¿Te preocupa que los hackers puedan acceder a tu sitio?
Por defecto, WordPress te permite intentar un número ilimitado de nombres de usuario y contraseñas para iniciar sesión en tu sitio.
Si bien esto te brinda una mejor experiencia de inicio de sesión, también le da a los hackers la oportunidad de acceder a tu sitio utilizando "ataques de fuerza bruta", donde realizan miles de intentos para adivinar tus credenciales de inicio de sesión.
En esta publicación, te mostraremos cómo limitar los intentos de inicio de sesión en tu sitio para evitar que los hackers accedan a él.
Pero primero, aclaremos qué son los ataques de fuerza bruta y por qué son un problema tan grave.
¿Qué es exactamente un ataque de fuerza bruta?
Muchas personas en Internet utilizan nombres de usuario comunes y contraseñas débiles como credenciales de inicio de sesión. Seleccionan credenciales que son fáciles de recordar y que requieren el menor esfuerzo para escribir.
Para los nombres de usuario, los más comunes son 'admin' o el nombre real del usuario. Y las contraseñas tienden a ser '123456' o 'qwerty'.
Los hackers son muy conscientes de esto y programan bots para encontrar la página de inicio de sesión de tu sitio y luego probar una larga lista de credenciales de uso común y diferentes combinaciones de ellas.
Estos bots son capaces de intentar cientos de combinaciones en cuestión de segundos. Y cuando adivinan la correcta, acceden a tu sitio y causan daños importantes.
La mejor manera de prevenir estos ataques de fuerza bruta es limitando los intentos de inicio de sesión en tu sitio. Así, cuando un usuario ingresa credenciales incorrectas, digamos 3 o 5 veces, se le bloquea.
Los usuarios deberán hacer clic en la opción '¿Olvidaste tu contraseña?' para recuperarla.
Dicho esto, limitar los intentos de inicio de sesión no es suficiente cuando se trata de bloquear hackers y otras amenazas.
Necesitas usar una solución de seguridad integral que proteja tu sitio web por completo de tales ataques. Esto incluye protección CAPTCHA, autenticación de 2 factores, protección de firewall y lista negra de IP.
Con esta mejor comprensión de los ataques de fuerza bruta, comencemos a proteger tu sitio.
Limitar los intentos de inicio de sesión en tu sitio de WordPress
Si deseas una solución gratuita y sencilla para limitar los intentos de inicio de sesión, consulta el plugin Limit Login Attempts Reloaded. Simplemente necesitas instalar el plugin en tu sitio y aplicará automáticamente la medida de seguridad.
Dicho esto, hay mucho más en la seguridad de sitios web y los ataques de fuerza bruta.
Una solución de seguridad más completa para limitar los intentos de inicio de sesión y proteger tu sitio es usar Sucuri. Es una solución de seguridad total que viene con todas las medidas de seguridad que necesitas para proteger tu sitio.
El firewall de aplicaciones web Sucuri detecta navegadores falsos y bots maliciosos y luego los bloquea automáticamente.
Y tiene un potente motor de correlación que detiene los intentos de fuerza bruta sin afectar a los usuarios de tu sitio web.
Así es como Sucuri bloquea los ataques de fuerza bruta en tu sitio:
- Limitar intentos de inicio de sesión – Los usuarios tendrán un número máximo de intentos para ingresar las credenciales correctas antes de que se les pida restablecer su contraseña.
- Detección de firmas – Sucuri busca patrones conocidos de hackers y malware y los bloquea antes de que lleguen a tu sitio.
- Bloqueo de bots y escaneos – Identifica y bloquea herramientas automatizadas y bots de fuerza bruta que atacan tu sitio.
- Autenticación de 2 factores – Puedes agregar una capa adicional de seguridad en tu sitio que requiere que los usuarios proporcionen una contraseña de un solo uso generada en tiempo real.
- CAPTCHA y contraseñas – Te permite agregar protección CAPTCHA a tu página de inicio de sesión, para que los bots no puedan pasar tu autenticación de inicio de sesión. O incluso puedes requerir que los usuarios ingresen una contraseña estática.
- Geo-bloqueo – Si el firewall de Sucuri detecta que la mayoría de los intentos de fuerza bruta provienen de una ubicación particular, puedes bloquear a los visitantes de esos rangos de IP o incluso bloquear a un país entero para que no acceda a tu sitio.
- Lista blanca – También puedes bloquear a todos los usuarios de tu página de inicio de sesión y poner en lista blanca solo las direcciones IP de tu equipo de confianza.
Ahora, configuremos Sucuri en tu sitio para implementar intentos de inicio de sesión limitados y otras medidas de protección.
Paso 1: Instalar y Activar Sucuri
Sucuri tiene un escáner de seguridad gratuito disponible en el repositorio de WordPress.
Recomendamos instalar y activar este plugin en tu sitio primero. Esto te permitirá acceder y operar tu configuración de seguridad directamente desde tu panel de WordPress.
Para acceder al potente firewall que protegerá tu sitio web de ataques de fuerza bruta, deberás registrarte en la versión Pro.
