geekflare
Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
By chandan kumar in La Seguridad  |  Última actualización: 6 de septiembre de 2022
Comparte en:

¿Cómo proteger WordPress de ataques de fuerza bruta?

protección de fuerza bruta 1
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Atacar un sitio web mediante la fuerza bruta es una técnica antigua y todavía existe en Internet.

Fuerza Bruta los ataques pueden tomar tu sitio web inactivo e interrumpir su negocio en línea si la herramienta de prevención necesaria no está en su lugar.

El ataque de fuerza bruta se puede aplicar utilizando humanos o bots al intentar iniciar sesión continuamente con credenciales adivinadas en su sitio web de WordPress.

Esto empeora cuando la página de inicio de sesión no está protegida, y algunas de las investigaciones han detectado miles de intentos de inicio de sesión en wp-login.php por minuto.

Echemos un vistazo al gráfico de SUCURI.

sucuri-wordpress-bruto

¡Más de 1 millón de ataques por hora!

sucuri-por-hora

Fue enorme!

Hace unos días, recibí 42 notificaciones por correo electrónico sobre el bloqueo del sitio debido a ataques de fuerza bruta. Entonces esto te puede pasar.

geekflare-fuerza-bruta

Hay varias formas de prevenir ataques de fuerza bruta; aquí hay algunos de ellos, que puede seguir.

Hide WordPress Login

Una de las primeras cosas que debe considerar hacer después de configurar su sitio web es ocultar el área de inicio de sesión.

De forma predeterminada, una página de inicio de sesión de WordPress está disponible como:

  •  /wp-login.php
  • /iniciar sesión
  • / Wp-admin
  • / admin

Conociendo las tecnologías que está utilizando es fácil en estos días.

Entonces, si los malos saben que está usando WordPress y el área de inicio de sesión no está oculta, entonces pueden acceder fácilmente a la página de inicio de sesión y prepararse para un ataque de fuerza bruta.

Ocultemos el área de inicio de sesión de WordPress con los siguientes complementos. Puede utilizar cualquiera de ellos.

WPS Hide Login

WPS Hide Login es un complemento ligero con activo instalado sobre 400,000. Este complemento lo ayudará a cambiar la URL de inicio de sesión a lo que desee.

wps-ocultar-inicio de sesión

Después de cambiar la URL de inicio de sesión, si alguien intenta acceder a wp-admin / wp-login.php / login / admin, arrojará una página de error 404.

Seguridad iThemes

Un complemento premium ofrece una protección de seguridad integral de WP.

ithemes-seguridad

Yo te amo deja salir a los malos. Algunas de las características notables son:

  • Protección de fuerza bruta
  • Bloquear usuarios sospechosos
  • Ocultar URL de inicio de sesión
  • Autenticación de dos facciones
  • Exploración de malware
  • Copia de seguridad de la base de datos

Con una configuración mínima, está listo para comenzar.

Malcare

Listo para GDPR, Malcare es un complemento de protección de seguridad todo en uno para WordPress. Ofrece protección de inicio de sesión las XNUMX horas y mantiene alejado el tráfico malicioso.

mal cuidado

No solo protección de fuerza bruta, Malcare ofrece otras características como escaneo de malware, eliminación de código malicioso, firewall web inteligente, endurecimiento con un clic, etc. Puede comenzar desde tan solo $ 99 por año. Vale la pena invertir para asegurar su negocio en línea.

Implement 2-factor Authentication

La autenticación de 2 factores agrega una capa adicional de seguridad a su sitio web de WordPress. Junto con sus credenciales, también debe proporcionar una contraseña de un solo uso (OTP).

Esto se puede lograr utilizando los siguientes complementos.

Dos factores

Un fantástico y ligero plugin le permite implementar la autenticación de dos factores para el administrador de WP, el contribuyente, etc.

wp de dos factores

Puede configurar autenticación basada en correo electrónico, Google Authenticator, basada en U2F.

google Authenticator

Como dice el nombre, puedes usar esto plugin si está buscando un inicio de sesión de OTP basado en Google Authenticator.

google-autenticador-wp

Una vez que habilite el complemento y configure la autenticación, debería ver la pantalla anterior durante el inicio de sesión en su administrador de WP.

Las técnicas anteriores están basadas en complementos, pero también puede considerar usar Proveedor de seguridad basado en la nube proteccion.

Cloud-based Security

¿Por qué seguridad basada en la nube?

Usar un complemento para asegurar su sitio significa que todo el tráfico, incluidos los malos, llega a los servidores de WordPress. Imagínese, recibe una gran cantidad de tráficos inútiles.

Al utilizar la protección basada en la nube, su servidor de WordPress solo recibe tráfico legítimo. Todos los bots, spam y solicitudes sospechosas se terminan en una red de proveedores de seguridad.

Suena bien?

Hay pocas opciones, pero dos de las más populares son las siguientes.

SUCURI

SUCURI está especializado en antivirus y firewall de sitios web. Le ayudan a detener los intentos de pirateo, detener un ataque DDoS, limpiar el pirateo y garantizar la seguridad completa de su sitio web. Incluye protección contra ataques de fuerza bruta.

sucuri-waf

Seguridad de WordPress por SUCURI es probablemente lo único que necesita para proteger su sitio web de la fuerza bruta y muchas otras vulnerabilidades de seguridad. Lo bueno de SUCURI es que es compatible con muchas otras plataformas como Joomla, Drupal, Magento, PHP, por lo que en caso de que cambie la tecnología del sitio web en el futuro, no necesita gastar otro $$ por seguridad.

Cloudflare

Uno de los proveedores de seguridad y CDN más populares. WAF de Cloudflare está incluido en el plan PRO, que cuesta $ 20 por mes.

cloudflare-waf-1

Obtiene toda la protección de seguridad estándar como DDoS, las 10 principales vulnerabilidades de OWASP, spam, bots malvados, fuerza bruta, etc.

En resumen

Asegurar su sitio es esencial, y si está buscando mitigar los ataques de fuerza bruta, entonces uno de los complementos mencionados anteriormente hará el trabajo. Sin embargo, si está buscando seriamente una solución de seguridad completa, opte por la seguridad basada en la nube. ¡Vale la pena!

¡Mantente seguro!

Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • invicti
    Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Datos brillantes
    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush
    Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder