¿Qué es el ataque de la fuerza bruta?¿Cómo asegurar su sitio?

Un ataque de fuerza en bruto es un hack de contraseña popular. Los ataques de la fuerza bruta representaron el cinco por ciento de las violaciones de seguridad confirmadas. Hacer un ataque de fuerza bruta es fácil, con pocos conocimientos avanzados de programación. Los atacantes rompen millones de sitios cada año. Y según un informe, el número de ataques de fuerza bruta aumentó en el 400% de 2018. La gestión de un negocio en línea viene con el desafío de los problemas de seguridad. A medida que su sitio crece y el negocio está prosperando, los ataques comienzan a crecer. Siempre debe invertir en el alojamiento web de calidad como un buen host web que puede ayudarlo a defender su sitio.
En esta publicación, explicaremos qué es el ataque de la fuerza bruta y por qué su sitio está expuesto a tales ataques y cómo puede proteger su sitio contra ellos.
¿Qué es un ataque de fuerza cruda?
Tipos de ataques de fuerza bruta
¿Cómo detectar ataques de fuerza bruta?
¿Cómo puedo prevenir?
¿Qué es un ataque de fuerza cruda? (Explicación) Un ataque de ataque bruto es el método de piratería por el cual los piratas informáticos intentan acceder al sitio adivinando la combinación correcta de contraseñas. Para conectarse a un servidor o sitio, necesita un nombre de usuario y una contraseña de administrador. Lo que hacen los hackers es intentar adivinar la combinación correcta.
Ahora suponga que una contraseña es de dos caracteres, y ambos son números, entonces la contraseña podría ser de 00 a 99. No hay posibilidad que las 100 combinaciones. Entonces, un hacker usará cada combinación hasta que encuentre la correcta. Entonces, 10 caracteres completarán dos cuadros = 10 potencia 2 = 100 combinaciones. Si agregamos los alfabetos, habrá 36 caracteres para dos cuadros = 36 potencia 2 = 1296 posible resultado. Cuente las letras superiores y minúsculas = (26 +26) +10 caracteres para dos cuadros = 62 potencia 2 = 3844 posible. Esto es solo para dos cajas de caja. Si aumentamos la longitud de la contraseña, digamos 5, entonces será así – 62 Power 5. Por lo general, la longitud de la contraseña es de 8 caracteres. La posible combinación sería 62 potencia 8. equivalente a 218340105584896 combinaciones. Incluso con la velocidad de verificar 1 millón de combinaciones por segundo (no posible humano), romper una contraseña tomará hasta 218340105,585 segundos, lo que significa casi siete años. Entonces, ¿cómo tienen éxito los hackers? Primero, uso códigos para automatizar la tarea de verificación de contraseñas. Una línea simple del guión ejecuta el ataque. En segundo lugar, una computadora básica no puede hacer un trabajo de alta velocidad. La mayoría de los piratas informáticos usan servidores GPU o usan software para poner en común los recursos de más automóviles en uno.
Se trata de verificar las diferentes combinaciones de personajes lo más rápido posible. Y a medida que aumenta la longitud del personaje, el tiempo requerido para romper la contraseña aumenta exponencialmente. Tipos de ataques de fuerza bruta Ataque simple de fuerza bruta Un ataque de fuerza bruta genérico simple que verifica las posibles combinaciones. Se utiliza para romper la contraseña de los archivos locales porque no hay límite para el número de intentos. Puede hacer miles de intentos y no necesita supercomputadoras. Diccionario de ataque En un ataque de diccionario, se utiliza una lista de posibles contraseñas en lugar de caracteres aleatorios. En lugar de usar muchos caracteres y contraseñas posibles, los piratas informáticos intentan hacer una lista de contraseñas basadas en supuestos y datos históricos. Comienzan un ataque de fuerza bruta con esa lista y luego continúan expandiéndose. Hay muchos diccionarios disponibles en Internet para tales fines. De esta manera, los piratas informáticos no intentan piratear al azar, sino que hacen una lista para mejores ataques de piratería. Ataque híbrido de la fuerza bruta Un ataque híbrido bruto combina un ataque de diccionario bruto y un simple ataque de fuerza bruta. Comienza con el ataque del diccionario y luego usa la fuerza bruta simple para encontrar la combinación.
En lugar de verificar cada combinación, comienza con una lista. El código comienza a experimentar con las variaciones en la combinación dada, cambiando la ubicación de los caracteres, que confunde mayúsculas para encontrar la contraseña correcta. El ataque inverso con la fuerza bruta en el caso del ataque de fuerza bruta inversa, los piratas informáticos ya conocen la contraseña. Así que busque el nombre de usuario correcto. Encuentran la contraseña a través de infracciones de red. En lugar de hacer combinaciones de contraseña, utilizan la lista de millones de nombres de usuario para hacer el hack. Llenado para acreditaciones Muchos usuarios usan el mismo nombre de usuario y contraseña para diferentes sitios. Incluso en la organización, la reutilización de las contraseñas es una práctica común. Los piratas informáticos recopilan la parola de nombre de usuario violando la red o rompiendo los datos y ejecutándose en otros sitios web para averiguar si alguno de ellos funciona en otro lugar. ¿Cómo detectar ataques de fuerza bruta? Ya sea una fuerza bruta o un ataque DDoS, su empresa de alojamiento lo sabrá. Las empresas de alojamiento web supervisan los sitios para cualquier actividad inusual y, si encuentran algo desagradable, bloquea la dirección IP o cierre el sitio para proteger el otro proyecto de red.
