Atacar un sitio web mediante la fuerza bruta es una técnica antigua y todavía existe en Internet.
Fuerza Bruta los ataques pueden tomar tu sitio web inactivo e interrumpir su negocio en línea si la herramienta de prevención necesaria no está en su lugar.
El ataque de fuerza bruta se puede aplicar utilizando humanos o bots al intentar iniciar sesión continuamente con credenciales adivinadas en su sitio web de WordPress.
Esto empeora cuando la página de inicio de sesión no está protegida, y algunas de las investigaciones han detectado miles de intentos de inicio de sesión en wp-login.php por minuto.
Echemos un vistazo al gráfico de SUCURI.
¡Más de 1 millón de ataques por hora!
Fue enorme!
Hace unos días, recibí 42 notificaciones por correo electrónico sobre el bloqueo del sitio debido a ataques de fuerza bruta. Entonces esto te puede pasar.
Hay varias formas de prevenir ataques de fuerza bruta; aquí hay algunos de ellos, que puede seguir.
Hide WordPress Login
Una de las primeras cosas que debe considerar hacer después de configurar su sitio web es ocultar el área de inicio de sesión.
De forma predeterminada, una página de inicio de sesión de WordPress está disponible como:
- /wp-login.php
- /iniciar sesión
- / Wp-admin
- / admin
Conociendo las tecnologías que está utilizando es fácil en estos días.
Entonces, si los malos saben que está usando WordPress y el área de inicio de sesión no está oculta, entonces pueden acceder fácilmente a la página de inicio de sesión y prepararse para un ataque de fuerza bruta.
Ocultemos el área de inicio de sesión de WordPress con los siguientes complementos. Puede utilizar cualquiera de ellos.
WPS Hide Login
WPS Hide Login es un complemento ligero con activo instalado sobre 400,000. Este complemento lo ayudará a cambiar la URL de inicio de sesión a lo que desee.
Después de cambiar la URL de inicio de sesión, si alguien intenta acceder a wp-admin / wp-login.php / login / admin, arrojará una página de error 404.
Seguridad iThemes
Un complemento premium ofrece una protección de seguridad integral de WP.
Yo te amo deja salir a los malos. Algunas de las características notables son:
- Protección de fuerza bruta
- Bloquear usuarios sospechosos
- Ocultar URL de inicio de sesión
- Autenticación de dos facciones
- Exploración de malware
- Copia de seguridad de la base de datos
Con una configuración mínima, está listo para comenzar.
Malcare
Listo para GDPR, Malcare es un complemento de protección de seguridad todo en uno para WordPress. Ofrece protección de inicio de sesión las XNUMX horas y mantiene alejado el tráfico malicioso.
No solo protección de fuerza bruta, Malcare ofrece otras características como escaneo de malware, eliminación de código malicioso, firewall web inteligente, endurecimiento con un clic, etc. Puede comenzar desde tan solo $ 99 por año. Vale la pena invertir para asegurar su negocio en línea.
Implement 2-factor Authentication
La autenticación de 2 factores agrega una capa adicional de seguridad a su sitio web de WordPress. Junto con sus credenciales, también debe proporcionar una contraseña de un solo uso (OTP).
Esto se puede lograr utilizando los siguientes complementos.
Dos factores
Un fantástico y ligero plugin le permite implementar la autenticación de dos factores para el administrador de WP, el contribuyente, etc.
Puede configurar autenticación basada en correo electrónico, Google Authenticator, basada en U2F.
google Authenticator
Como dice el nombre, puedes usar esto plugin si está buscando un inicio de sesión de OTP basado en Google Authenticator.
Una vez que habilite el complemento y configure la autenticación, debería ver la pantalla anterior durante el inicio de sesión en su administrador de WP.
Las técnicas anteriores están basadas en complementos, pero también puede considerar usar Proveedor de seguridad basado en la nube proteccion.
Cloud-based Security
¿Por qué seguridad basada en la nube?
Usar un complemento para asegurar su sitio significa que todo el tráfico, incluidos los malos, llega a los servidores de WordPress. Imagínese, recibe una gran cantidad de tráficos inútiles.
Al utilizar la protección basada en la nube, su servidor de WordPress solo recibe tráfico legítimo. Todos los bots, spam y solicitudes sospechosas se terminan en una red de proveedores de seguridad.
Suena bien?
Hay pocas opciones, pero dos de las más populares son las siguientes.
SUCURI
SUCURI está especializado en antivirus y firewall de sitios web. Le ayudan a detener los intentos de pirateo, detener un ataque DDoS, limpiar el pirateo y garantizar la seguridad completa de su sitio web. Incluye protección contra ataques de fuerza bruta.
Seguridad de WordPress por SUCURI es probablemente lo único que necesita para proteger su sitio web de la fuerza bruta y muchas otras vulnerabilidades de seguridad. Lo bueno de SUCURI es que es compatible con muchas otras plataformas como Joomla, Drupal, Magento, PHP, por lo que en caso de que cambie la tecnología del sitio web en el futuro, no necesita gastar otro $$ por seguridad.
Cloudflare
Uno de los proveedores de seguridad y CDN más populares. WAF de Cloudflare está incluido en el plan PRO, que cuesta $ 20 por mes.
Obtiene toda la protección de seguridad estándar como DDoS, las 10 principales vulnerabilidades de OWASP, spam, bots malvados, fuerza bruta, etc.
En resumen
Asegurar su sitio es esencial, y si está buscando mitigar los ataques de fuerza bruta, entonces uno de los complementos mencionados anteriormente hará el trabajo. Sin embargo, si está buscando seriamente una solución de seguridad completa, opte por la seguridad basada en la nube. ¡Vale la pena!
¡Mantente seguro!