Recomendamos usar el plan Pro, que cuesta $299 por año. Te da acceso a todas las funciones que necesitarás para bloquear no solo ataques de fuerza bruta, sino también otros hackeos como inyecciones de malware y ataques DDoS.
Una vez que te hayas registrado y creado una cuenta con Sucuri, puedes empezar.
Paso 2: Habilitar el Escáner de Seguridad de Sucuri
Desde tu panel de WordPress, navega a la pestaña Sucuri » Dashboard.
En esta página, deberás ingresar tu clave API. Para hacerlo, haz clic en el botón ‘Generar Clave API’.
Esto abrirá una ventana emergente donde tu sitio de WordPress y tu correo electrónico de administrador estarán precargados. Puedes cambiarlo si lo deseas.
Luego marca las casillas para aceptar los términos de servicio y la política de privacidad. Y selecciona el botón ‘Enviar’ para generar la clave API.
Verás una ventana emergente que dice que tu sitio se ha registrado con éxito. Puedes dirigirte al panel de Sucuri.
Con esto, tu sitio tiene un escáner de seguridad activo. Te mostrará si tu sitio está limpio o no, y si estás en alguna lista negra.
Paso 3: Habilitar el Firewall de Seguridad de Sucuri
Para habilitar el firewall de Sucuri, navega a la pestaña Sucuri » Firewall (WAF) en tu panel de WordPress.
Aquí, deberás ingresar tu clave API.
Puedes encontrar esta clave en tu cuenta en el sitio web de Sucuri, en la pestaña Configuración » API.
Copia la clave, ingrésala en tu panel de WordPress y guarda tu configuración. ¡Y eso es todo! Tu firewall está habilitado.
Paso 4: Modificar la configuración de DNS
Ahora necesitarás dirigir tu tráfico al firewall de Sucuri para que pueda revisarlo y filtrar los elementos maliciosos. Después de hacerlo, dirigirá el tráfico a tu servidor de alojamiento web.
Para configurar esto, ve a la pestaña Configuración » General en el panel de Sucuri.
Primero, verás la opción más sencilla que es Integración Automática. Si tienes los detalles de inicio de sesión de tu alojamiento web, puedes usar esta opción.
Simplemente necesitas seleccionar el alojamiento 'cPanel' o 'Plesk'. La mayoría de los proveedores de alojamiento web usan cPanel, pero puedes consultar con el equipo de soporte de tu proveedor si no estás seguro de cuál usar.
Necesitarás proporcionar los detalles de inicio de sesión de tu alojamiento y se integrará automáticamente.
Si esto no funciona para ti, en la misma página, verás opciones para usar los servidores DNS de Sucuri o puedes configurar manualmente tus propios servidores DNS.
Sigue las instrucciones proporcionadas y actualiza la dirección IP para el registro 'A' de tu sitio.
Si no entiendes qué significa todo esto, no te preocupes. Puedes contactar a tu proveedor de alojamiento web o registrador de dominios y ellos te guiarán. O también puedes abrir un ticket con Sucuri, y su equipo te ayudará a cambiar los registros DNS.
Una vez completado, tu tráfico se dirigirá primero al firewall de Sucuri y luego de regreso a tus servidores de alojamiento de WordPress.
Los cambios en tu DNS pueden tardar hasta 48 horas en reflejarse, pero generalmente ocurren en unas pocas horas.
Paso 5: Monitorea tu sitio
El firewall de Sucuri protegerá tu sitio y bloqueará cualquier ataque de hackers y bots maliciosos. Y te presentará informes en su panel, como ataques bloqueados, tráfico promedio por hora y tráfico por país.
Deberías usar estos informes para monitorear la seguridad de tu sitio y mantenerte al día sobre los ataques fallidos.
Paso 6: Lista blanca de IPs de usuarios (Opcional)
En caso de que quieras bloquear el acceso de todas las IPs a tu panel de administración y permitir solo a tu equipo o usuarios autorizados, puedes hacerlo en la pestaña Control de Acceso.
Aquí, puedes agregar todas las IPs que quieras incluir en la lista blanca. Luego, cambia a la pestaña Seguridad.
Verás una opción para habilitar 'Panel de administración restringido solo a direcciones IP en lista blanca'.
Marca esta casilla y guarda tus opciones de seguridad. Ahora solo tus IPs en lista blanca podrán acceder a tu página de inicio de sesión.
¡Y eso es todo! Sucuri aplicará automáticamente la protección de inicio de sesión a tu sitio. Y no solo eso, tu sitio estará protegido contra todo tipo de malware y ataques.
Esperamos que hayas encontrado útil esta publicación. Si deseas mejorar aún más la seguridad de tu sitio, te recomendamos leer:
- Cómo realizar una auditoría de seguridad de WordPress (paso a paso)
- Los 9 Mejores Plugins de Seguridad para WordPress Comparados
- Cómo elegir una contraseña segura para WP Admin [4 maneras FÁCILES]
Estas publicaciones pueden ayudarte a hacer que la seguridad de tu sitio sea sólida como una roca para que puedas mantener a los hackers a raya.
Comentarios Dejar una respuesta