homefinance blog
Confía en una cuarta parte de los sitios web, WordPress se considera uno de los sistemas de gestión de contenido más populares. ¿Su sitio se ejecuta en WordPress? Sin lugar a dudas, estos sitios se han convertido en objetivos suculentos para piratas informáticos y crímenes cibernéticos. ¡Ten cuidado! Las malas personas y los robots pueden atacar su sitio web a través de vulnerabilidades de complementos obsoletos, alojamiento web incompetente o versiones y temas base antiguos, etc. Además de estos riesgos de seguridad, debe prestar más atención a los ataques de la fuerza bruta, que parecen la fuente de vulnerabilidades más común y peligrosa.
Mientras que otros tipos de piratas informáticos se centran en las vulnerabilidades de software, los atacantes de Fuerza Raw tienen como objetivo obtener acceso a su sitio a través de contraseñas débiles. Es la tarea de los desarrolladores de WordPress e investigadores de seguridad descubrir la amenaza y mantener este enorme sistema de gestión de contenido seguro. Sin embargo, hay tantos aspectos y problemas que tienen que enfrentar al mismo tiempo. Por lo tanto, los propietarios del sitio de WordPress deben tomar la iniciativa y proporcionar sus sitios web. En este artículo, le presentaremos 8 formas de guardar su sitio web de WordPress de los ataques de Brute Force. Antes de comenzar, obtengamos algunos elementos básicos del camino.
¿Qué es un ataque de fuerza cruda?
Cómo detener los ataques de la fuerza bruta
Establecer contraseñas potentes para todas las cuentas de usuarios
Limite las pruebas de inicio de sesión en WordPress
Ingrese un captcha en la página de autenticación de WordPress
Instale actualizaciones de versiones, complementos y temas de WordPress
Agregue un complemento de firewall
Configure la autenticación con dos factores de factor de su directorio de administración de WordPress
Limite el acceso a wp-login.php por IP
¿Qué es un ataque grosero de ataque de WordPress? El ataque bruto de WordPress, también con fuerza de fuerza de bruta, se refiere a una herramienta de prueba automática para acceder a su sitio web.
Los piratas informáticos pueden usar un ataque de fuerza bruta para obtener acceso al tablero de WordPress. Una vez que llegan al área de administración, pueden robar sus datos, instalar malware o incluso eliminar fácilmente todo del sitio. De hecho, este truco de piratería a veces se considera un consumidor de tiempo, porque los piratas informáticos o los robots deben intentar probar cada contraseña. Cuanto más compleja sea la contraseña, más tiempo les llevará ingresar la introducción correcta. Tipos de ataques de fuerza bruta Hay dos tipos principales de ataques de fuerza bruta, incluidos los ataques híbridos (ataque de diccionario) y el llenado de despido (reciclaje de credenciales)
1. El ataque híbrido híbrido es una forma común de fuerza bruta con una operación simple. Las botas prueban todas las contraseñas posibles enumeradas en un diccionario de contraseña. Comenzarán primero con los más utilizados y luego intentarán más tiempo. Si su contraseña parece “contraseña”, “P4SSW0RD” o “123456”, un toro de fuerza lo romperá en segundos. 2. El llenado de acreditaciones Otro tipo de ataque de fuerza bruta es llenar las credenciales o reciclar las credenciales, que se refiere al método para reutilizar los nombres de usuario y las contraseñas de otros almacenamiento de datos para acceder a su sitio.
Este método se basa en el hábito del usuario de ingresar el mismo nombre y contraseña en múltiples plataformas o redes. Un estudio reciente muestra que el 80% de las personas reutilizan sus contraseñas en plataformas casi en línea. Aunque pueden recordar su contraseña sin esfuerzo, esto crea una vulnerabilidad de seguridad a una violación de datos. Cómo saber si su sitio es atacado porque los robots ingresan repetidamente todos los nombre de usuario y contraseñas posibles para el administrador de WordPress, puede reconocerlo fácilmente revisando el diario. Este es un ejemplo de un ataque de fuerza bruta en un sitio web: 116.110.100.209 – – [30/sep/2019: 07: 31: 20 -0700] “Post/WP -login.php HTTP/1.1″ 302 4477 ” -” “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6)”
116.110.100.209 – -[30/sep/2019: 07: 31: 22 -0700] “post/wp -logine.php http/1.1″ 302 4479 ” -” “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) ”
116.110.100.209 – -[30/sep/2019: 07: 31: 25 -0700] “post/wp -logine.php http/1.1″ 302 4487 ” -” “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) ”
116.110.100.209 – – [30/sep/2019: 07: 31: 29 -0700] “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6 está claro que la dirección IP 116.110.100.209 intenta autenticarse en el Dashboard de WordSess .
