¿Cómo proteger su sitio de los ataques en la fuerza bruta de WordPress?

Los ataques de fuerza bruta de WordPress son abrumadores, justo antes de que un ataque sea exitoso. Muchos administradores del sitio ven que los recursos de su servidor se están quedando sin rápidamente, sus sitios se vuelven no depositantes o incluso bloqueados, lo que hace que los usuarios reales bloqueen. El problema es que puede sentirse indefenso, mientras que los robots de fuerza bruta superan la página de autenticación, tratando de cambiar al WP-Admin. Pero no estás indefenso. Si ve intentos de inicio de sesión más fallidos para un solo usuario, tal vez proveniente de varias IP, está en el lugar correcto. En este artículo, detallaremos cómo se ve un ataque bruto de WordPress y cómo proteger su sitio.
TL; Dr Protege su sitio de la fuerza bruta de WordPress activando la protección de la conexión MalCare. Evite que los robots malos atacen su sitio con un firewall fuerte y baches integrados. Mantenga su sitio web, datos y usuarios seguros con Malcare, el mejor enchufe de seguridad bruto de WordPress.
Se esconde el contenido
1 ¿Cuál es el ataque de Gross WordPress?
2 Cómo proteger su sitio web de los ataques de Fuerza Gross de WordPress (9 modos)
2.1 1. Limite las pruebas de inicio de sesión
2.2 2. Bloquear a los malos
2.3 3. Instale un firewall para aplicaciones web
2.4 4. Agregue dos factores autenticación a WordPress
2.5 5. Use contraseñas fuertes y únicas
2.6 6. Deshabilitar XML-RPC en WordPress
2.7 7. Revise y elimine las cuentas de usuario no utilizadas regularmente
2.8 8. Considere el geobloque en WordPress
2.9 9. Desactiva la navegación en los directores
3 El impacto de un ataque de fuerza grave en WordPress
4 Manejo de las consecuencias del ataque bruto de Ataque de WordPress5 ¿Su sitio web es susceptible a los ataques de la fuerza bruta?
6 tipos de ataques de fuerza bruta
7 otras buenas prácticas de seguridad
8 conclusión
9 preguntas frecuentes
¿Cuál es el bruto WordPress Brute Force Attack?
Los ataques de fuerza bruta de WordPress son intentos de obtener acceso no autorizado a WP-Admin, intentando diferentes combinaciones de nombre de usuario y contraseñas. Los piratas informáticos han desarrollado robots para bombardear continuamente una página de conexión con credenciales de prueba y error.
A menudo, los Bulls prueban una serie de contraseñas en un diccionario y, por lo tanto, se conocen como ataques de diccionario o ataques con contraseña. Los ataques se pueden configurar para provenir de diferentes direcciones IP y, por lo tanto, eludir las medidas de seguridad básicas. Hay otros tipos de ataques de fuerza bruta, que trataremos más adelante en el artículo.

El propósito de un ataque de fuerza bruta es obtener acceso al WP-Admin y luego instalar malware en su sitio cómo proteger su sitio de los ataques brutos de WordPress (9 modos) experimentar con un ataque Bruta Force, especialmente porque se siente Que no puedes hacer nada para detenerlo. Además, los efectos de un ataque son inmediatamente visibles. La mayoría de los sitios tienen recursos de servidor limitados, que se agotan rápidamente y, a menudo, un sitio atacado colapsará. Afortunadamente, puedes hacer mucho para evitar ataques de fuerza bruta en WordPress. Aquí hay una lista de pasos de WordPress para proteger contra la fuerza bruta que bloqueará la mayoría de los ataques y aliviará los peores efectos en buena medida.
1 Si se ingresa una contraseña incorrecta con demasiada frecuencia en la página de inicio de sesión, la cuenta se bloquea temporalmente. Esto bloquea la efectividad del robot de fuerza sin procesar, ya que se basa en el método de prueba y error para adivinar las credenciales. Además, debido a que el hocico no puede probar varios miles de combinaciones, las solicitudes no se envían al servidor, y los recursos no se agotan por la actividad del hocico. Por defecto, WordPress permite intentos de conexión ilimitados, por lo que es susceptible a Ataques de fuerza bruta. Primero. Con Malcare, la protección de conexión limitada se activa automáticamente. De hecho, si un usuario olvidó legítimamente su contraseña, puede resolver un captcha para pasar fácilmente el bloque. Por lo tanto, limitar los intentos de conexión se mantiene fuera de los robots de fuerza sin procesar sin afectar negativamente a los usuarios reales.
Para obtener más detalles, consulte nuestra guía sobre cómo limitar sus pruebas de inicio de sesión de WordPress.

. Los botes son pequeños programas diseñados para realizar una tarea simple repetidamente y, por lo tanto, son ideales para ataques de fuerza bruta. El hocico intentará una serie de credenciales en una página de inicio de sesión hasta que encuentre una coincidencia. Además, más del 25% de todo el tráfico del sitio web se compone de ruedas, por lo que hay muchos sistemas de seguridad que tienen una protección contra el bot. Sin embargo, se debe hacer una distinción importante aquí: todos los robots no son malos. Hay algunos buenos, como otros rastreadores de motores de búsqueda y robots de monitoreo del tiempo de funcionamiento. Desea que tengan acceso a su sitio, por lo que es importante obtener una protección contra tazón, que bloquea inteligentemente solo robots malos, como MalCare. Hay otros complementos de protección de ruedas, como todos en uno, pero bloquean todos los robots de forma predeterminada, incluido GoogleBot.3. Instalar un firewall para aplicaciones web que conecte la protección es una defensa contra los ataques de la fuerza bruta, mientras que un firewall es una defensa contra todo tipo de ataques; incluidos los de la fuerza bruta. Los firewalls usan reglas para bloquear el tráfico malicioso y hacer mucho para proteger su sitio. Además, el firewall atenúa uno de los mayores problemas con los ataques de fuerza bruta, la carga excesiva de los recursos del servidor, al bloquear las solicitudes repetidas equivocadas.
Los ataques de fuerza bruta a menudo se configuran para atacar desde diferentes IP y, por lo tanto, pueden evitar la mayoría de los firewalls. Sin embargo, con el firewall de MalCare, su sitio web se convierte en parte de la protección global de IP. El firewall aprende qué IPS son maliciosos en el comportamiento registrado en más de 100,000 sitios y tráfico proactivo de ellos. Estas medidas reducen significativamente la cantidad de tráfico negativo a su sitio, en primer lugar, antes de que el hocico tenga la oportunidad de forzar la página de inicio de sesión bruta44. Agregue dos factores La autenticación a WordPress Nombre y contraseñas puede adivinarse, por lo que la autenticación de dos factores, o incluso varios factores de autenticación, ha aparecido como una forma de tener elementos dinámicos para autenticar a los usuarios. Con dos factores de autenticación, se comparte un token de conexión de tiempo real, como un código OTP o QR, con el dispositivo del usuario. Tiene una validez limitada, generalmente aproximadamente 10-15 minutos y solo puede autenticar a un usuario para esa sesión.

El token adicional es difícil de romper además del nombre de usuario y la contraseña. Por lo tanto, agregue otro nivel de seguridad para la página de conexión. Puede instalar un complemento como WP 2FA para agregar fácilmente dos factores a su sitio.

Para obtener más información, consulte nuestra guía sobre dos autenticación de WordPress.5. Use contraseñas fuertes y únicas El mayor defecto de seguridad es el propio usuario y, por extensión, las contraseñas que establecen.Las contraseñas son la vulnerabilidad más alta en cualquier sistema de seguridad debido a la tendencia humana (entendida) a establecer contraseñas fáciles de recordar y reutilizarlas en diferentes cuentas.Estos son en realidad dos problemas separados y distintos con las contraseñas.Primero, nunca reutilice las contraseñas en diferentes cuentas.Muchos robots de fuerza sin procesar utilizan contraseñas robadas de la violación de datos a atacar páginas de conexión.En segundo lugar, como puede imaginar, una contraseña como “contraseña” es terriblemente fácil de adivinar.Use un mínimo de 12 caracteres de placa o incluso use mejor una expresión de acceso como contraseña.

