Aviso: El mayor ataque de fuerza bruta sobre WordPress de la historia

Cómo limitar los intentos de inicio de sesión en wordpress

Tanto si eres un “novato” en WordPress como si llevas años usándolo, cuando se trata de la seguridad de un sitio web en WordPress es probable que aún tengas dudas en la cabeza: “¿estoy haciendo lo suficiente?”, “¿es mi sitio realmente seguro?”, “¿y si me piratean?” Esta guía de seguridad de WordPress incluye una lista de cosas que debes comprobar y qué debes implementar para que tu sitio sea lo más seguro posible. Desde los plugins hasta la seguridad de los formularios, pasando por los temas y la seguridad del alojamiento, todo está aquí.Y no tienes que preocuparte por resolverlo tú mismo, porque un servicio de seguridad y mantenimiento de WordPress hecho por ti también es una opción si estás ocupado o no quieres las molestias del bricolaje.Así que si te preguntas cómo asegurar un sitio de WordPress correctamente y estás listo para tomártelo en serio, este artículo es para ti…Empecemos….

Como se mencionó anteriormente, la seguridad adecuada ayuda a detectar y evitar que los hackers accedan a su sitio.Los hackers pueden infligir un daño enorme a su sitio en un espacio muy corto de tiempo.Ellos hacen esto mediante el robo de información de usuario y contraseñas, la instalación de malware (que también puede ser enviado a sus usuarios), y mucho más.Imagine que sus clientes se envían enlaces tóxicos y otros contenidos nefastos bajo la apariencia de su sitio web. Para cualquier empresa, esto puede ser catastrófico y conducir rápidamente a una pérdida de reputación y, a su vez, de ingresos. Recuperarse de un caso de piratería puede ser increíblemente difícil e implicar grandes gastos y tiempo. Esto nos lleva a la segunda ventaja.

  WordPress TV

¿Se puede forzar WordPress?

Sí, todos los sistemas son vulnerables a los ataques de fuerza bruta. Debido a la forma en que funcionan, los ataques de fuerza bruta se pueden lanzar contra cualquier sistema con una página de inicio de sesión. Los sitios web de WordPress no son diferentes.

¿Puede detectarse un ataque de fuerza bruta?

Aunque los ataques de fuerza bruta son difíciles de detener por completo, son fáciles de detectar porque cada intento fallido de inicio de sesión registra un código de estado HTTP 401 en los registros de su servidor Web.

¿Cuál de los siguientes plugins de WordPress ayuda a defenderse de los ataques de fuerza bruta?

iThemes Security le garantiza que puede empezar a proteger su sitio web de ataques de fuerza bruta en menos de diez minutos. Con este plugin, puede personalizar rápidamente su página de inicio de sesión con autenticación de dos factores y requisitos de contraseña.

Plugin de seguridad de WordPress

Desafortunadamente, algunos usuarios se encuentran bloqueados de su propio sitio web WordPress después de escribir su contraseña incorrectamente un número de veces. Si te encuentras en esa situación, entonces deberías seguir los pasos de nuestra guía sobre cómo desbloquear el límite de intentos de inicio de sesión en WordPress.

A continuación, deberás elegir si quieres que se te notifique cuando alguien ha sido bloqueado. Si lo desea, puede cambiar la dirección de correo electrónico a la que se enviará la notificación. Por defecto, se le notificará la tercera vez que el usuario sea bloqueado.

En primer lugar, debe definir cuántos intentos de inicio de sesión se pueden realizar. Después, elija cuántos minutos tendrá que esperar un usuario si supera ese número de intentos fallidos. El valor por defecto es de 20 minutos.

  Funciones Personalizadas

También puedes aumentar el tiempo de espera una vez que el usuario haya sido bloqueado un número determinado de veces. Por ejemplo, la configuración predeterminada no permitirá que el usuario intente iniciar sesión durante 24 horas una vez que haya sido bloqueado 4 veces.

Las contraseñas fuertes pueden ser difíciles de recordar, pero puedes utilizar un gestor de contraseñas para hacerlo más fácil. Si tiene un sitio WordPress con varios autores, vea cómo puede forzar contraseñas seguras a los usuarios en WordPress.

Seguridad en WordPress

“Esta mañana temprano, nuestro equipo se despertó por las alertas de los sistemas que nos informaban de que necesitábamos aumentar nuestra capacidad de registro de ataques. El número de ataques a WordPress que estábamos supervisando por hora había superado todo lo que habíamos visto antes.

Rápidamente ampliamos nuestra infraestructura y ahora estamos supervisando lo que parece ser el ataque de fuerza bruta distribuida más agresivo de la historia, dirigido a sitios web de WordPress. Actualmente estamos viendo más de 14,1 millones de ataques por hora, y la cifra va en aumento.

Además de asesorar sobre productos y servicios de seguridad, también realizo auditorías de seguridad, auditorías de cumplimiento, evaluaciones de vulnerabilidad y pruebas de penetración. También imparto clases de formación sobre concienciación en ciberseguridad.

Trabajo como instructor de tecnologías de la información y ciberseguridad para varias organizaciones de formación y certificación. He trabajado en entornos de formación corporativa, militar, gubernamental y de desarrollo de la mano de obra.

Soy un orador frecuente en conferencias profesionales como la Conferencia de Bloggers de Minnesota, la Conferencia de Seguridad Secure360 en 2016, 2017, 2018, 2019, el Congreso Mundial (ISC)2 2016 y la Conferencia Internacional ISSA 2017, y muchas organizaciones comunitarias locales, incluidas las Cámaras de Comercio, SCORE y varios distritos escolares.

Ataque a WordPress

La configuración por defecto está altamente optimizada, diseñada para prevenir ataques de fuerza bruta sin molestar a los usuarios genuinos. Los usuarios avanzados pueden personalizar completamente el comportamiento de este plugin para adaptarlo a su propio entorno.

  Llora y pide perdón por “show tan bajo”

Un ataque de fuerza bruta es aquel en el que un atacante utiliza una herramienta de fuerza bruta (o script) para descubrir tu contraseña probando sistemáticamente todas las combinaciones posibles de letras, números y símbolos hasta encontrar la contraseña correcta. Un ataque de fuerza bruta siempre acabará funcionando, pero el problema para el atacante de fuerza bruta es que puede tardar muchos años en hacerlo.

El problema con este enfoque es que el administrador del sitio termina con usuarios insatisfechos que han sido bloqueados, a menudo necesitando intervención manual para recuperar el acceso. Esto no es sostenible ni deseable para sitios de cualquier tamaño.

El enfoque moderno de la prevención por fuerza bruta consiste en rastrear los dispositivos que los usuarios auténticos utilizan para iniciar sesión, asegurándose de que siempre se les trata amablemente si olvidan su contraseña. Los dispositivos no reconocidos se enfrentan a un bloqueo progresivo pero temporal.