Ataques de Fuerza Bruta (Brute Force) I

A diferencia de ataques que se concentran en vulnerabilidades en el software, un ataque de fuerza bruta apunta directamente al método más simple de obtener acceso a un sitio: utiliza nombres de usuario y passwords, una y otra vez, hasta que logra entrar. A menudo considerado «poco elegante», puede resultar extremadamente exitoso cuando las personas utilizan passwords como «123456» y nombres de usuario como «admin».

Este tipo de ataques en realidad se dirigen hacia el enlace más débil la seguridad de un sitio: Tú

Debido a la naturaleza de estos ataques, a menudo tu servidor tendrá un consumo altísimo de memoria ocasionando así problemas de rendimiento. Esto es debido a que la cantidad de solicitudes http (es el número de veces que alguien visita tu sitio) es tan alto que el servidor puede agotar su memoria.

Este tipo de ataques resulta endémico para los sitios WordPress. Sucede con cualquier tipo de script, pero siendo WordPress extremadamente popular se convierte un un objetivo frecuente.

Protégete

Un ataque común sobre sitios WordPress es atacar el archivo wp-admin.php una y otra vez hasta que logren entrar o el servidor se caiga. Puedes tomar algunos pasos para proteger tu sitio.

No utilices el usuario ‘admin’

La mayoría de ataques asume que estás utilizando el usuario ‘admin’ debido a que las versiones anteriores de WordPress lo utilizaba por defecto. Si aún utilizas este usuario, crea una nueva cuenta, transfiere todos los posts que tengas asignados a esa cuenta y cambia ‘admin’ para ser un subscriptor o elimina este usuario de manera definitiva.

Passwords que protejan efectivamente

El objetivo de un password es proteger un sitio, hacer que sea muy difícil adivinarlo. Muchos generadores automáticos de passwords están disponibles y pueden ser utilizados para crear passwords seguros.

WordPress incluye un medidor de fortaleza de passwords y se muestra cuando cambias el password en WordPress. Úsalo para crear un password con fortaleza adecuada. Lo ideal es que tu password combine mayúsculas, minúsculas, números y signos.

Algunos puntos que debes evitar al elegir un password son:

  • Cualquier modificación de tu nombre real, usuario, empresa o nombre de tu sitio
  • Una palabra de diccionario, en cualquier idioma.
  • Un password corto.
  • Cualquier password sólo números o sólo letras (una mezcla de ambos y añadir símbolos es lo mejor).

Un password fuerte no sólo protege tu sitio. Un hacker que obtenga acceso a tu cuenta de administrador podrá también instalar scripts maliciosos que potencialmente pueden comprometer el servidor completo donde te encuentres.

Plugins

Algunos plugins pueden utilizarse para limitar la cantidad de intentos de acceso en tu sitio, o bloquear en su intento de ingresar al wp-admin. Algunos de los plugins más utilizados son:

  • BruteProtect
  • Limit Login Attempts
  • Lockdown WP Admin
  • WP Fail2Ban
  • Admin Renamed Extended
  • Enforce Strong Password
  • Wordfence Security
  • 3WP Activity Monitor
  • All in one WP Security
  • Rename wp-login.php

Importante: Observa que el plugins que utilices estén siendo actualizados por sus programadores y se encuentren vigentes y sean compatibles con la versión más reciente de WordPress.

 

Share This