Ataques de Fuerza Bruta a Sitios de WordPress: ¿Qué Hacer?

En el mundo de los delitos cibernéticos, el ataque de fuerza bruta es una actividad que implica intentos repetitivos sucesivos de probar varias combinaciones de contraseña para ingresar a cualquier sitio web.

Este intento se lleva a cabo enérgicamente por los piratas informáticos que también hacen uso de bots que han instalado maliciosamente en otras computadoras o servidores para aumentar la potencia informática necesaria para ejecutar este tipo de ataques.

Si no implementas ninguna medida de seguridad, probablemente no te des cuenta de cuan constantes son estos ataques.

Algo que debes tener en cuenta con respecto a los intentos de inicio de sesión fallidos es que estos pueden agotar rapidamente los recursos del servidor, por lo que una contraseña robusta es una medida de seguridad muy efectiva, pero no es medida suficiente para salvaguardar los recursos usados por tu web.

Entendamos que son los ataques de fuerza bruta y cómo prevenirlos correctamente.

¿Qué Motivas los Ataques de Fuerza Bruta?

Detrás del ataque de fuerza bruta, el motivo del pirata informático es obtener acceso ilegal a un sitio web específico y utilizarlo para ejecutar otro tipo de ataque o robar datos valiosos o simplemente cerrar tu sitio.

También es posible que el atacante infecte el sitio objetivo con scripts maliciosos para objetivos a largo plazo sin siquiera sin dejar rastro.

¿Coḿo se Hacen los Ataques de Fuerza Bruta?

De manera automatizada o manual, los hackers tratan determinar el nombre de usuario de tu sitio con el afán de concentrar los esfuerzos en tratar de descifrar la contraseña del sitio.

Los ataques de fuerza bruta son automatizados, por lo que estos pueden probar una gran cantidad de contraseñas en un minuto.

Las contraseñas usadas en estos ataques automatizados son contraseñas poco seguras que han sido usadas en olas de ataques realizadas a otros sitios y que han tenido algo de exito.

Si deseas ver una lista de contraseñas usadas para ataques de fuerza bruta:

Si analizas esa lista, ya llegaste a la conclusión que los ataques de fuerza bruta automatizados funcionan unicamente si eres algo tonto cuando hablamos de seguridad basica.

¿Cómo Prevenir Ataques de Fuerza Bruta?

Los ataques de fuerza bruta suceden todos los días por lo que estos son algunos buenos consejos para prevenir ataques de fuerza bruta:

#1 Longitud de la Contraseña

Uno de los grandes problemas de seguridad de muchos sitios de WordPress es la longitud de la contraseña, una contraseña relativamente corta es fácil de vulnerar.

Yo durante muchos años usé una contraseña relacionado con mi pasado religioso, mi contraseña era un versiculo del libro de Mormón, la contraseña era 2nefi115 y fue encontrada por un pirata informatico recientemente.

Revise mi contraseña en un detector de fortaleza de contraseñas y descubrí que esa contraseña puede ser vulnerada en un minuto.

La misma versioń de la contraseña pero con una mayúscula (2Nefi115) podría descifrarse en dos horas.

Afortunadamente, las contraseñas debiles, al igual que mi religiosidad, son cosas del pasado.

Aseguraté de usar contraseñas que no contengan palabras que puedan encontrarse en un diccionario de cualquier idioma

Esta es una contraseña de 18 caracteres que le complicara la vida a cualquier ataque de fuerza bruta:

Recordar esa contraseña puede ser un problema, por lo que es recomendable usar un gestor de contraseñas.

#2 Complejidad de la Contraseña

Además del mínimo de caracteres deben de prestarle atención a la complejidad de la contraseña.

Un detector de contraseñas asegura que esta contraseña 2Nefi115$# tardaria 6 años en ser descifrada.

2Nefi115$#MC tomaría 34 años en descifrarse.

Este es un ejemplo de contraseña segura compleja, pero relativamente corta y que tomaria decadas para ser descifrada.

Asegurate de usar un gestor de contraseñas como LastPass, Dashlane or BitWarden.

Yo uso contraseñas complejas de más de 35 caracteres, si la web o servicio lo permite.

