Ataques de Fuerza Bruta: ¿Qué Hacer?

En el mundo de los delitos cibernéticos, el ataque de fuerza bruta es una actividad que implica intentos repetitivos sucesivos de probar varias combinaciones de contraseña para ingresar a cualquier sitio web.

Este intento se lleva a cabo enérgicamente por los piratas informáticos que también hacen uso de bots que han instalado maliciosamente en otras computadoras para aumentar la potencia informática necesaria para ejecutar este tipo de ataques.

Si no implementas ninguna medida de seguridad, probablemente no te des cuenta de cuan constantes son estos ataques.

¿Qué Motivas los Ataques de Fuerza Bruta?

Detrás del ataque de fuerza bruta, el motivo del pirata informático es obtener acceso ilegal a un sitio web específico y utilizarlo para ejecutar otro tipo de ataque o robar datos valiosos o simplemente cerrar tu sitio.

También es posible que el atacante infecte el sitio objetivo con scripts maliciosos para objetivos a largo plazo sin siquiera sin dejar rastro.

Por lo tanto, se recomienda ejecutar escaneos frecuentes y seguir las mejores prácticas para asegurar su sitio de WordPress.

¿Coḿo se Hacen los Ataques de Fuerza Bruta?

Los ataques de fuerza bruta son automatizados por lo que estos pueden probar una gran cantidad de contraseñas en un minuto.

De manera automatizada o manual, los hackers tratan determinar el nombre de usuario de tu sitio con el afán de concentrar los esfuerzos en tratar de descifrar la contraseña del sitio.

El problema de estos miles y miles de intentos es que estos pueden agotar lo recursos de tu servidor por lo que podrían hacer que este deje de funcionar.

¿Cómo Prevenir Ataques de Fuerza Bruta?

Los ataques de fuerza bruta suceden todos los días por lo que estos son algunos buenos consejos para prevenir ataques de fuerza bruta:

#1 Longitud de la Contraseña

Uno de los grandes problemas de muchos sitios es la longitud de la contraseña, una contraseña relativamente corta es fácil de vulnerar.

Por ejemplo

Yo durante muchos años use una contraseña relacionado con mi pasada religiosa, mi contraseña era un versiculo del libro de Mormón.

La contraseña era 2nefi115 y fue vulnerada recientemente en algunos de los sitios a los cuales me suscribí hace más de 5 0 6 años.

Debido a eso, revise mi contraseña en un detector de fortaleza de contraseñas y descubrí que esa contraseña puede ser vulnerada en un minuto.

La misma versioń de la contraseña pero con una mayúscula (2Nefi115) podría tardar hasta dos horas.

Esa definitivamente era una vergüenza de contraseña.

#2 Complejidad de la Contraseña

Además del mínimo de caracteres deben de prestarle atención a la complejidad de la contraseña.

Por ejemplo el mismo detector de contraseñas asegura que esta contraseña 2Nefi115$# tardaria 6 años en ser descifrada.

Esta contraseña tardaria 2Nefi115$#MC 34 años en descifrarse.

Asegurate de usar un gestor de contraseñas como LastPass para usar contraseñas que tomarían años en ser descifradas.

Este es un ejemplo de contraseña tomado de LastPASS: Irb51d*!ORWd

#3 Limitar el Número de Intentos de Acceso

Los ataque de fuerza pueden tardar horas por lo que una de las formas de prevenir ser víctima de estos ataques es limitar el número de intentos que una persona o bot puede realizar,

Esto lo puedes hacer por medio de muchos plugins tales como

#4 Cambiar la Dirección de Login

También puedes hacer el trabajo de los hackers algo más difícil cambiando la dirección de login.

La mayoría de los plugins de seguridad tienen esa función integrada. Si los hackers no pueden encontrar la puerta, jamás podrán tocar el timbre.

#5 Bloquear Acceso por Dirección IP

Una de las maneras de proteger tu sitio de wordpress es por medio de una pequeña modificación del archivo .HTACCESS donde bloqueas el acceso a tu dirección de login con excepción de tu direccioń IP

<Files /wp-login>
 order deny,allow
 allow from IP1
 allow from IP2
 deny from all
 </Files>

Esto tambien lo puedes realizar por medio de plugins tales como All in One WP Security and Firewall.

Las reglas de cortafuegos de CloudFlare te pueden ayudar a bloquear la página de acceso.

#6 Usar un Captcha

Otra de las maneras de proteger tu sitio es por medio de el uso de captcha en la url de acceso de tu sitio.

Un captcha es un pequeño challenge que solo los humanos pueden contestar, como por ejemplo 3*5= _____

#7 Autenticación de Dos Factores

Otra de las maneras de proteger tu sitio es mediante la implementación de autenticación de dos factores.

Esto consiste básicamente en que tendrás que agregar un código dado por aplicación tales como Authy or Google Autheticator.

Dos plugins que te pueden ayudar con eso es:

#8 El Usuario de WordPress

Nunca uses Admin como usuario de WordPress ya que le estás facilitando el trabajo a los hackers.

Procura que tu nombre de usuarios sea dificil de descifrar

#9 Ten una Cuenta de Editor

Una de las medidas que puedes implementar es tener una cuenta de administrador que tenga un usuario y contraseña super complicada:

Usuariop*k9nN^!8^6D
Contraseña2SfCGp4$*zfX

La cuenta de editor puede ser algo menos complejo que lo anterior con la ventaja que un hacker no podrá hacer mucho con una cuenta de autor o editor.

Cambiar el Login de WordPress

Fuentes y otros

Estas son algunos de los artículos que ayudaron con esta publicación

Artículos Relacionados

Esta es una serie de artículos relacionados con el tema de la seguridad en WordPress