Geekflare
[gtranslate]
Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Seguridad y WordPress  |  Última actualización: 15 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

¿Cómo proteger WordPress de los ataques de fuerza bruta?

Por
protección por fuerza bruta 1

Atacar un sitio web utilizando la Fuerza Bruta es una técnica antigua y todavía existe en Internet.

Fuerza bruta ataques pueden tomar su sitio web inactivo y perturbar su negocio en línea si no se dispone de la herramienta de prevención necesaria.

Los ataques de fuerza bruta pueden ser aplicados tanto por humanos como por bots, tratando continuamente de iniciar sesión con credenciales adivinadas en su sitio web WordPress.

Esto empeora cuando la página de inicio de sesión no está protegida, y algunas de las investigaciones han observado miles de intentos de inicio de sesión en wp-login.php por minuto.

Echemos un vistazo al gráfico de SUCURI.

sucuri-wordpress-brute

Más de 1 millón de ataques por hora

sucuri-por-hora

Eso es enorme!

Hace unos días, recibí 42 correos electrónicos de notificación sobre el bloqueo del sitio debido a ataques de fuerza bruta. Así que esto te puede pasar a ti.

geekflare-brute-force

Existen múltiples formas de prevenir los ataques de fuerza bruta; a continuación te indicamos algunas de ellas, que puedes seguir.

Ocultar WordPress Login

Una de las primeras cosas que debería hacer después de configurar su sitio web es ocultar el área de inicio de sesión.

Por defecto, una página de inicio de sesión de WordPress está disponible como:

  •  /wp-login.php
  • /inicio de sesión
  • /wp-admin
  • /admin

Conocer las tecnologías que está utilizando es fácil hoy en día.

Así que si los chicos malos saben que estás usando WordPress y el área de inicio de sesión no está oculta, entonces pueden acceder fácilmente a la página de inicio de sesión y prepararse para un ataque de fuerza bruta.

Vamos a ocultar el área de inicio de sesión de WordPress con los siguientes plugins. Puedes usar cualquiera de ellos.

WPS Ocultar inicio de sesión

WPS Ocultar inicio de sesión es un plugin ligero con instalación activa sobre 400,000. Este plugin le ayudará a cambiar la URL de inicio de sesión a cualquier cosa que desee.

wps-hide-login

Después de cambiar la URL de inicio de sesión, si alguien intenta acceder a wp-admin/wp-login.php/login/admin, entonces arrojará una página de error 404.

Seguridad iThemes

Un plugin premium ofrece una protección completa de la seguridad de WP.

ithemes-seguridad

iThemes dejar salir a los malos. Algunas de las características notables son:

  • Protección por fuerza bruta
  • Bloquear usuarios sospechosos
  • Ocultar URL de acceso
  • Autenticación de dos facciones
  • Análisis de malware
  • Copia de seguridad de la base de datos

Con una configuración mínima, ya puedes empezar.

Malcare

Preparado para el GDPR, Malcare es un plugin de protección de seguridad todo en uno para WordPress. Ofrece protección de inicio de sesión durante todo el día y mantiene alejado el tráfico malicioso.

malcare

No sólo protección por fuerza bruta, sino que Malcare ofrece otras funciones como escaneado de malware, eliminación de código malicioso, cortafuegos web inteligente, endurecimiento con un solo clic, etc. Puede empezar a utilizarlo a partir de $99 al año. Merece la pena invertir en la seguridad de su negocio en línea.

Implantar la autenticación de 2 factores

La autenticación de 2 factores añade una capa adicional de seguridad a su sitio web WordPress. Junto con sus credenciales, también debe proporcionar una contraseña de un solo uso (OTP).

Esto se puede conseguir utilizando los siguientes plugins.

Dos factores

Un fantástico y ligero plugin le permite implementar la autenticación de dos factores para el administrador de WP, colaborador, etc.

dos factores-wp

Puede configurar una autenticación basada en correo electrónico, Google Authenticator o U2F.

Autenticador de Google

Como su nombre indica, puede utilizar este plugin si está buscando un inicio de sesión OTP basado en Google Authenticator.

google-autenticador-wp

Una vez que haya habilitado el plugin y configurado la autenticación, debería ver la pantalla anterior durante el inicio de sesión en su WP admin.

Las técnicas anteriores se basan en plugins, pero también puede considerar el uso de Proveedor de seguridad basada en la nube protección.

Seguridad basada en la nube

¿Por qué seguridad basada en la nube?

Utilizar un plugin para proteger su sitio significa que todo el tráfico, incluido el malo, llega a los servidores de WordPress. Imagina que recibes un gran número de tráfico inútil.

Al utilizar la protección basada en la nube, su servidor WordPress sólo recibe tráfico legítimo. Todos los bots, spams y solicitudes sospechosas se eliminan en la red de un proveedor de seguridad.

¿Te parece bien?

Hay pocas opciones, pero dos de las más populares son las siguientes.

SUCURI

SUCURI está especializada en antivirus y cortafuegos para sitios web. Le ayudan a detener los intentos de hackeo, detener un ataque DDoS, hackeo limpio, y la seguridad completa a su sitio web. Incluyendo protección contra ataques de fuerza bruta.

sucuri-waf

La seguridad de WordPress por SUCURI es probablemente lo único que necesita para proteger su sitio web de la Fuerza Bruta y muchas otras vulnerabilidades de seguridad. Lo bueno de SUCURI es que soporta muchas otras plataformas como Joomla, Drupal, Magento, PHP, por lo que en caso de cambiar la tecnología del sitio web en el futuro, no es necesario gastar otro $$ para la seguridad.

Cloudflare

Uno de los proveedores de CDN y seguridad más populares. WAF de Cloudflare está incluido en el plan PRO, que cuesta $20 al mes.

cloudflare-waf-1

Obtendrá toda la protección de seguridad estándar, como DDoS, vulnerabilidades OWASP top 10, spam, bots malignos, fuerza bruta, etc.

Conclusión

Proteger su sitio web es esencial y, si lo que busca es mitigar los ataques de fuerza bruta, uno de los plugins de la lista anterior le servirá. Sin embargo, si busca una solución de seguridad completa, opte por la seguridad basada en la nube. Merece la pena.

¡Manténgase seguro!

  • Chandan Kumar
    Autor
    Chandan Kumar es el fundador de Geekflare. Ha ayudado a millones de personas a destacar en el ámbito digital. Apasionado de la tecnología, su misión es explorar el mundo y ampliar el crecimiento de profesionales y empresas.
Gracias a nuestros patrocinadores
Más lecturas sobre seguridad
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti
    Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Brightdata
    Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Monday.com
    Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba Monday
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder