los intentos de inicio de sesión no deseados.
Wordfence emplea varias medidas específicas de inicio de sesión, como autenticación de dos factores , reCAPTCHA y protección de fuerza bruta . También hay un complemento complementario que se centra únicamente en la seguridad de inicio de sesión.
Login LockDown es un complemento diseñado para limitar los intentos de fuerza bruta. Bloquea automáticamente las direcciones IP infractoras después de un número determinado de inicios de sesión fallidos.
iThemes Security ofrece varias protecciones relacionadas con el inicio de sesión, incluida la protección de fuerza bruta , la autenticación de dos factores y la capacidad de cambiar el nombre de la/wp-admin/carpeta para frustrar a los bots.

Emplear un CDN / Firewall

Las redes de entrega de contenido (CDN) no solo mejoran el rendimiento de su sitio web, sino que ofrecen el beneficio adicional de servir como una barrera entre los bots maliciosos y su instalación de WordPress.
Los proveedores de CDN a menudo incluyen métodos para bloquear direcciones IP o incluso países enteros para que no accedan a su sitio (o, al menos, a su tablero). Dependiendo del servicio que utilice, también puede haber protecciones específicamente dirigidas a detener los ataques de fuerza bruta.
La belleza de este enfoque es que puede aligerar significativamente la carga en su servidor web. ¿Cómo? Los atacantes son detenidos por el firewall de la CDN antes de que lleguen a su sitio. Es como tener un matamoscas gigante frente a su casa, rechazando las plagas antes de que lleguen a la puerta de su casa.
Un martillo rompiendo vidrio.

Cuando se trata de seguridad, sea proactivo

Desafortunadamente, no hacer nada para combatir los inicios de sesión de fuerza bruta no es una opción viable. Estos ataques son ubicuos e implacables. Y el paisaje ciertamente no parece que mejore por sí solo. Por lo tanto, depende de nosotros tomar medidas preventivas.
Afortunadamente, no es realmente tan difícil. Las opciones anteriores, aunque no son 100% perfectas, son bastante fáciles de implementar. Y cada uno hace las cosas mucho más difíciles en el bot promedio.
Además, cuando lo piensa, el costo relativo de mitigar estos ataques ahora es mucho menor que tener que lidiar con un sitio web pirateado más adelante. Eso solo hace que ser proactivo valga la pena el esfuerzo.

No hay comentarios.:

Publicar un comentario

Dejanos tu comentario para seguir mejorando!

Post Top Ad

Your Ad Spot

Páginas