Recomendamos usar un administrador de contraseñas como LastPass o 1Password para evitar reutilizar contraseñas y generar contraseñas seguras según sea necesario.Si sospecha que una cuenta se ha visto comprometida, puede forzar el reinicio de todas las contraseñas en la sección de refuerzo del tablero de Malcare.Para obtener más detalles, consulte nuestro artículo sobre la seguridad de la contraseña de WordPress.6. Desactivar XML-RPC en el archivo XML-RPC de WordPress es otra forma de autenticar a los usuarios.En otras palabras, es una forma alternativa de obtener acceso a la Junta Administrativa, por lo que también es susceptible a ataques de fuerza en bruto.Es un archivo en su mayoría deteriorado y no es utilizado activamente por muchos complementos o temas.Sigue siendo incluido en WordPress para compatibilidad con la versión anterior y, por lo tanto, está relativamente segura desactivar.
Aquí está nuestra guía sobre cómo apagar XML-RPC en WordPress. 7. Revisar y eliminar las cuentas de usuario no utilizadas a menudo son objetivos para los piratas informáticos, ya que los usuarios no son notables si sus cuentas se desvían. Además, las cuentas latentes tienen las mismas contraseñas durante largos períodos de tiempo, lo que hace que sean más fáciles de usar la fuerza bruta. Por lo tanto, examine regularmente las cuentas de los usuarios y elimine las que no están en uso activo. Para obtener crédito adicional, asegúrese de que cada cuenta tenga los privilegios mínimos del usuario necesarios para administrar su cuenta. Es una locura hacer que todos los administradores, por ejemplo. 8. Considere el geobloque en WordPress si ve mucho tráfico de botes de una ubicación, puede considerar bloquear todo el país. Sin embargo, recomendamos la discreción al usar geobloqueo. Es útil solo si no anticipa ningún usuario legítimo en esa ubicación. Además, tenga en cuenta que puede mantener a los buenos robots alejados de esa región. Por ejemplo, GoogleBot puede operar desde cualquiera de las ubicaciones de su servidor en el mundo y ciertamente desea que Googot acceda a su sitio. Aquí hay una guía paso por paso para bloquear países en WordPress. 9. Desactiva la navegación en los directores de forma predeterminada, la mayoría de las carpetas y archivos básicos de WordPress se pueden acceder abiertamente a través de un navegador. Por ejemplo, puede introducir el sitio web.com/wp-incluye en la barra del navegador y todo el contenido de la carpeta será inmediatamente visible.

Aunque la navegación en los directores en sí no es una vulnerabilidad, puede revelar información sobre el sitio que puede usarse para explotar las vulnerabilidades.El archivo /WP-Account tiene complementos y temas, y si un hacker puede ver cuáles están instalados en sus números de versión, puede encontrar y explotar vulnerabilidades.Este es un tipo de ataque de fuerza bruta menos popular, llamado director en bruto.Por lo tanto, es lógico deshabilitar por completo la navegación en los directores, como medida de seguridad.Aquí está nuestra guía completa para deshabilitar la navegación en los directores de WordPress.Cosas que leerá en otro lugar, pero debe evitar hacer que hay muchos consejos de seguridad bien intencionados pero débiles.Entonces, además de nuestra lista de cosas que hacer, enumeramos igual de lo que no se debe hacer.
Protección de contraseña Director WP-Admin: No haga esto en absoluto. Aparece prácticamente en cada artículo para evitar la fuerza bruta. La protección de contraseña del Director WP-Admin romperá AJAX para usuarios innecesarios, restringiendo el acceso al archivo admin-AJAX.PHP. Ajax a menudo se usa para alimentar los aspectos dinámicos de los sitios web. Supongamos que hay una barra de búsqueda en su sitio. Si un visitante lo usa para buscar a través de los productos, solo los resultados de búsqueda recargarán, no todo el sitio. Este es un gran ahorro de recursos y hace que la experiencia del usuario de los sitios web sea mucho más rápida y mejor. También verá muchas soluciones para excluir el archivo admin.php.php, pero no siempre funcionan perfectamente. La conclusión es que el esfuerzo involucrado en las soluciones no refleja una cantidad proporcional de seguridad. Por lo tanto, es un gran paso para un pequeño beneficio adicional. Hacer trampa la URL de la URL WP: a menudo ve este consejo en los elementos de refuerzo de WordPress. Sin embargo, le recomendamos que no cambie la URL de conexión, porque es casi imposible recuperarse si se pierde.

