¿Quiere detener y prevenir los ataques de fuerza bruta en su sitio?
En un ataque de fuerza bruta, los hackers simplemente prueban miles de combinaciones de nombre de usuario y contraseña hasta dar con la correcta.
Una vez que entran en su sitio web, pueden hacer todo tipo de cosas, como añadir anuncios maliciosos, estafar a sus usuarios e incluso tumbar su sitio web.
Este tutorial le mostrará cómo detener y prevenir los ataques de fuerza bruta para que los hackers no tengan ninguna oportunidad de entrar en su sitio.
Pero antes de comenzar con los pasos, aclaremos qué es un ataque de fuerza bruta para que lo entiendas mejor durante el tutorial.
¿Qué es un ataque de fuerza bruta?
Cuando decimos que los hackers prueban diferentes combinaciones de contraseñas en su sitio para iniciar sesión, es posible que se esté imaginando a una persona real sentada frente a un ordenador y tecleando contraseñas, ¿verdad?
Los hackers son mucho más avanzados que eso. Programan bots para escanear Internet y encontrar sitios web que funcionan con WordPress. Luego se centran en la página de inicio de sesión, que suele ser www.example.com/wp-admin.
Una vez en la página de inicio de sesión, estos bots ejecutan una enorme base de datos de nombres de usuario y contraseñas de uso común.
- Los nombres de usuario más comunes incluyen “admin” o el nombre de la persona propietaria del sitio.
- Las contraseñas más comunes son password1234, 12345678 y qwerty1.
Estos robots hackers son capaces de realizar miles de intentos de inicio de sesión por minuto. Y siguen intentándolo una y otra vez hasta que aciertan o agotan su base de datos. De ahí el nombre de ataque de “fuerza bruta”.
Puede que ahora pienses que lo único que tienes que hacer es poner una contraseña muy segura y problema resuelto. Pero eso no basta.
Miles de intentos de inicio de sesión pueden ralentizar su sitio web e incluso hacer que se bloquee. Puede interrumpir la experiencia del usuario, lo que significa que los visitantes abandonarán tu sitio porque no se carga lo suficientemente rápido.
Una mejor manera de proteger su sitio sería evitar que el hacker haga estos intentos. Eso es lo que le mostraremos cómo hacer a continuación. Entremos de lleno.
Cómo detener los ataques de fuerza bruta en WordPress
A continuación, detallaremos 6 pasos importantes que debe seguir para proteger su sitio contra los hackers. Nos centraremos en la prevención de ataques de fuerza bruta, pero tenga en cuenta que estos pasos también le ayudarán a detener otros ataques de malware.
Estarás construyendo un sistema de seguridad robusto que asegure que los hackers no tengan forma de dañar tu sitio desde dentro o desde fuera.
Aquí tienes una lista de los 6 pasos que vamos a cubrir:
- Instalar un Plugin Firewall
- Limitar los intentos de inicio de sesión
- Restringir el acceso a la página de inicio de sesión
- Expire Contraseñas Regularmente
- Añadir autenticación de 2 factores
- Añada autenticación HTTP
Paso 1: Instalar un plugin de cortafuegos
Un cortafuegos sirve como primera línea de defensa. Analizará cada visitante que llegue a su sitio y bloqueará los bots maliciosos. Esto significa que sólo el buen tráfico se le permite ver su sitio.
Hay dos tipos de cortafuegos de sitios web que puede utilizar.
- Firewall de Aplicación Web: Estos cortafuegos se sitúan delante de su sitio WordPress para escanear el tráfico entrante. Son bastante eficaces, pero no ofrecen protección a nivel de servidor. Esto significa que los hackers pueden atacar su servidor y dañar su sitio.
- Cortafuegos de nivel DNS: Este cortafuegos le da una mejor protección contra los hackers, ya que se encuentra en frente de su servidor. Así que escaneará todo el tráfico antes de que llegue al servidor principal de su sitio web.
Recomendamos encarecidamente invertir en un firewall DNS para proteger su sitio. Sucuri tiene uno de los mejores firewalls DNS de la industria.
Sucuri viene con funciones integradas para bloquear los ataques de fuerza bruta sin afectar a los usuarios de su sitio web.
También bloquea las herramientas automatizadas utilizadas para escanear su sitio web. Esto ayuda a mantener su sitio web fuera del radar de cualquier atacante.
Además, monitorea constantemente su sitio web, por lo que si algún bot malicioso llega a su sitio web, será bloqueado automáticamente.
Si quieres saber más detalles, lee nuestra Revisión de Sucuri.
Paso 2: Limitar los intentos de inicio de sesión
Si desea bloquear específicamente los ataques de fuerza bruta, una de las mejores formas de hacerlo es limitando el número de intentos que un usuario tiene para iniciar sesión.
Así, por ejemplo, puedes concederles un máximo de 3 intentos para introducir el nombre de usuario y la contraseña correctos. Si no lo consiguen, pueden utilizar la opción “Ha perdido su contraseña” y recuperar sus credenciales.
Cualquier usuario o bot que intente hacer fuerza bruta en tu sitio se rendirá después de 3 intentos y pasará al siguiente objetivo.
Puedes añadir un plugin para limitar los intentos de inicio de sesión en tu sitio WordPress para añadir esta función. Si estás utilizando un plugin de seguridad como Sucuri, entonces ya deberías tener el límite de intentos de inicio de sesión añadido automáticamente a tu sitio.
Paso 2: Restringir el acceso a la página de inicio de sesión
Otra buena forma de proteger su sitio de ataques de fuerza bruta es conceder acceso a la URL de la página de inicio de sesión sólo a personas de su confianza.
