Los intentos de acceso con fuerza bruta es uno de los métodos más usados por los hackers para acceder a un sitio web. Es un ataque técnicamente fácil y automatizado que tiene como objetivo los sitios que usan contraseñas débiles. Hoy te enseñaremos cómo proteger WordPress contra acceso con ataque de fuerza bruta (Brute force).
Seguridad de WordPress
La seguridad en WordPress es el tema técnico más importante al que debes prestar mucha atención y tomar muy en serio, ya que implica la integridad de todo el sitio web, y su contenido. Por tanto lo primero que debes hacer después de instalar WordPress, es instalar un plugin de seguridad como iThemes Security que ofrece una gama de opciones valiosas para mejorar y reforzar la seguridad de tu sitio.
El ataque con fuerza bruta a WordPress es uno de los métodos más conocidos por los hackers, y es muy fácil de usar por cualquier persona con conocimiento básicos sobre seguridad informática, con un sistema operativo Linux, y con el tiempo suficiente para hacerlo.
Acceso con Ataque de Fuerza Bruta (Brute force)
Técnicamente el acceso con ataque de fuerza bruta se basa en identificar el nombre de usuario del propietario, o sea administrador o administradores, o incluso usuarios de perfil más bajo. Cuando se obtiene la lista de usuarios del sitio web, se procede a hacer un intento de acceso automático para adivinar la contraseña de cada cuenta, usando un diccionario gigante de posibles contraseñas de dichos usuarios.
Hay diccionarios que pesan más de 10GB, de puras contraseñas, que se usan en este tipo de ataques, lo que significa millones de combinaciones aleatorias y otras contraseñas débiles que fueron hackeadas antes, para tener más posibilidad al momento del ataque.
Probar millones de contraseñas parece imposible hacerlo por un ser humano, pero la computadora lo hace a gran velocidad.
Si un intento de acceso con ataque de fuerza bruta tiene éxito y logra obtener los credenciales de acceso, sería algo muy serio y que puede terminar con tu sitio web, o por lo menos con todo el contenido y la configuración.
Incluso cuando no se logra adivinar el password del usuario objetivo, el ataque en sí puede dejar tu sitio fuera de servicio, debido a las muchas consultas que hace al servidor y la base de datos, las cuales terminan agotando los recursos del servidor, y lanza un mensaje de problema de memoria a los visitantes, lo que en sí es feo.
Cómo Proteger WordPress Conta Acceso con Ataque de Fuerza Bruta
Ahora que sabes cómo es la forma de ataque de fuerza bruta, y sus peligrosas repercusiones, vamos a mostrarte cómo evitar intentos de acceso de esta naturaleza, con las siguientes recomendaciones de seguridad.
Usar contraseña fuerte
Lo primero que debes hacer como administrador de tu sitio WordPress, es usar una contraseña fuerte para tu cuenta, ya que es lo único que separa los demás del panel de administración de tu sitio web.
Para esto WordPress incluye en su paquete un generador y medidor de complejidad de contraseñas que puedes usar para cambiar tu contraseña. Es la forma más segura de generar una clave compleja y difícil de hackear.
Forzar uso de contraseñas fuertes
Si tienes varios colaboradores, o usuarios de cualquier perfil, ellos también deben ser obligados a usar contraseña fuertes, y no sólo el administrador o administradores, ya que ellos también pueden tener acceso a información sensible como contenido o configuración del sitio web, y si sus cuentan se ven comprometidas, entonces será un peligro para el sitio.
Usar Plugin Brute Force Login Protection
Después de tomar las medidas primarias para proteger el sitio web contra posibles intrusos y ataques de fuerza bruta, es hora de instalar un complemento fuerte práctico, y fácil de usar.
Es un plugin llamado Brute Force Login Protection, cuyo objetivo como dice el nombre es protección contra acceso de fuerza bruta. Este complemento hace modificaciones sobre el archivo de .htaccess que reside en la raíz de los archivos de la instalación WordPress.
Su trabajo es tan sencillo como importante, y lo que hace básicamente es limitar el número de los intentos permitidos de acceso para el atacante, después de tantos intentos fallidos.
Después de descargar, instalar y activar el plugin de Brute Force Login Protection, en la sección de Ajustes en la administración encuentras una página con el mismo nombre del plugin en la cual encontramos toda la configuración que se puede modificar según tus propias medidas de seguridad.
Si no encuentras la página de Ajustes » Brute Force Login Protection, asegúrate que el archivo .htaccess permite escritura, y no sólo lectura. Este error aparece sobre todo cuando usas un plugin de seguridad para proteger los archivos del sistema.
Normalmente si existe este error, aparece el mensaje que dice Brute Force Login Protection error: .htaccess file not writeable.
En la sección de Options en la página del plugin, encontramos toda la configuración que debes editar. Lo primero que debes hacer es:
Allowed login attempts before blocking IP : En esta opción limitas los intentos a un número razonable como 5 intentos. Un usuario que se sabe su contraseña no se equivocaría tantas veces, así que, se supondrá que es un intruso que está intentando acceder, y que será bloqueado por su IP.
Minutes before resetting login attempts count : El tiempo que durará el bloqueo de la IP antes de volver a intentar acceder al sitio web desde el formulario de login. Está bien 60 minutos.
Delay in seconds when a login attempt has failed : Este es un campo importante, donde pones el número de segundos de intervalo entre cada intento fallido, esto retardaría mucho los ataques. Ponemos un valor máximo permitido de 10 segundos entre cada intentos, un buen número pra retardar lo suficiente a posibles atacantes.
Inform user about remaining login attempts on login page : Es preferible desmarcar esta casilla para no dar pistas sobre la protección contra ataque de fuerza bruta, para que, cuando se dé cuenta, sea tarde para el atacante.
Send email to administrator when an IP has been blocked : Claro que sí, hay que mantenerse informado sobre todo lo que pasa en el sitio web, y una forma de ello es recibir notificaciones en el correo electrónico cuando se bloquea una IP, y por tanto hay que marcar la casilla con dicho título.
Message to show to blocked users : Personalizar el mensaje es un campo opcional, puedes dejarlo vacío para que se muestre el mensaje predeterminado que viene incluido con el plugin.
Agregar tu IP a la Lista Blanca
Para no dejarte fuera a ti mismo de tu sitio web, es importante agregar tu IP a la lista llamada Whitelisted IPs, para así asegurarte de, si llegas a equivocarte tantas veces con tu contraseña, no te quedes fuera del sitio esperando que se acabe el tiempo de bloqueo.
Si, por el contrario, encuentras alguna IP que se repite una y otra vez en los intentos de acceso usando ataque de fuerza bruta, es recomendable agregarla a la lista negra llamada Blacklist IPs para acabar de una vez por todas con ella.
Espero que este post te ayude para proteger WordPress conta acceso con ataque de fuerza bruta, para darle más seguridad a tu sitio web. Para preguntas síguenos por WPBody en facebook y twitter.
