Ataque masivo de fuerza bruta para acceder a sitios WordPress

WordPress fuerza bruta kali

Los ataques de fuerza bruta se producen cuando los hackers intentan acceder a los archivos de su sitio web probando constantemente nuevas contraseñas. Si lo consiguen, pueden robar sus datos privados, añadir malware o incluso tumbar su sitio web por completo.

Los ataques de fuerza bruta se producen cuando los hackers utilizan el método de ensayo y error para acceder a su sitio web. Esto suele implicar adivinar su información de acceso utilizando software automatizado. Esencialmente, los hackers prueban muchas combinaciones diferentes de contraseñas y nombres de usuario hasta que encuentran la suya.

Otras formas de piratería informática suelen aprovechar las vulnerabilidades de su sitio web WordPress. Por ejemplo, los hackers pueden acceder a sus datos a través de software, plugins o temas obsoletos. Incluso una versión antigua de PHP puede dejar su sitio vulnerable.

Los ataques de fuerza bruta son más comunes de lo que cree. De hecho, se están convirtiendo en una amenaza mayor que nunca. A finales de 2021, la tasa de ataques de fuerza bruta aumentó un 160%.

No hace falta decir que querrás proteger tu sitio web contra estos peligros. Aunque la configuración predeterminada de WordPress no ofrece protección adicional contra los ataques de fuerza bruta, puedes tomar algunas medidas para evitarlos.

Optimización de sitios web WordPress

Una campaña masiva de ataques de fuerza bruta distribuidos dirigidos a sitios WordPress comenzó esta mañana a las 3am Hora Universal, 7pm Hora del Pacífico. El ataque es amplio en el sentido de que utiliza un gran número de IPs atacantes, y también es profundo en el sentido de que cada IP está generando un gran número de ataques. Se trata de la campaña más agresiva que hemos visto hasta la fecha, con picos de más de 14 millones de ataques por hora.

  Restauración por derribo

La campaña sigue aumentando su volumen durante la última hora mientras publicamos este post. A continuación se muestra un gráfico de los volúmenes de ataque que muestra el número de ataques por hora y el número de IPs atacantes que vemos cada hora.

Nuestra infraestructura puso automáticamente en la lista negra las IP participantes en tiempo real y las distribuyó a nuestros clientes Premium. Todo esto ha sucedido de forma desatendida a primera hora de esta mañana. Seguimos vigilando la campaña y estamos analizando su origen y quién está detrás de ella.

El 5 de diciembre apareció una base de datos masiva de credenciales pirateadas. Contiene más de 1.400 millones de pares nombre de usuario/contraseña. Aproximadamente el 14% de la base de datos contiene credenciales que no se habían visto antes. La base de datos también permite realizar búsquedas y es fácil de usar.

WordPress fuerza bruta github

Muchos administradores de sitios ven cómo los recursos de sus servidores se agotan rápidamente, sus sitios dejan de responder o incluso se bloquean, lo que provoca que los usuarios queden bloqueados. El problema es que puedes sentirte impotente mientras los bots de fuerza bruta martillean la página de inicio de sesión, intentando acceder a tu wp-admin.

  Los mejores bloques gratuitos para Gutenberg

Los ataques de fuerza bruta a WordPress son intentos de obtener acceso no autorizado a su wp-admin probando varias combinaciones de nombres de usuario y contraseñas. Los hackers han desarrollado bots para bombardear continuamente una página de inicio de sesión con credenciales sobre una base de ensayo y error.

A menudo, los bots prueban una serie de contraseñas de un diccionario y, por lo tanto, también se conocen como ataques de diccionario o ataques de adivinación de contraseñas. Los ataques pueden configurarse para que provengan de diferentes direcciones IP, y así eludir las medidas de seguridad básicas. Existen otros tipos de ataques de fuerza bruta, que trataremos más adelante en el artículo.

Experimentar un ataque de fuerza bruta da miedo, especialmente porque parece que no hay nada que puedas hacer para detenerlo. Además, los efectos de un ataque son inmediatamente visibles. La mayoría de los sitios tienen recursos de servidor limitados, que se agotan rápidamente, y a menudo un sitio atacado se bloquea por completo.

Cómo proteger un sitio wordpress

La razón por la que los sitios web de WordPress son un objetivo común es que WordPress es el creador de sitios web más popular del mundo. Hace funcionar más del 43% de todos los sitios web, lo que significa cientos de millones de sitios web en todo el mundo.

Los hackers tienen varios motivos para piratear un sitio web. Algunos son principiantes que están aprendiendo a explotar sitios menos seguros. Otros tienen intenciones maliciosas, como distribuir malware, atacar otros sitios web y enviar spam.

  Procuraduría pide detención preliminar por caso Vacunas

Como todos los sitios web, los de WordPress se alojan en un servidor web. Algunas empresas de alojamiento no protegen adecuadamente su plataforma de alojamiento. Esto hace que todos los sitios web alojados en sus servidores sean vulnerables a intentos de pirateo.

Las contraseñas son las claves de su sitio WordPress. Debe asegurarse de que utiliza una contraseña única y segura para cada una de las siguientes cuentas, ya que todas ellas pueden proporcionar a un pirata informático acceso completo a su sitio web.

Puedes evitarlo fácilmente utilizando contraseñas únicas y seguras para cada cuenta. Consulta nuestra guía sobre la mejor forma de gestionar contraseñas para principiantes de WordPress para aprender a gestionar todas esas contraseñas seguras.