Cada dispositivo que utiliza Internet tiene una dirección IP única. Puedes utilizar un plugin de seguridad para bloquear universalmente todas las direcciones IP de acceso a la página de inicio de sesión y poner en la lista blanca solo las que tú quieras.
De esta manera, sólo los usuarios autorizados pueden abrir la página de inicio de sesión. Este método se llama allowlisting y es muy eficaz para mantener alejados a los hackers.
Si utilizas Sucuri, en la pestaña Control de Acceso de tu panel de control, puedes añadir direcciones IP en la lista blanca.
A continuación, cambia a la pestaña Seguridad.
Verás una opción para activar “Panel de administración restringido solo a direcciones IP de la lista blanca”.
Al marcar esta casilla, Sucuri permitirá automáticamente que sólo sus usuarios de confianza accedan a la página de inicio de sesión.
Paso 4: Expire las contraseñas regularmente
Ni que decir tiene que la mejor forma de proteger cualquier cuenta o sitio web en Internet es utilizar nombres de usuario y contraseñas seguros.
Aparte de eso, también es necesario cambiar la contraseña con regularidad. Si sospechas de un ataque, debes cambiarla inmediatamente.
Ahora bien, si tienes varios usuarios que tienen acceso a wp-admin, es posible que no recuerden cambiar sus contraseñas con regularidad.
Para superar esto, puede establecer recordatorios y obligarlos a restablecer su contraseña a intervalos.
Puedes utilizar un plugin como Expire User Passwords para ayudarte a caducar contraseñas periódicamente obligando al usuario a cambiar su contraseña antes de poder volver a iniciar sesión.
Paso 5: Añadir autenticación de 2 factores
Lo más probable es que ya hayas visto o tengas la autenticación de 2 factores en tus aplicaciones, especialmente en el correo electrónico.
Además de introducir tu contraseña, tienes que proporcionar un código de un solo uso que se envía a tu teléfono móvil o correo electrónico.
Puedes recibir este código en forma de SMS o a través de una aplicación de autenticación.
Esto significa que el usuario tendrá que verificarse en tiempo real, lo que dificultará enormemente el acceso a los hackers.
Incluso si consiguen descifrar tu contraseña, también necesitarán el código en tiempo real.
Todos los plugins de seguridad populares, como Sucuri y MalCare, te permiten habilitar la autenticación de 2 factores dentro del panel de control.
Así que no tendrás que tocar ningún código para añadir esta medida a tu sitio.
Paso 6: Añadir autenticación HTTP
El último paso que puede dar para proteger su sitio de ataques de fuerza bruta es añadir una página de autenticación a su página de inicio de sesión.
Parece un poco exagerado, pero esto actúa como una capa extra de protección y es una forma segura de bloquear la entrada de hackers a su sitio a través de ataques de fuerza bruta.
La autenticación HTTP funciona ocultando su página de inicio de sesión y mostrando una página en blanco con un cuadro de inicio de sesión.
Una vez que introduzca sus credenciales HTTP, aparecerá su página de inicio de sesión de WordPress.
Puedes añadir esta medida dentro del cPanel de tu hosting. Si nunca has utilizado cPanel, no te preocupes. Te mostraremos cómo hacerlo en unos sencillos pasos.
Inicia sesión en tu cuenta de alojamiento web, accede a cPanel y busca ‘Privacidad del directorio’.
Dentro, en la lista de carpetas, localiza la carpeta wp-admin y edítala.
En la siguiente página, primero, activa la opción ‘Proteger este directorio con contraseña’. Ahora cPanel te pedirá que añadas un nombre de usuario y una contraseña.
Asegúrese de guardar la configuración antes de salir de esta página. Ahora su directorio de administración de WordPress está protegido por contraseña.
Cuando abra su página wp-admin, verá un mensaje de inicio de sesión para introducir el nombre de usuario y la contraseña que acaba de crear.
En caso de que te encuentres con un error 404 o demasiados mensajes de redirección, entonces necesitas añadir la siguiente línea a tu archivo .htaccess de WordPress.
ErrorDocument 401 por defecto
Con esto, su sitio web estará protegido contra ataques de fuerza bruta.
También te recomendamos que hagas una copia de seguridad de tu sitio con regularidad. Cuando las cosas van mal, ya sea un hack o simplemente un error humano, puede restaurar rápidamente su sitio y volver a la normalidad. Esto le permite minimizar el daño a su sitio y la experiencia del usuario.
Puedes utilizar UpdraftPlus para programar copias de seguridad automatizadas que se almacenan de forma segura.
Para más opciones de copia de seguridad, consulte nuestra selección de los mejores plugins de copia de seguridad de WordPress.
Esperamos que este artículo sobre la prevención de ataques de fuerza bruta le haya sido útil. Y ahora que su sitio web es seguro, puede centrarse en el crecimiento de su sitio y conseguir más tráfico. Aquí tienes algunos recursos que hemos seleccionado para ti:
- Aumente el rendimiento y la velocidad de WordPress con consejos de expertos
- 10 mejores herramientas SEO para aumentar el tráfico de su sitio web, ¡rápidamente!
- Herramientas para hacer crecer su pequeña empresa en 2021
Estos posts te ayudarán a mejorar el tráfico, el engagement y la experiencia de usuario. El último post te dará los mejores plugins y herramientas para suavizar los flujos de trabajo y hacer crecer tu negocio exponencialmente.
Comentarios Deja una respuesta