Evite usar Admin como nombres de usuario: debido a que los robots de fuerza sin procesar intentan adivinar efectivamente las combinaciones de usuarios y contraseñas, existe un cierto valor para evitar los nombres de usuario obvios, como el administrador.WordPress no le permite cambiar el nombre de usuario en el tablero, por lo que deberá instalar un complemento para hacerlo.Sin embargo, esta medida tiene un valor limitado y le recomendamos que no pase demasiado tiempo y esfuerzo aquí.Hay otras formas de recuperar los nombres de usuario en ciertos tipos de sitios, como los miembros.El esfuerzo necesario para tener nombres de usuario únicos para los miembros, aplicar la política y luego hacer frente a las inevitables consecuencias cuando las personas olvidan su nombre de usuario único no vale la pena el efecto beneficioso.

El impacto de un ataque de fuerza grosero en WordPress hay dos formas de pensar sobre los efectos de un ataque de fuerza en bruto. En primer lugar, lo que sucede durante un ataque y, en segundo lugar, qué sucede si un ataque es exitoso. En general, en el caso de los ataques, la primera pregunta no ocurre a menudo, porque el sitio web tiene un pequeño impacto o no, porque sufre un ataque. Las consecuencias se les dan una vez que un ataque es exitoso. Sin embargo, este no es el caso con un ataque de fuerza en bruto. ¿Qué sucede cuando su sitio es forzado? Notará un impacto inmediato en los recursos del servidor. Debido a que el ataque bombardea su página de autenticación con solicitudes, el servidor debe responder a cada una. Por lo tanto, verá todos los efectos del mayor uso del servidor en su sitio: un sitio más lento, algunos usuarios no pueden conectarse, tiempos no funcionales, inaccesibilidad, etc. Los hosts web también se apresuran a restringir el uso del servidor que pasa por el techo, ya que esto afectará sus valores, especialmente si usa sombra. ¿Qué sucede si el ataque de la fuerza bruta es exitosa?
Si el ataque es exitoso, razonablemente puede esperar ver malware o deformación de cualquier tipo. Hay varias razones por las cuales los piratas informáticos quieren acceso a su sitio web y ninguna de ellas es buena. Si esto no ha sido lo suficientemente malo, su sitio puede convertirse en parte de una red BOT y puede usarse para atacar a otros sitios web sin su consentimiento. Esto puede tener ramas importantes porque otros sistemas de seguridad indicarán que su sitio web es malicioso si es parte de una red de botnet. Enfrentándose con las consecuencias del ataque bruto de WordPress si un ataque de fuerza bruta fue exitoso, debe asumir lo que es peor: su sitio web se ha visto comprometido. Por lo tanto, su primera prioridad es asegurar su sitio. Estos son los pasos principales que debe tomar para limitar el daño: fuerza desconectar a todos los usuarios y cambiar todas las contraseñas
Escanee su sitio web de inmediato para obtener malware
Una vez que esté seguro de que su sitio está limpio de los programas de malware, implementa las medidas de prevención enumeradas anteriormente. Insistentemente le recomendamos que instale Malcare, que se ocupa de la protección y la protección de protección, al tiempo que incluye un escáner de malware, un dispositivo de limpieza y un firewall avanzado en buena medida. Con Malcare instalado, puede estar seguro de que su sitio está protegido de los ataques de WordPress. ¿Es su sitio susceptible a los ataques de fuerza bruta?