Otro indicador de un ataque de fuerza bruta es un intento de conexión fallido. Habrá muchos intentos de inicio de sesión sin éxito si verifica los archivos de registro. Si utiliza algún servicio de monitoreo, recibirá la notificación. Obtendrá OTP si ha activado la autenticación de dos factores.
Además, cuando se lleva a cabo tal ataque, los piratas informáticos podrían probar un ataque DDoS. O spam, malware, ataques de phishing, todos estos son señales que alguien está tratando de ingresar a su sitio. Luego está la correspondencia de las compañías misma. Cuando Facebook o Gmail ven una autenticación inusual a una cuenta, envíe el correo electrónico del usuario. Así que siga revisando sus correos electrónicos si cree que sus cuentas están en peligro. ¿Cómo puedo prevenir? Veamos cómo puede proteger su sitio del ataque con la fuerza bruta. Contraseña del plomo
La complejidad de la contraseña

Limite las pruebas de inicio de sesión
El archivo .htaccess se cambia
Usando Captcha
Autenticación con dos factores
Use WAF
Cambiar la URL de conexión
#1 Longitud de la contraseña El factor más importante es la longitud de la contraseña. Como expliqué anteriormente en el artículo, la longitud de la contraseña aumenta directamente la dificultad de romper la contraseña.
Así que mantenga la longitud de su contraseña de al menos 8 caracteres. # 2 Complejidad con la contraseña El segundo aspecto como importante también está relacionado con la contraseña. Aumente la complejidad del personaje utilizando diferentes tipos de caracteres. No use solo números y alfabetos … use caracteres especiales, dígitos, mayúsculas y letras minúsculas para fortalecer la contraseña. Una contraseña segura es la forma más sencilla de proteger su sitio contra cualquier ataque de piratería. # 3 Límite Los intentos de inicio de sesión no permiten el número ilimitado de intentos de conexión. Manténgalo ilimitado, máximo 5 o menos. El ataque de la fuerza bruta funciona verificando las diferentes combinaciones de contraseñas. Si, después de algunos intentos fallidos de conectarse, su sitio bloquea la IP del ataque, será difícil para Hacker continuar el ataque.
Sin embargo, puede intentar usar múltiples direcciones IP simultáneamente, pero nuevamente, limitar los intentos de conexión mejora la seguridad del sitio. #4 Permitir IPS selectivos La forma más óptima es deshabilitar los intentos de conexión de todas las demás direcciones IP, excepto la que usa. De esta manera, solo puede acceder a la cuenta desde la dirección IP. Para hacer esto, agregue el siguiente código al archivo .htaccess de su sitio: ordenar el pedido, permitir grasa desde ip1 permin permitir. # 5 Uso de Captcha Captcha es otro método que puede proteger un sitio de un ataque de fuerza bruta avanzado. Los piratas informáticos usan robots para realizar ataques de piratería, y Captcha los detiene. Instalar Captcha en WordPress es rápido y fácil. Un captcha simple puede dar dificultades a los diccionarios y otros ataques de bot. Hay muchos complementos de WordPress que puede usar para activar Captcha.
La autenticación # 6 con dos factores además de Captcha, la autenticación de dos factores es otra excelente manera de desviar los ataques BOT. La autenticación con dos factores funciona como una capa adicional de seguridad. Incluso si el ataque de la fuerza bruta es exitosa, y los piratas informáticos son su nombre de usuario y contraseña, es posible que no ingrese a la cuenta sin autenticar su identidad. Puede usar su número de teléfono móvil, PIN adicional, dirección de correo electrónico o preguntas para validar que desea acceder al sitio. # 7 Use WAF al igual que CloudFlare y Juices, WAF funciona como un intermedio entre el tráfico que llega a su sitio y su sitio. Todo el sitio pasa por un firewall y solo los visitantes seguros visitan el sitio. Puede obtener WAF gratuito (Cloudflare) o pagado (jugos). Hay muchos WAF de código abierto que puedes usar. #8 Cambie la URL de conexión Uno de los requisitos para hacer ataques de fuerza bruta es conocer la URL de conexión exacta. La mayoría de los propietarios de sitios mantienen la URL de conexión, así como en el caso de la instalación. Ajuste de sesión habitual: ejemplo.com/login.php o ejemplo.com/wp-admin
Cambiar URL de inicio de sesión: ejemplo.com/whateityoulike
Lea este elemento para asegurar la página de inicio de sesión de WordPress. Conclusión Los ataques de fuerza bruta son muy populares y hay formas en que puede evitar su sitio amenazante. En esta publicación, mencioné el método fácil que puede reducir la posibilidad de éxito de cualquier ataque bruto. Si conoce más formas, déjalos en el comentario.