Cómo detener el bruto WordPress # 1 Attack Force Establecer contraseñas potentes para que todos los usuarios ingresen a su sitio de WordPress, los atacantes deben pasar por una pantalla de autenticación de administrador que requiera un nombre de usuario y contraseña. Cada cuenta necesita una contraseña única y poderosa, de modo que los robots no puedan adivinar o reciclar las contraseñas utilizadas de otros almacenamiento de datos. Crear una contraseña segura parece una tarea desalentadora. Una contraseña segura debe contener al menos 8 caracteres con letras (tanto superiores como pequeñas), figuras y caracteres especiales, por ejemplo, “!”, “$”, “?”. Además, sus contraseñas no deben ser una contraseña predecible . No establezca su contraseña a través de información privada o nombre de una persona cercana como su novia, su mascota y su propio nombre. Un ejemplo de una contraseña muy poderosa es [correo electrónico protegido] que combina todos los elementos necesarios: minúsculas, mayúsculas, figuras, caracteres especiales; y tiene más de 8 caracteres. Debido a que las contraseñas difíciles de adivinar a veces son difíciles de recordar por usted, puede anotarlas o almacenarlas en aplicaciones de administración de contraseñas. #2 Límite de su método de conexión de WordPress Este método no permite la introducción de demasiadas contraseñas incorrectas en el tablero de WordPress en un corto período de tiempo. Para comenzar con la conexión del permiso de prueba, debe instalar el complemento de inicio de sesión de bloqueo. El complemento registra la dirección IP de cada intento de conexión fallido y lo bloqueará temporalmente si el número de pruebas fallidas es mayor que la establecida por usted.
En primer lugar, vaya a complementos → Agregue nuevo al menú de navegación de WordPress, busque inicio de sesión de bloqueo en el cuadro de palabras clave. Luego, haga clic en los botones de instalación y activación. En la instalación, el complemento se inserta inmediatamente en la configuración en el tablero de WordPress. Haga clic en Bloqueo de bloqueo para realizar algunas configuraciones básicas.
Las pruebas de conexión máxima definen el número de pruebas de conexión fallidas en la “restricción del período de reintento” para el cual se bloqueará una dirección IP. Es 3 veces por defecto.
La restricción del período de tiempo para reintentar (actas) identifica el período de tiempo en el que se permiten las pruebas de conexión fallidas antes de que tenga lugar un bloqueo.
La duración del bloqueo (minutos) presenta el período de tiempo en que el complemento bloqueará temporalmente a los usuarios después de que se retiene la conexión máxima. El complemento bloquea una IP en 1 hora después de 3 falló los intentos de conexión en 5 minutos por defecto.
La opción de bloqueo de nombre de usuario no válida no permite a los usuarios probar el nombre de usuario no válido de forma predeterminada.
La función de la máscara de conexión de conexión permite a los usuarios saber por qué no pueden conectarse al sitio. Las razones pueden ser: han ingresado un nombre de usuario no válido o han ingresado el nombre de usuario correcto pero una contraseña incorrecta. Puede deshabilitar esta función cambiando la opción.
Recuerde hacer clic en Actualizar la configuración para guardar sus cambios.
#3 Inserte un Captcha en la página de inicio de sesión de WordPress Otra forma de evitar efectivamente los ataques de fuerza bruta es la implementación de una captcha en su pantalla de autenticación de WordPress. Aunque es posible agregar manualmente una captcha, se recomienda la instalación de un complemento Captcha/debe considerarse. También reduce los cambios realizados en el archivo Functions.php del tema. Entre los muchos complementos Captcha disponibles en WordPress Warehouse, Advanced Nocaptcha & Invisible Captcha es efectivo para rechazar el acceso a su área de administración desde robots y scripts automáticos.
Puede seleccionar cualquier versión de Recaptcha, incluido el cuadro de validación V2 no es un robot, invisible V2. Además, hay diferentes formularios que puede mostrar Captcha, por ejemplo, el formulario de registro, el formulario de contraseña perdida o el formulario de pago de WooCommerce. Debido a que nos centramos en las páginas de conexión, marque el cuadro de selección de formulario de autenticación junto a la opción Formularios activados.
Haga clic en Guardar cambios para actualizar sus cambios en la página Configuración del complemento. #4 Instale actualizaciones de versiones de WordPress de las versiones de WordPress de WordPress son oportunidades para que los hackers ataquen su sitio debido a las vulnerabilidades de seguridad restantes y conocidas. Para actualizar su sitio web de WordPress, acceda a las actualizaciones en el tablero. Hay notificaciones de actualización de núcleo, complementos y temas de WordPress disponibles en esta página. Puede actualizar los complementos visitando los arados.
Simplemente haga clic en el enlace de actualización ahora en cada complemento para activar la última versión. Si hay tantas actualizaciones de complementos, acceda a la pestaña Actualización disponible y verifique el cuadro de validación del complemento para permitir todas las actualizaciones al mismo tiempo. Luego elija Actualizar en las acciones del menú desplegable en el bloque.
