X

¿Cómo detener ataques de fuerza bruta en un sitio web de WordPress?

Last updated on by Editorial Team
LinkedInPinShares12
cómo detener ataques de fuerza bruta

¿Quieres detener y prevenir ataques de fuerza bruta en tu sitio?

En un ataque de fuerza bruta, los hackers simplemente prueban miles de combinaciones de nombres de usuario y contraseñas hasta que dan con la correcta.

Una vez que irrumpen en tu sitio, pueden hacer todo tipo de cosas, como agregar anuncios maliciosos, defraudar a tus usuarios e incluso derribar tu sitio.

Este tutorial te mostrará cómo detener y prevenir ataques de fuerza bruta para que los hackers no tengan ninguna posibilidad de irrumpir en tu sitio.

Pero antes de pasar a los pasos, seamos claros sobre qué es un ataque de fuerza bruta para que tengas una mejor comprensión durante el tutorial.

¿Qué es un ataque de fuerza bruta?

Cuando decimos que los hackers prueban diferentes combinaciones de contraseñas en tu sitio para iniciar sesión, puedes imaginar a una persona real sentada frente a una computadora escribiendo contraseñas, ¿verdad?

Los hackers son mucho más avanzados que eso. Programan bots para escanear internet y encontrar sitios web que funcionan con WordPress. Luego, apuntan a la página de inicio de sesión, que suele ser www.ejemplo.com/wp-admin.

ejemplo de contraseña wordpress

Una vez que están en la página de inicio de sesión, estos bots ejecutan una gran base de datos de nombres de usuario y contraseñas de uso común.

  • Los nombres de usuario comunes incluyen "admin" o el nombre de la persona propietaria del sitio.
  • Las contraseñas comunes incluyen password1234, 12345678 y qwerty1.

Estos bots de hackers son capaces de realizar miles de intentos de inicio de sesión por minuto. Y siguen intentándolo una y otra vez hasta que aciertan o agotan su base de datos. De ahí el nombre de ataque de "fuerza bruta".

Ahora podrías pensar que todo lo que tienes que hacer es establecer una contraseña muy segura y el problema está resuelto. Pero eso no es suficiente.

Miles de intentos de inicio de sesión pueden ralentizar tu sitio e incluso hacer que se caiga. Puede interrumpir la experiencia de tus usuarios, lo que significa que los visitantes abandonarán tu sitio ya que no cargará lo suficientemente rápido.

Una mejor manera de proteger tu sitio sería evitar que el hacker realice estos intentos. Eso es lo que te mostraremos cómo hacer a continuación. ¡Vamos a empezar!

Cómo detener ataques de fuerza bruta en WordPress

A continuación, detallaremos 6 pasos importantes que debe seguir para proteger su sitio contra hackers. Nos centraremos en prevenir ataques de fuerza bruta, pero tenga en cuenta que estos pasos también ayudarán a detener otros ataques de malware.

Estará construyendo un sistema de seguridad robusto que se asegurará de que los hackers no tengan forma de dañar su sitio desde adentro o desde afuera.

Aquí hay una lista de los 6 pasos que cubriremos:

  1. Instalar un plugin de firewall
  2. Limitar los intentos de inicio de sesión
  3. Restringir el acceso a la página de inicio de sesión
  4. Expirar contraseñas regularmente
  5. Agregar autenticación de 2 factores
  6. Agregar autenticación HTTP

Paso 1: Instalar un plugin de firewall

Un firewall sirve como su primera línea de defensa. Analizará a cada visitante que llegue a su sitio y bloqueará los bots maliciosos. Esto significa que solo se permitirá el tráfico bueno para ver su sitio.

Hay dos tipos de firewalls para sitios web que puede utilizar.

  • Firewall de aplicaciones web: Estos firewalls se sitúan delante de su sitio de WordPress para escanear el tráfico entrante. Son bastante efectivos, pero no le brindan protección a nivel de servidor. Esto significa que los hackers aún pueden atacar su servidor y dañar su sitio.
  • Firewall a nivel DNS para sitios web: Este firewall te brinda una mejor protección contra hackers porque se ubica delante de tu servidor. Así, escaneará todo el tráfico antes de que llegue a tu servidor web principal.

Recomendamos encarecidamente invertir en un firewall DNS para proteger tu sitio. Sucuri tiene uno de los mejores firewalls DNS de la industria.

Sucuri

Sucuri viene con funciones integradas para bloquear ataques de fuerza bruta sin afectar a los usuarios de tu sitio web.

