Cómo proteger su sitio web de WordPress de los ataques de fuerza bruta

Cada persona que ha instalado WordPress está en peligro de ataques de fuerza bruta. De hecho, los ataques de fuerza bruta están aumentando y pueden empeorar. Entonces, ¿qué significa eso para ti? ¿Tienes que dejar de usar WordPress y moverte a una de esas otras opciones de CMS? ¡Cielo, no! Simplemente significa que necesita un plan de seguridad para proteger su sitio de WordPress. Con algunas medidas de precaución, el tablero será un fuerte fuerte y ni siquiera Superman no podría forzar el interior. Recomendaciones oficiales contra los ataques de la fuerza bruta porque los ataques de fuerza crudos son bastante comunes, solo tiene sentido que WordPress Codex tenga recomendaciones y mejores prácticas a seguir. Le recomendamos que se familiarice con esta lista y los considere para su propia protección. Ofrecen protección basada en los usuarios y opciones para su servidor. Vale la pena leerlo todo.
Lo que puede hacer puede hacer mucho para configurar un sitio web seguro de WordPress. Hay complementos que lo protegen y solo hay buenos hábitos que puede crear para asegurarse de que, incluso si es blanco de ataques de fuerza bruta, estará a salvo. No use “administrador” como nombre de usuario, esto debería ser, por supuesto, pero debe decirse de todos modos. No use “Admin” como nombre de usuario. Es fácil de hacer y fue una práctica bastante ordinaria. No es mas. Entonces, al instalar WP, use casi cualquier otro nombre (fuera del campo o título de su sitio) como usuario de administrador.
Si ya tiene administrador como usuario en su sitio, cambie esto. Realmente no importa qué, pero tienes que cambiarlo. A pesar de lo que dice la sección de edición del usuario, puede cambiar el nombre de usuario. Puede usar un complemento o editar la base de datos de WordPress (que es más fácil de lo que piensa). Use contraseñas seguras, siento como si fueran bastante arbit, por lo que no mancharé. No use la contraseña como contraseña o contraseña123. Si tiene la opción, use el botón de contraseña general. Instale el complemento de la contraseña fuerte, de modo que todos los que se registran en su sitio están a salvo, no solo usted porque, incluso si sigue las mejores prácticas, esto no significa que todos lo hagan o lo haremos. También sugerimos una contraseña separada, como LastPass o 1Password, para mantenerse al día con el azar. Apare su autenticación de / WP-Admin con un complemento, puede cambiar su URL de varias maneras, pero como casi cualquier otra cosa en WordPress, se limita a usar un complemento o edición manual del código. Por defecto, todos nos conectamos a WordPress a / WP-Admin. Y cuando se trata de ataques de fuerza bruta, este es su primer ataque. Sin embargo, no puedo tratar de penetrar en su fuerza si no hay puerta, ¿verdad? Al alejar la URL de conexión de / WP-Admin, se está escondiendo esencialmente de los atacantes. Esto es lo que significa su cámara de pánico WP.
Dos de los mejores complementos son el loginizador y WPS oculta el inicio de sesión. Si bien el loginizer tiene muchas más características que el simple movimiento de esta URL, WPS Ocultar el inicio de sesión hace algo y lo hace bien. Todo depende de su configuración que funcione mejor. También puede consultar nuestra escritura para otras opciones. Además, probablemente no sea una buena idea usar / iniciar sesión o / administrador o algo similar al original. Piense en algo que pueda ser exclusivo de su sitio o algo como / empleados o / personal. Si bien estas son palabras ordinarias, los robots sin procesar probablemente no estén programados para golpearlas. Hizo a mano su autenticación lejos de / wp-admin si usted es el tipo de usuario que prefiere mantener el uso del complemento a un mínimo, puede cambiar URL y dirección manual. Es un poco más involucrado, pero no es tan complicado. Aquí descomponemos tu proceso. Deberá sentirse cómodo editando archivos PHP como WP-Config.php y su archivo .htaccess. Hay varias formas de lograr esto, como puede ver en este desbordamiento de pila, así como en esta publicación WordPress.org. Use la autenticación de dos factores con dos factores (2FA) es casi necesario en estos días para una experiencia en línea verdaderamente segura. Básicamente, 2FA se limita a usted, verificando si intenta autenticarse ingresando un código único o haciendo clic en un enlace único que se le envía y solo usted puede ser por correo electrónico, mensaje de texto o incluso a través de una billetera. Este segundo factor (el nombre de usuario / contraseña es el primero) lo autentica como usted.