Es importante ver los detalles de la nueva versión antes de actualizar un complemento. A menos que la última versión mencione una actualización de seguridad, debe esperar al menos una semana. Este es el momento en que se informan y remedian errores y errores. # 5 Agregue un complemento de firewall cada vez que los atacantes ingresen una contraseña, requiere una carga en su servidor. Este proceso puede ralentizar su sitio instalando jugos de firewall sería una buena solución para filtrar el tráfico malo. Hay dos tipos principales de firewalls para sitios de WordPress desde los que puede elegir: firewall en el nivel de aplicación y firewall para sitios DNS.
Firewall en el nivel de aplicación: este tipo de complemento para firewall verifica el tráfico que ingresa a su servidor antes de cargar la mayoría de las Escrituras de WordPress.Debido a que todavía afecta la carga de su servidor, este no es un método ideal contra Brute Forcib. A su servidor de alojamiento principal, lo que le da a su impulso de velocidad de WordPress.
Considerado como el complemento más importante para el firewall, Juices le permite bloquear los ataques en su sitio de WordPress, proporcionando DNS, intrusión, resistencia bruta y servicios de eliminación para eliminar el malware. El complemento escaneará todo el tráfico del sitio a través de sus servidores CloudProxy. Si bien se pasa el tráfico legítimo, se bloqueará el tráfico sospechoso y malicioso. Tenga en cuenta que la función de firewall solo está disponible en la versión Premium Juices, que requiere suscripción al servicio de firewall del sitio web. # 6 Configurar la autenticación de dos factores con dos factores (2FA) le permite agregar una capa de seguridad adicional a su página de autenticación de WordPress, como un código de verificación o contraseña únicos. Esta contraseña se enviará al teléfono del usuario con un mensaje de texto. Google Authenticator ofrece una solución completa para proteger su sitio y su contenido de 2FA y asegurarse de que no haya acceso no autorizado a su sitio después de activar 2FA, acceder a su perfil y encontrar la sección de opciones de dos factores. Active la contraseña única basada en el tiempo (Google Authenticato R), luego haga clic en la opción Visualización para configurar la autenticación. Consulte un código QR ahora. Instale la aplicación Google Authenticator en su teléfono y escanee el código QR con la cámara para usar la opción 2FA en el sitio.
Después de haber terminado de verificar su cuenta, presione el botón Actualizar el perfil para guardar los cambios. A partir de ahora, cuando se conecta a la placa de WordPress, primero debe ingresar el nombre de usuario y la contraseña en el formulario de inicio de sesión. Luego ingrese el código de verificación enviado en el teléfono por un mensaje SMS. # 7 Proteja su directorio de administración de WordPress Puede proteger a su director de administración de WordPress para evitar que los usuarios no autorizados accedan a su área de administración. La siguiente guía de 5 pasos le muestra cómo hacer esto: inicie sesión en el tablero de cPanel
Haga clic en la privacidad del directorio
Elija el archivo WP-Admin y seleccione su nombre
Cree una cuenta de usuario con un nombre de usuario y contraseña fuertes
Guardar los cambios
Su sitio de WordPress está asegurado con una contraseña ahora. Solo aquellos que tienen los datos de conexión correctos pueden visitar el sitio. #8 Limite el acceso a WP-Login.php a través de IP si solo hay unas pocas personas que necesitan acceso a la placa de administración de WordPress, puede bloquear el acceso WP-Login.php para todos, excepto estos usuarios, a través de un .htaccess o Web. archivo de configuración. Esto también se llama listas de IP blancas. Para aplicar este método:
¿Busca su dirección IP con la herramienta que es mi IP?
Cree un archivo en un texto simple llamado .htaccess y agregue el siguiente código: # bloque de acceso a wp-login.php.
el comando se niega, permite
Permite el 116.110.100.208
negar
Es posible permitir que más direcciones IP accedan a su tablero de WordPress agregando más líneas “Permitir desde”, por ejemplo: # Bloque de acceso a wp-login.php. <Wp-login.php archivos
el comando se niega, permite
Permite el 116.110.100.208
Permite 69.89.31.226
Permite 172.16.254.1
negar
Recuerde reemplazar 116.110.100.208, 69.89.31.226 y 172.16.254.1 con las direcciones IP a las que tiene la intención de dar acceso. Solo aquellos con los IP en la lista ahora pueden acceder a la pantalla del tablero de WordPress. ¡Deja de sufrir ataques de fuerza bruta! Los ataques de Fuerza Brute de WordPress son imparables y pueden ocurrir en cualquier momento en cualquier sitio web. En lugar de buscar una solución temporal para remediar las consecuencias resultantes de este peligroso riesgo de seguridad, piense en una forma efectiva de evitarlo cuando comience a construir su sitio, para ahorrarte y esfuerzo. Incluso si usted es un experto en tecnología o simplemente un no profesional, los métodos anteriores pueden ayudarlo a detener fácilmente los ataques brutos en su sitio web de WordPress. Deje un comentario a continuación si tiene alguna pregunta sobre cómo bloquear los ataques de la fuerza bruta de personas no autorizadas.