#3 Limitar el Número de Intentos de Acceso

Los ataque de fuerza bruta pueden tardar minutos, por lo que una de las formas de prevenir ser víctima de estos ataques es limitar el número de intentos que una persona o bot puede realizar,

Esto lo puedes hacer por medio de muchos plugins tales como:

• WPS Limit Login
• Jetpack
• All in one WP Security
• Itheme Security
• Limit Login Attempts
• Wordfence

Yo no uso plugins de seguridad y confio en las reglas de cortafuegos de CloudFlare para bloquear completo acceso a las paginas de inicio de mi sitio.

#4 Cambiar la Dirección de Login

También puedes hacer el trabajo de los hackers algo más difícil cambiando la dirección de login.

Cambiar la dirección de login de tu sitio es seguridad por oscuridad, por lo que esto debe complementar otras medidas y no ser simplemente la única medida para prevenir ataques de fuerza bruta.

La mayoría de los plugins de seguridad tienen esa función integrada.

Plugins como Itheme Security and All in One WP Security and Firewall tiene esa funcionalidad entre sus opciones.

Si los hackers no pueden encontrar la puerta, jamás podrán tocar el timbre.

#5 Bloquear Acceso por Dirección IP

Una de las maneras de proteger tu sitio de wordpress es por medio de una pequeña modificación del archivo .HTACCESS donde bloqueas el acceso a tu dirección de login con excepción de tu direccioń IP

<Files /wp-login>
 order deny,allow
 allow from IP1
 allow from IP2
 deny from all
 </Files>

Esto tambien lo puedes realizar por medio de plugins tales como All in One WP Security and Firewall y es una manera muy efectiva de detener ataques de fuerza bruta, pero esto se convierte en un problema, si la dirección IP que no es estatica.

#6 Usar un Captcha

Otra de las maneras de proteger tu sitio es por medio de el uso de captcha en la url de acceso de tu sitio.

Un captcha es un pequeño challenge que solo los humanos pueden contestar, como por ejemplo 3*5= _____

Si quieres un plugin que realice esta función, debes de considerar All in One WP Security and Firewall

Si usas Cloudflare, ya debes saber que este servicio no es fan de usar captchas y tiene un sustituto llamado turnstile

#7 Autenticación de Dos Factores

Otra de las maneras de proteger tu sitio es mediante la implementación de autenticación de dos factores.

Esto consiste básicamente en que tendrás que agregar un código dado por aplicación tales como Authy or Google Authenticator.

Plugins que te pueden ayudar con eso es:

• Wordfence Login Security
• 2FAS Light – Google Authenticator
• Rublon
• All in One WP Security

#8 El Usuario de WordPress

Nunca uses “Admin” como usuario de WordPress, ya que le estás facilitando el trabajo a los hackers.

Procura que tu nombre de usuarios sea difícil de descifrar al igual que la contraseña de tu sitio.

Puedes usar un nombre de usuario igual de complejo que la contraseña

Usuario	p*k9nN^!8^6Dkjfd
Contraseña	2SfCGp4$*zfX^%%

Si usas un gestor de contraseña, puedes manejar nombres de usuario y contraseñas complejas.

#9 Ten una Cuenta de Editor

Una de las medidas que puedes implementar es tener una cuenta de administrador que tenga un usuario y contraseña super complicada.

Y adicionalmente tener un cuenta de editor, una cuenta que en caso de ser vulnerada, da poco margen de acción.

#10 Reglas de CortaFuegos de CloudFlare

Una de las maneras más efectivas para detener ataques de fuerza bruta es por medio de las reglas de Firewall de CloudFlare.

Esta es mi manera de reducir los ataques de fuerza bruta a cero.

La protección de las paginas de acceso por medio de CloudFlare funcionan de maravilla si eres el único usuario del sitio.

Más Artículos sobre WordPress

Esta es una serie de artículos relacionados con el tema de la seguridad en WordPress

1. Mejorar Resultados de Core Web Vitals
2. No Borres las Tablas de Contenido en WordPress [SEO]
3. ¿Cambiar el Tema de WordPress Afecta el SEO?
4. 12 Plugins de Seguridad para WordPress
5. 7 Plugins de Auditoría para WordPress
6. Bloquear Direcciones IP por Seguridad: ¿Una Locura?
7. Seguridad de WordPress sin Plugins: 8 Pasos