Desarrollo web

Cómo proteger tu WordPress de la fuerza bruta

La popularidad de WordPress representa más del 30% de los sitios desarrollados en internet, convirtiéndose en una de las grandes víctimas de los ataques de fuerza bruta. Según SECURITI el wp-login.php registra miles de intentos de inicio de sesión, superando los 42.8 millones de ataques.

¿Qué es un ataque de fuerza bruta?

El ataque de Fuerza bruta es aquella que se aplica continuamente por humanos o bots para iniciar sesión con credenciales adivinadas. Cuando tu sitio web es frágil a nivel de seguridad, es posible que “delincuentes cibernéticos” roben información o realicen interrupciones de tu negocio.

¿Qué podemos hacer ante los ataques?

Hay muchas alternativas para realizar una configuración segura en un sitio web. También existen distintos complementos y buenos hábitos que ayudan a protegerlo.

• No uses ‘Admin’ como nombre de usuario: Aunque es evidente, muchas personas todavía utilizan el ‘Admin’ como nombre de usuario. Cuando instalas WP, es recomendable utilizar cualquier otro nombre que no relacione tu dominio o nombre de tu sitio web.
• Cambiar ‘Admin’ por otro nombre: Si tienes admin como usuario en tu sitio,llegó el momento de cambiarlo. Esto se puede hacer con un plugins, o editarlo directamente  en tu base de datos.
• Uso de contraseñas seguras: Este es uno de los aspectos por los que más se ataca exitosamente un sitio. Por eso, debes evitar usar password y contraseñas evidentes como: contraseña123. En este punto recomendamos instalar el plugins Force Strong Password.

También sugerimos una bóveda de contraseñas por separado como LastPass o 1Password para mantenerse al día con la aleatoriedad.

• Mueve el inicio de sesión /wp-admin: Puede cambiar su URL de varias maneras, pero en WordPress casi todo se reduce a utilizar un plugins o editar el código manualmente.

Cómo puedo utilizar plugins en WordPress

Por defecto todos iniciamos sesión en WordPress utilizando /wp-admin, pero cuando se trata de ataques de fuerza bruta, este será el primero en manipularse. Te preguntarás, ¿Cómo abrir una puerta que no existe? ¡Simple! alejando la URL de inicio de sesión del  /wp-admin, te escondes de los atacantes.

Por eso, dos los mejores plugins para iniciar sesión son Login y WPS Hide Login. Si bien el inicio de sesión tiene más funcionalidades que mover la URL, WPS Hide Login hace que todo dependa de la configuración.

En ese sentido, debemos pensar en utilizar una URL exclusiva como /ingreso o /equipo, que si bien son palabras comunes, los bots de fuerza bruta probablemente no estén programados para encontrarlos.

Cambiar una URL manualmente

Si eres el tipo de usuario que prefiere mantener el uso de plugins al mínimo, también está la alternativa de cambiar la URL manualmente. Esta tarea es más complicada, porque tendrás que editar algunos archivos PHP como wp-config.php y el .htaccess.

Por eso, recomendamos seguir este hilo de Stack Overflow, junto con esta publicación de WordPress.org

Utilizar la autenticación de dos factores

La autenticación de dos factores (2FA) es casi necesaria en estos días, para una experiencia en línea verdaderamente segura. El 2FA se reduce a que puedas verificar el inicio de sesión, ingresando un código único o al hacer clic en un vínculo único que se le envía solo a usted.

Existen dos plugins de seguridad con la funcionalidad de autenticador. Si eres es un usuario premium de WordFence, puedes obtener la autenticación a través de su complemento y  autenticación de dos factores.

También el plugins de inicio de sesión ofrece 2FA a través de aplicaciones como Authy y Google Authenticator (para usuarios premium).

Limitar intentos de inicio de sesión

La razón por la que los ataques de fuerza bruta son tan efectivos contra WordPress, responden a los intentos de inicio de sesión ilimitados por defecto, ya que nunca te bloquean al ingresar demasiadas veces la contraseña incorrecta.

De esa forma, podemos ver que la fuerza bruta es un medio efectivo para obtener acceso a los sitios web. Limitando el número de veces que alguien puede intentar iniciar sesión, evitará el impacto del ataque. No es el resultado final, pero minimiza las posibilidades de que su sitio se vea comprometido e infectado con malware.

El plugins más popular para hacer esto es limit login attempts reloaded u obteniendo la opción desde WordFence o Login. Todos son fáciles de configurar, por lo que no hay razón para no tener, al menos uno, activado.

Eliminar instalaciones de WordPress no utilizadas

Una vez que instalamos WordPress en nuestros servidores “para jugar” o probar un plugins u otro objetivo oscuro y único, es seguro que no ingreses más al sitio. Posiblemente  encuentres un subdominio realmente extraño de tu dominio principal (1kdnvrNK033r2mk.sudominio.com, por ejemplo).

Pero, tu sitio sigue estando ahí incluso si no lo estás usando, y al estar “en vivo”, los atacantes de fuerza bruta lo buscan, porque carecen de complementos de seguridad, contraseñas poco sólidas y nombres de usuario sin modificación.

Cuando necesites un sitio de prueba, eliminalo después o usa un entorno de desarrollo local. De lo contrario, estás pintando un objetivo en tu espalda.

Complementos de seguridad

Después de conocer todo esto, se recomienda ejecutar un complemento de seguridad global de WordPress. Estos incluirán elementos diferentes dependiendo del plugin en sí, pero en general obtendrás escaneos de malware, protección de inicio de sesión, 2FA, firewalls de aplicaciones web, reparaciones de archivos, copias de seguridad, filtros de spam, listas blancas y negras de IP, y más.

No olvides que tenemos acceso a algunas opciones gratuitas realmente (que son más que suficientes para la mayoría de las personas), así como a algunas ofertas premium como:

• Iniciador
• MalCare Security
• Sucuri
• WordFence
• Seguridad iThemes
• Jetpack  (o VaultPress )
• All-in-One WP Security and Firewall