Afortunadamente, WordPress no quiere complementos 2FA y tiene algunas opciones realmente fantásticas. Dos de los complementos de seguridad más grandes han publicado complementos de autenticación, ambos son muy recomendados. Si es un usuario premium de WordFency, puede obtener autenticación a través de su complemento (2FA es una pestaña desde la configuración). UpdraftPlus tiene dos complementos de conexión: Keyy, un autenticador sin contraseña (como Clef, si alguna vez lo usó) y se autenticó con dos factores de autenticación. Además, el complemento de inicio de sesión que mencioné anteriormente también ofrece 2FA a través de aplicaciones como Authy y Google Authenticator (para usuarios premium). Limite los intentos de inicio de sesión por qué los ataques brutos son tan efectivos contra WordPress es que los intentos de conectarse son implícitamente ilimitados. Nunca se bloquee ingresando la contraseña incorrecta demasiadas veces. Por lo tanto, la fuerza bruta es un medio efectivo para tener acceso: si me golpeo la cabeza de su pared lo suficiente, al final golpearán un agujero. Al limitar cada vez que alguien pueda intentar conectarse, en realidad evitará el peso del ataque. No todo, pero reduzca sus posibilidades de que su sitio se vea comprometido e infectado con malware.
El complemento más popular para hacer esto es limitar sus intentos de conexión y puede obtener la opción a través de WordFense o Loginizer.O cualquier número de otros complementos de seguridad.Son tan fáciles de configurar que no hay razón para no activar uno.Elimine las instalaciones de WordPress no utilizadas, soy culpable de ello.Eres culpable de esto.Casi todos son culpables de esto.Hemos instalado WordPress en nuestros servidores solo para jugar, para probar un complemento o para otro objetivo oscuro y único y luego nunca he logrado ese sitio.Tal vez está en un subdominio verdaderamente extraño y desempacado de su dominio principal (por ejemplo, 1KDNVRNK033R2MK.Yourdomain.com).La idea es que todavía está allí.Incluso si no lo usa, es un sitio de WordPress en vivo.

Y los atacantes de la fuerza bruta los cazan. Por lo general, carecen de complementos de seguridad, las contraseñas no son fuertes y los nombres de usuario no se han cambiado a partir de los valores predeterminados. Y, aunque no tienen información real sobre ellos, brindan a los piratas informáticos acceso a su anfitrión y servidores y ese es un mal Mojo. Entonces, cuando necesite un sitio de prueba, elimínelo más tarde o use un entorno de desarrollo local. De lo contrario, pintas un objetivo en tu espalda. Complementos de seguridad Teniendo en cuenta todo esto, también debe ejecutar un complemento de seguridad de WordPress global. Estos incluirán muchas cosas diferentes, dependiendo del complemento en sí, pero generalmente recibirá escaneos de malware, protección de conexión, 2FA, firewalls para aplicaciones web, reparaciones de archivos, niños de repuesto, filtros de spam, listas de IP blancas y negras y muchos más . Tenemos acceso a algunas opciones gratuitas realmente sorprendentes (que son más que buenas para la mayoría de las personas), así como algunas ofertas premium resistentes.
Malcar de seguridad
Jugos (nuestra presentación detallada sobre jugos)
Wordfency (nuestra presentación detallada de Wordfency)
ITHEMES SEGURIDAD
Jetpack (o VaultPress)
Seguridad y firewall WP todo en uno