Ataques de Fuerza Bruta: ¿Qué Hacer?

En el mundo de los delitos cibernéticos, el ataque de fuerza bruta es una actividad que implica intentos repetitivos sucesivos de probar varias combinaciones de contraseña para ingresar a cualquier sitio web.

Este intento se lleva a cabo enérgicamente por los piratas informáticos que también hacen uso de bots que han instalado maliciosamente en otras computadoras para aumentar la potencia informática necesaria para ejecutar este tipo de ataques.

Si no implementas ninguna medida de seguridad, probablemente no te des cuenta de cuan constantes son estos ataques.

¿Qué Motivas los Ataques de Fuerza Bruta?

Detrás del ataque de fuerza bruta, el motivo del pirata informático es obtener acceso ilegal a un sitio web específico y utilizarlo para ejecutar otro tipo de ataque o robar datos valiosos o simplemente cerrar tu sitio.

También es posible que el atacante infecte el sitio objetivo con scripts maliciosos para objetivos a largo plazo sin siquiera sin dejar rastro.

Por lo tanto, se recomienda ejecutar escaneos frecuentes y seguir las mejores prácticas para asegurar su sitio de WordPress.

¿Coḿo se Hacen los Ataques de Fuerza Bruta?

Los ataques de fuerza bruta son automatizados por lo que estos pueden probar una gran cantidad de contraseñas en un minuto.

De manera automatizada o manual, los hackers tratan determinar el nombre de usuario de tu sitio con el afán de concentrar los esfuerzos en tratar de descifrar la contraseña del sitio.

El problema de estos miles y miles de intentos es que estos pueden agotar lo recursos de tu servidor por lo que podrían hacer que este deje de funcionar.

¿Cómo Prevenir Ataques de Fuerza Bruta?

Los ataques de fuerza bruta suceden todos los días por lo que estos son algunos buenos consejos para prevenir ataques de fuerza bruta:

#1 Longitud de la Contraseña

Uno de los grandes problemas de muchos sitios es la longitud de la contraseña, una contraseña relativamente corta es fácil de vulnerar.

Por ejemplo

Yo durante muchos años use una contraseña relacionado con mi pasada religiosa, mi contraseña era un versiculo del libro de Mormón.

La contraseña era 2nefi115 y fue vulnerada recientemente en algunos de los sitios a los cuales me suscribí hace más de 5 0 6 años.

Debido a eso, revise mi contraseña en un detector de fortaleza de contraseñas y descubrí que esa contraseña puede ser vulnerada en un minuto.

La misma versioń de la contraseña pero con una mayúscula (2Nefi115) podría tardar hasta dos horas.

Esa definitivamente era una vergüenza de contraseña.

#2 Complejidad de la Contraseña

Además del mínimo de caracteres deben de prestarle atención a la complejidad de la contraseña.

Por ejemplo el mismo detector de contraseñas asegura que esta contraseña 2Nefi115$# tardaria 6 años en ser descifrada.

Esta contraseña tardaria 2Nefi115$#MC 34 años en descifrarse.

Asegurate de usar un gestor de contraseñas como LastPass para usar contraseñas que tomarían años en ser descifradas.

Este es un ejemplo de contraseña tomado de LastPASS: Irb51d*!ORWd

#3 Limitar el Número de Intentos de Acceso

Los ataque de fuerza pueden tardar horas por lo que una de las formas de prevenir ser víctima de estos ataques es limitar el número de intentos que una persona o bot puede realizar,

Esto lo puedes hacer por medio de muchos plugins tales como

#4 Cambiar la Dirección de Login

También puedes hacer el trabajo de los hackers algo más difícil cambiando la dirección de login.

Cambiar la dirección de login de tu sitio es seguridad por oscuridad por lo que esto debe complementar otras medidas y no ser simplemente la única.

La mayoría de los plugins de seguridad tienen esa función integrada.

Plugins como Itheme Security and All in One WP Security and Firewall tiene esa opción entre sus opciones.

Si los hackers no pueden encontrar la puerta, jamás podrán tocar el timbre.

#5 Bloquear Acceso por Dirección IP

Una de las maneras de proteger tu sitio de wordpress es por medio de una pequeña modificación del archivo .HTACCESS donde bloqueas el acceso a tu dirección de login con excepción de tu direccioń IP

<Files /wp-login>
 order deny,allow
 allow from IP1
 allow from IP2
 deny from all
 </Files>

Esto tambien lo puedes realizar por medio de plugins tales como All in One WP Security and Firewall.

Esta es una manera muy efectiva de detener ataques de fuerza bruta pero se convierten en un problema si la dirección IP que usas siempre cambia.

#6 Usar un Captcha

Otra de las maneras de proteger tu sitio es por medio de el uso de captcha en la url de acceso de tu sitio.

Un captcha es un pequeño challenge que solo los humanos pueden contestar, como por ejemplo 3*5= _____

Si quieres un plugin que realice esta función, debes de considerar All in One WP Security and Firewall

#7 Autenticación de Dos Factores

Otra de las maneras de proteger tu sitio es mediante la implementación de autenticación de dos factores.

Esto consiste básicamente en que tendrás que agregar un código dado por aplicación tales como Authy or Google Authenticator.

Dos plugins que te pueden ayudar con eso es:

#8 El Usuario de Wordpress

Nunca uses Admin como usuario de Wordpress ya que le estás facilitando el trabajo a los hackers.

Procura que tu nombre de usuarios sea difícil de descifrar al igual que la contraseña de tu sitio.

#9 Ten una Cuenta de Editor

Una de las medidas que puedes implementar es tener una cuenta de administrador que tenga un usuario y contraseña super complicada:

Usuariop*k9nN^!8^6D
Contraseña2SfCGp4$*zfX

La cuenta de editor puede ser algo menos complejo que lo anterior con la ventaja que un hacker no podrá hacer mucho con una cuenta de autor o editor.

#10 Reglas de CortaFuegos de CloudFlare

Una de las maneras más efectivas para detener ataques de fuerza bruta es por medio de las reglas de Firewall de CloudFlare.

Esta es mi manera de reducir los ataques de fuerza bruta a cero.

La protección de las paginas de acceso por medio de CloudFlare funcionan de maravilla si eres el único usuario del sitio.

Fuentes y otros

Estas son algunos de los artículos que ayudaron con esta publicación

Artículos Relacionados

Esta es una serie de artículos relacionados con el tema de la seguridad en Wordpress

  1. Cómo Forzar SSL en WordPress
  2. Cómo Bloquear Bots de tu Sitio de WordPress
  3. 15 Consejos de Seguridad para WordPress
  4. Desactivar el XMLRPC.PHP en WordPress
  5. ¿Que es el CortaFuegos 6G para WordPress?
  6. Cómo Usar el Archivo .htaccess
  7. 4 Plugins para Detectar Malware en WordPress
  8. Cómo Limpiar un Sitio de WordPress Hackeado
  9. Plugins y Temas GPL: ¿Puedo Usarlos?
  10. Cómo Cambiar el Login de WordPress

Sobre Jose manuel

Soy José Manuel, empecé un blog en el 2011 como un pasatiempo y para hacerlo en mis clases y poco a poco, me enamoré de WordPress. Espero que algo de todo lo que he escrito te sirva de ayuda.

RevistaWP

RevistaWP es un sitio donde registro mis pensamientos y descubrimientos sobre todo lo que sucede dentro del mundo WordPress

Contacto

Puedes contactarme por medio de los siguientes canales