También bloquea herramientas automatizadas utilizadas para escanear tu sitio web. Esto ayuda a mantener tu sitio web fuera del radar de cualquier atacante.

Luego, monitorea constantemente tu sitio, por lo que si algún bot malicioso llega a tu sitio, será bloqueado automáticamente.

Si deseas conocer más detalles, lee nuestra Reseña de Sucuri.

Paso 2: Limitar intentos de inicio de sesión

Si deseas bloquear específicamente los ataques de fuerza bruta, una de las mejores maneras de hacerlo es limitando el número de intentos que un usuario tiene para iniciar sesión.

Por ejemplo, puedes otorgarles un máximo de 3 intentos para ingresar el nombre de usuario y la contraseña correctos. Si no logran hacerlo bien, pueden usar la opción '¿Olvidaste tu contraseña?' y recuperar sus credenciales.

Contraseña perdida en WordPress

Cualquier usuario o bot que intente realizar un ataque de fuerza bruta a tu sitio se rendirá después de 3 intentos y pasará al siguiente objetivo.

Puedes agregar un plugin de límite de intentos de inicio de sesión en tu sitio de WordPress para añadir esta función. Si estás utilizando un plugin de seguridad como Sucuri, entonces ya deberías tener el límite de intentos de inicio de sesión agregado automáticamente a tu sitio.

Paso 2: Restringir el acceso a la página de inicio de sesión

Otra excelente manera de proteger tu sitio de ataques de fuerza bruta es otorgar acceso a la URL de la página de inicio de sesión solo a las personas en las que confías.

Cada dispositivo que usa Internet tiene una dirección IP única. Puede usar un plugin de seguridad para bloquear universalmente todas las direcciones IP de acceder a la página de inicio de sesión y permitir solo aquellas que desee.

De esta manera, solo los usuarios autorizados pueden abrir la página de inicio de sesión. Este método se llama lista blanca (allowlisting) y es muy efectivo para mantener alejados a los hackers.

Si estás usando Sucuri, en la pestaña Control de Acceso de tu panel de control, puedes agregar direcciones IP en lista blanca.

Lista blanca de Sucuri

A continuación, cambie a la pestaña Seguridad.

Verá una opción para habilitar ‘Panel de administración restringido solo a direcciones IP en lista blanca’.

lista blanca en sucuri

Al marcar esta casilla, Sucuri permitirá automáticamente que solo tus usuarios de confianza accedan a la página de inicio de sesión.

Paso 4: Expirar contraseñas regularmente

No hace falta decir que la mejor manera de proteger cualquier cuenta o sitio web en Internet es usando nombres de usuario y contraseñas seguras.

Aparte de eso, también necesita cambiar su contraseña regularmente. Si sospecha de un ataque, debe cambiarla inmediatamente.

Ahora, si tiene varios usuarios que tienen acceso a wp-admin, es posible que no recuerden cambiar sus contraseñas regularmente.

Para superar esto, puede configurar recordatorios y obligarlos a restablecer su contraseña a intervalos.

ejemplo de contraseña caducada

Puede usar un plugin como Expire User Passwords para ayudarle a expirar contraseñas periódicamente, obligando al usuario a cambiar su contraseña antes de que pueda iniciar sesión nuevamente.

Paso 5: Agregar autenticación de 2 factores

Lo más probable es que ya haya visto o tenga autenticación de 2 factores en sus aplicaciones, especialmente en el correo electrónico.

Aparte de ingresar su contraseña, debe proporcionar un código de acceso de un solo uso que se envía a su teléfono móvil o correo electrónico.

codigo-2fa-sucuri

Puede recibir este código como un SMS o a través de una aplicación de autenticación.

Esto significa que un usuario tendrá que verificarse en tiempo real, lo que hace que sea extremadamente difícil para los hackers obtener acceso.

Incluso si logran descifrar su contraseña, también necesitarán el código de acceso en tiempo real.

Todos los plugins de seguridad populares como Sucuri y MalCare le permiten habilitar la autenticación de 2 factores dentro del panel.

Así que no necesitarás tocar ningún código para agregar esta medida a tu sitio.

Paso 6: Agregar autenticación HTTP

El último paso que puedes tomar para proteger tu sitio de ataques de fuerza bruta es agregar una página de inicio de sesión a tu página de inicio de sesión.

Parece mucho, pero esto actúa como una capa adicional de protección y es una forma segura de bloquear a los hackers para que no ingresen a tu sitio a través de ataques de fuerza bruta.

La autenticación HTTP funciona ocultando tu página de inicio de sesión y mostrando una página en blanco con un cuadro de inicio de sesión.

Una vez que ingreses tus credenciales HTTP, aparecerá tu página de inicio de sesión de WordPress.

autenticación http

Puedes agregar esta medida dentro del cPanel de tu hosting. Si nunca has usado cPanel antes, no te preocupes. Te mostraremos cómo hacerlo en unos sencillos pasos.

Inicia sesión en tu cuenta de alojamiento web, accede a cPanel y busca 'Privacidad del directorio'.

privacidad del directorio

Dentro, de la lista de carpetas, localiza la carpeta wp-admin y edítala.

editar privacidad de wpadmin

En la siguiente página, primero, habilita la opción ‘Proteger este directorio con contraseña’. Ahora cPanel te pedirá que agregues un nombre de usuario y una contraseña.

agregar contraseña al directorio

Asegúrate de guardar tu configuración antes de salir de esta página. Ahora tu directorio de administrador de WordPress está protegido con contraseña.

Cuando abras tu página wp-admin, verás un aviso de inicio de sesión para ingresar el nombre de usuario y la contraseña que acabas de crear.

En caso de que te encuentres con un error 404 o demasiados mensajes de redirección, deberás agregar la siguiente línea a tu archivo .htaccess de WordPress.

ErrorDocument 401 default

Con eso, tu sitio web está protegido contra ataques de fuerza bruta.

También recomendamos hacer una copia de seguridad de tu sitio regularmente. Cuando las cosas van mal, ya sea un hackeo o simplemente un error humano, puedes restaurar rápidamente tu sitio y devolverlo a la normalidad. Esto te permite minimizar el daño a tu sitio y la experiencia del usuario.

Puedes usar UpdraftPlus para programar copias de seguridad automatizadas que se almacenan de forma segura.

Para más opciones de copias de seguridad, consulta nuestra selección de los Mejores Plugins de Copia de Seguridad para WordPress.

Esperamos que hayas encontrado útil esta publicación sobre la prevención de ataques de fuerza bruta. Y ahora que tu sitio web es seguro, puedes concentrarte en hacer crecer tu sitio y atraer más tráfico. Aquí tienes algunos recursos que hemos seleccionado especialmente para ti:

Estas publicaciones te ayudarán a mejorar el tráfico, la interacción y la experiencia del usuario. La última publicación te dará los mejores plugins y herramientas para agilizar los flujos de trabajo y hacer crecer tu negocio exponencialmente.

LinkedInPinShares12

Comentarios   Dejar una respuesta

Agrega un comentario

Nos complace que hayas elegido dejar un comentario. Ten en cuenta que todos los comentarios son moderados de acuerdo con nuestra política de privacidad, y todos los enlaces son nofollow. NO uses palabras clave en el campo del nombre. Tengamos una conversación personal y significativa.

Lista de verificación para lanzar WordPress

La lista de verificación definitiva para lanzar WordPress

Hemos recopilado todos los elementos esenciales de la lista de verificación para el lanzamiento de tu próximo sitio web de WordPress en un práctico ebook.
¡Sí, envíame el eBook gratis!
Copyright © 2015 - 2026 WPBeginner LLC. All Rights Reserved. Managed by Awesome Motive Inc.

NOTA EDITORIAL: Las opiniones expresadas aquí son únicamente del autor, no de ninguna empresa de alojamiento, proveedor de plugins, empresa de temas, Syed Balkhi o la Fundación WordPress, y no han sido revisadas, aprobadas ni respaldadas de ninguna otra manera por ninguna de estas entidades.

DESCARGO DE RESPONSABILIDAD: Hacemos grandes esfuerzos para mantener datos confiables sobre todas las ofertas presentadas. Sin embargo, estos datos se proporcionan sin garantía. Los usuarios siempre deben consultar el sitio web oficial del proveedor para conocer los términos y detalles actuales. Las ofertas de productos que aparecen en el sitio web son de las respectivas empresas de alojamiento, empresas de plugins y empresas de temas de las cuales IsItWP recibe una compensación. Esta compensación puede afectar cómo y dónde aparecen los productos en este sitio (incluyendo, por ejemplo, el orden en que aparecen). Este sitio no incluye todos los productos de WordPress ni todas las ofertas de productos disponibles.