Atacar un sitio web utilizando la Fuerza Bruta es una técnica antigua y todavía existe en Internet.
Fuerza bruta ataques pueden tomar su sitio web inactivo y perturbar su negocio en línea si no se dispone de la herramienta de prevención necesaria.
Los ataques de fuerza bruta pueden ser aplicados tanto por humanos como por bots, tratando continuamente de iniciar sesión con credenciales adivinadas en su sitio web WordPress.
Esto empeora cuando la página de inicio de sesión no está protegida, y algunas de las investigaciones han observado miles de intentos de inicio de sesión en wp-login.php por minuto.
Echemos un vistazo al gráfico de SUCURI.
Más de 1 millón de ataques por hora
Eso es enorme!
Hace unos días, recibí 42 correos electrónicos de notificación sobre el bloqueo del sitio debido a ataques de fuerza bruta. Así que esto te puede pasar a ti.
Existen múltiples formas de prevenir los ataques de fuerza bruta; a continuación te indicamos algunas de ellas, que puedes seguir.
Ocultar WordPress Login
Una de las primeras cosas que debería hacer después de configurar su sitio web es ocultar el área de inicio de sesión.
Por defecto, una página de inicio de sesión de WordPress está disponible como:
- /wp-login.php
- /inicio de sesión
- /wp-admin
- /admin
Conocer las tecnologías que está utilizando es fácil hoy en día.
Así que si los chicos malos saben que estás usando WordPress y el área de inicio de sesión no está oculta, entonces pueden acceder fácilmente a la página de inicio de sesión y prepararse para un ataque de fuerza bruta.
Vamos a ocultar el área de inicio de sesión de WordPress con los siguientes plugins. Puedes usar cualquiera de ellos.
WPS Ocultar inicio de sesión
WPS Ocultar inicio de sesión es un plugin ligero con instalación activa sobre 400,000. Este plugin le ayudará a cambiar la URL de inicio de sesión a cualquier cosa que desee.
Después de cambiar la URL de inicio de sesión, si alguien intenta acceder a wp-admin/wp-login.php/login/admin, entonces arrojará una página de error 404.
Seguridad iThemes
Un plugin premium ofrece una protección completa de la seguridad de WP.
iThemes dejar salir a los malos. Algunas de las características notables son:
- Protección por fuerza bruta
- Bloquear usuarios sospechosos
- Ocultar URL de acceso
- Autenticación de dos facciones
- Análisis de malware
- Copia de seguridad de la base de datos
Con una configuración mínima, ya puedes empezar.
Malcare
Preparado para el GDPR, Malcare es un plugin de protección de seguridad todo en uno para WordPress. Ofrece protección de inicio de sesión durante todo el día y mantiene alejado el tráfico malicioso.
No sólo protección por fuerza bruta, sino que Malcare ofrece otras funciones como escaneado de malware, eliminación de código malicioso, cortafuegos web inteligente, endurecimiento con un solo clic, etc. Puede empezar a utilizarlo a partir de $99 al año. Merece la pena invertir en la seguridad de su negocio en línea.
Implantar la autenticación de 2 factores
La autenticación de 2 factores añade una capa adicional de seguridad a su sitio web WordPress. Junto con sus credenciales, también debe proporcionar una contraseña de un solo uso (OTP).
Esto se puede conseguir utilizando los siguientes plugins.
Dos factores
Un fantástico y ligero plugin le permite implementar la autenticación de dos factores para el administrador de WP, colaborador, etc.
Puede configurar una autenticación basada en correo electrónico, Google Authenticator o U2F.
Autenticador de Google
Como su nombre indica, puede utilizar este plugin si está buscando un inicio de sesión OTP basado en Google Authenticator.
Una vez que haya habilitado el plugin y configurado la autenticación, debería ver la pantalla anterior durante el inicio de sesión en su WP admin.
Las técnicas anteriores se basan en plugins, pero también puede considerar el uso de Proveedor de seguridad basada en la nube protección.
Seguridad basada en la nube
¿Por qué seguridad basada en la nube?
Utilizar un plugin para proteger su sitio significa que todo el tráfico, incluido el malo, llega a los servidores de WordPress. Imagina que recibes un gran número de tráfico inútil.
Al utilizar la protección basada en la nube, su servidor WordPress sólo recibe tráfico legítimo. Todos los bots, spams y solicitudes sospechosas se eliminan en la red de un proveedor de seguridad.
¿Te parece bien?
Hay pocas opciones, pero dos de las más populares son las siguientes.
SUCURI
SUCURI está especializada en antivirus y cortafuegos para sitios web. Le ayudan a detener los intentos de hackeo, detener un ataque DDoS, hackeo limpio, y la seguridad completa a su sitio web. Incluyendo protección contra ataques de fuerza bruta.
La seguridad de WordPress por SUCURI es probablemente lo único que necesita para proteger su sitio web de la Fuerza Bruta y muchas otras vulnerabilidades de seguridad. Lo bueno de SUCURI es que soporta muchas otras plataformas como Joomla, Drupal, Magento, PHP, por lo que en caso de cambiar la tecnología del sitio web en el futuro, no es necesario gastar otro $$ para la seguridad.
Cloudflare
Uno de los proveedores de CDN y seguridad más populares. WAF de Cloudflare está incluido en el plan PRO, que cuesta $20 al mes.
Obtendrá toda la protección de seguridad estándar, como DDoS, vulnerabilidades OWASP top 10, spam, bots malignos, fuerza bruta, etc.
Conclusión
Proteger su sitio web es esencial y, si lo que busca es mitigar los ataques de fuerza bruta, uno de los plugins de la lista anterior le servirá. Sin embargo, si busca una solución de seguridad completa, opte por la seguridad basada en la nube. Merece la pena.
¡Manténgase seguro!