7 formas ligeras de asegurar su sitio web de WordPress con ataques de fuerza bruta

Un ataque de fuerza bruta es uno de los tipos más básicos de ataques cibernéticos, cuyo objetivo es obtener acceso a sitios web y aplicaciones a través de pruebas y errores repetidos y adivina las acreditaciones de conexión. Los atacantes generalmente usan software de automatización que envía una gran cantidad de solicitudes al sistema de destino. Con cada solicitud, el software está tratando de adivinar la información necesaria para ingresar, como el nombre de usuario y la contraseña. Al usar las diferentes direcciones IP, tales herramientas maliciosas se pueden disfrazar. Esto dificulta que el sistema de la víctima reconozca y bloquee estas actividades maliciosas.
Una vez que los piratas informáticos han penetrado, tienen acceso al área de administración del sitio de WordPress, dándoles energía para instalar malware, robar información confidencial y destruir su trabajo. Además, incluso los ataques de fuerza bruta sin éxito pueden afectar el rendimiento de su sitio web, enviando demasiadas solicitudes de servidor. Esto, a su vez, ralentizará sus servidores de alojamiento de WordPress y eventualmente los bloqueará. Ahora, no será una exageración decir que WordPress casi está ejecutando Internet. Este robusto Sistema de Gestión de Contenido (CMS) alimenta el 32.3% de todos los sitios web en Internet. Un efecto secundario desafortunado de esta popularidad es que es el objetivo más común de ataques crudos y otras vulnerabilidades.
Afortunadamente, no tiene que ser un asistente de software para proteger su propiedad virtual de estos malos invasores. Aquí hay siete formas de garantizar su sitio web de WordPress con ataques de fuerza bruta, comenzando con los más obvios y livianos. No use “Admin” como nombre de usuario, esto no debería necesitar una mención. Pero debido a que esta sigue siendo una práctica común entre los webmasters, realmente vale la pena mencionarlo. Verá, tanto para las personas como para los robots que intentan infiltrarse en su sitio, lo más probable es que “Admin” sea la primera suposición de su nombre de usuario. Por lo tanto, al instalar WordPress, elija los usuarios de nombres que le guste, excepto “Admin”. Según las personas de WordPress, “si todavía usa este nombre de usuario, haga una nueva cuenta, transfiera todas las publicaciones a esa cuenta y cambie” administrador “a un suscriptor (o lo complete)”. Realmente no importa lo que cambie, siempre que no sea “administrador”. E incluso si la sección de perfil menciona claramente “el nombre de usuario no se puede cambiar”, pueden serlo.
Es simple. Al ser WordPress, hay un complemento para literalmente. Para cambiar su nombre de usuario, instale el cambiador de nombre de usuario, un complemento bien clasificado y fácil de usar. Después de la instalación y la activación, la pantalla anterior cambiará como se muestra a continuación. Pan comido.

Use una contraseña segura nuevamente, no importa cuán obvio sea, no use “123456”, “Qwerty” o “contraseña” como contraseña. Tales contraseñas son convenientes para recordar y también fáciles de adivinar para los piratas informáticos. Idealmente, debe usar una combinación de caracteres grandes, minúsculas, numéricos y especiales para formar una contraseña larga y segura. Además, es importante usar contraseñas seguras no solo para sus cuentas de usuario de WordPress, sino también para FTP, el panel de control web de WordPress. Considere el uso de un generador de contraseñas para hacer que el trabajo duro sea para usted cuando permite que más usuarios se registren En su sitio web, instale un complemento como Force Strong Passwords para asegurarse de que todos los usuarios estén seguros.

Permanezca para una gran parte de los ataques de la fuerza bruta apuntando a las vulnerabilidades que se sabe que están presentes en versiones anteriores de WordPress, complementos populares o temas. Debido a que la mayoría de los complementos famosos (y el WordPress en sí) son de código abierto, las vulnerabilidades a menudo se detectan y se remedian muy rápidamente. Sin embargo, si tiende a pasar por alto las actualizaciones cada vez más. Entonces su sitio sigue siendo vulnerable a esos viejos peligros. Ser consciente es lo más fácil que puede hacer para asegurar su sitio de WordPress, entonces, ¿por qué no? Simplemente vaya al tablero >> actualizaciones para estar al día con las últimas actualizaciones para WordPress.

Configure un firewall como se mencionó anteriormente. Los ataques de fuerza bruta fallida también pueden dañar su sitio, ralentizarlo o incluso bloquear su servidor de alojamiento. Para evitar esto, debe configurar un firewall para su sitio de WordPress. Esencialmente, el firewall filtra y bloquea el mal tráfico en su sitio. Necesita un firewall del sitio web de DNS que dirija el tráfico de su sitio a través de servidores proxy en la nube. Para no dejar nada al azar. Es uno de los mejores complementos de firewall (y seguridad general) para WordPress.
Alternativamente, puede asegurar su sitio web de WordPress con un firewall de servidor sin usar un complemento. Implemente la autenticación con dos factores como una capa de seguridad adicional, puede (y debe) optar por dos factores (2FA) para su sitio de WordPress. Básicamente, 2FA es un pequeño paso adicional que debe hacer durante la conexión, lo que requiere demostrar que realmente intenta conectarse y no un hacker. Para esto, se enviará un código único o un enlace único (y solo usted) por texto o correo electrónico, que deberá ingresar (o hacer clic) para confirmar su acceso.


Debe estar familiarizado con este proceso si alguna vez ha utilizado aplicaciones bancarias. Sin embargo, esta es una línea de defensa muy efectiva contra los ataques de las fuerzas brutas. Además, es muy fácil configurar el uso de complementos gratuitos como Google Authenticator y Unloq (lea la revisión completa). Limite los intentos de conexión por defecto, los atacantes tienen intentos infinitos de penetrar en su torniquete, ya que WordPress no tiene límite para el número de conexión. Por lo tanto, nunca serán bloqueados y pueden continuar intentando hasta que alcancen el premio gordo. Y es por eso que los ataques de fuerza bruta tienden a ser tan efectivos con los sitios de WordPress en particular.

La solución a esto es bastante simple: limite el número de intentos de conexión. La forma más popular de hacerlo es instalar un complemento llamado intentos de inicio de sesión de límite recargados. Bloquea una dirección IP para realizar más pruebas después de que se haya alcanzado un límite específico de reintento, haciendo un ataque de fuerza bruta ineficiente. Soporte para su sitio, por supuesto, debe cansarse de escuchar este consejo y probablemente dejó un gran susurro con desprecio cuando lea los subtítulos.