Sí, todos los sistemas son vulnerables a los ataques de fuerza bruta. Debido a la forma en que funciona, los ataques de fuerza bruta se pueden lanzar contra cualquier sistema con una página de conexión. Los sitios de WordPress no son diferentes. La popularidad de WordPress lo convierte en un objetivo para los piratas informáticos. En primer lugar, esto se debe al hecho de que gran parte de Internet está impulsado por WordPress y, en segundo lugar, porque ciertos aspectos de WordPress son bien conocidos. En un ejemplo particularmente relevante para los ataques de fuerza bruta, WordPress no limita los intentos de conexión incorrectos. Puede corregir esto con la función de conexión límite de Malcare, ya que hemos hablado en la sección Medida. Además, muchos propietarios de sitios tienden a usar nombres de usuario y contraseñas fáciles de recordar. Los habituales incluyen administrador como nombres de usuario y contraseña1234 o 12345678 establecidos como contraseña. Estos factores hacen que su sitio sea susceptible a los ataques de fuerza bruta. Los tipos de ataques de fuerza bruta ataques de fuerza bruta son diferentes de otros tipos de amenazas y ataques, como ataques de ingeniería social o ataques XSS. Los ataques de ingeniería social, como el phishing, manipulan a las personas a compartir sus credenciales, reclamando como una entidad confiable, mientras que XSS ataca explotan las vulnerabilidades en el sitio. Los ataques de fuerza bruta se basan en credenciales débiles o robadas para tener éxito. Verás algunos sabores de ataques de fuerza bruta en la naturaleza. Todos siguen el mismo modelo de prueba y error, pero las credenciales que prueban o el mecanismo que uso pueden variar. Estos son algunos de los tipos más comunes de ataques de fuerza bruta:
Ataques simples: los ataques de fuerza bruta simples usan la lógica para adivinar las credenciales en función de su conocimiento, como el nombre de la mascota o los cumpleaños obtenidos de las redes sociales, por ejemplo. El ataque usa datos obtenidos de violaciones, que operan bajo el supuesto de que los usuarios tienden a usar el El mismo nombre de usuario y contraseñas en varios sistemas.
Ataque del diccionario: como su nombre lo indica, estos robots usan archivos de diccionario para contraseñas. Este puede ser un diccionario real o uno creado especialmente para adivinar las contraseñas.
Ataques con la tabla Rainbow: similar como un concepto con un ataque de diccionario, una mesa de arco iris es un tipo especial de lista de diccionario. En lugar de una lista de contraseñas, una tabla Rainbow contiene una lista de contraseñas con hash.
Pulverización de contraseñas: este tipo de ataque es lógicamente un ataque inverso de fuerza bruta. En los ataques brutos típicos, cierto nombre de usuario es el objetivo, y el juego de adivinanzas se juega con la contraseña. En contraste, con la pulverización de contraseñas, se prueba una lista de contraseñas en varios nombres de usuario para encontrar una coincidencia potencial. Es un ataque más distribuido, en comparación con uno dirigido.
Como administrador del sitio, es posible que no necesite conocer las diferencias entre los diferentes tipos de ataques sin procesar.Sin embargo, estos términos a menudo se usan indistintamente, por lo que ayuda a comprender los mecanismos básicos.Otras buenas prácticas de seguridad que evitan los ataques de fuerza bruta en WordPress es un objetivo admirable, pero es solo una parte de la seguridad del sitio web.Estas son algunas de nuestras principales recomendaciones para mantener su sitio seguro y sin malware: instale un enchufe de seguridad con un escáner y un buen dispositivo de limpieza
Mantenga todo al día
Invierte en copias de seguridad diarias