Cómo proteger su sitio web de WordPress de ataques de fuerza bruta

Todas las personas que alguna vez han instalado WordPress están en peligro de sufrir ataques de fuerza bruta. De hecho, los ataques de fuerza bruta van en aumento y es probable que solo empeoren. ¿Entonces que significa esto para usted? ¿Tiene que dejar de usar WordPress y pasar a una de esas  otras opciones de CMS? ¡Cielos, no! Simplemente significa que necesita un plan de seguridad para proteger su sitio web de WordPress. Con algunas precauciones, su tablero de instrumentos será una verdadera fortaleza, y ni siquiera Superman podría entrar a la fuerza.

Recomendaciones oficiales contra ataques de fuerza bruta

Dado que los ataques de fuerza bruta son bastante comunes, tiene sentido que el Codex de WordPress tenga recomendaciones y mejores prácticas para que las sigas . Le recomendamos encarecidamente que se familiarice con esta lista y la tenga en cuenta para su propia protección. Ofrecen tanto protecciones basadas en el usuario como opciones para su servidor. Vale la pena tomarse el tiempo de leerlo todo.

Lo que puedes hacer

Hay muchas cosas que puede hacer para configurar un sitio web seguro de WordPress. Hay complementos que lo protegen, y solo hay buenos hábitos que puede crear para asegurarse de que, incluso si es objeto de ataques de fuerza bruta, estará a salvo.

No use ‘Admin’ como nombre de usuario

Esto debería ser evidente, pero tiene que decirse de todos modos. No utilice ‘admin’ como nombre de usuario . Es fácil de hacer y solía ser una práctica bastante común. Ya no lo es. Entonces, cuando instale WP, use prácticamente cualquier otro nombre (fuera de su dominio o título del sitio web) como su usuario administrador.

Si ya tiene  administrador como usuario en su sitio,  cambie esto . Realmente no importa a qué, pero necesitas cambiarlo. A pesar de lo que dice la sección Editar usuario, puede cambiar los nombres de usuario. Puede usar un complemento o puede editar su base de datos de WordPress (que es más fácil de lo que piensa).

Utilice contraseñas seguras

Siento que este ha insistido lo suficiente, así que no me demoraré. No uses password como tu contraseña, ni  password123. Si tiene la opción, use el botón Generar contraseña aleatoria. Instale el complemento Force Strong Password para que todos los que se registren en su sitio estén seguros, no solo usted. Porque incluso si  sigue  las mejores prácticas, eso no significa que todos lo hagan o lo harán.

También sugerimos una bóveda de contraseñas separada como LastPass o 1Password para mantenerse al día con la aleatoriedad.

Aleje su inicio de sesión de /wp-admin con un complemento

Puede cambiar su URL de varias maneras, pero como casi todo lo demás en WordPress, se reduce a usar un complemento o editar manualmente el código.

De forma predeterminada, todos iniciamos sesión en WordPress en  /wp-admin . Y cuando se trata de ataques de fuerza bruta, este es su primer golpe. Sin embargo, no pueden intentar forzar su entrada a través de la puerta si no hay puerta, ¿verdad? Al alejar su URL de inicio de sesión de  /wp-admin , esencialmente se está escondiendo de los atacantes. Esto es lo que equivale a su sala de pánico WP.

Dos de los mejores complementos son Loginizer y WPS Hide Login . Si bien Loginizer tiene  muchas más funciones que simplemente mover esta URL, WPS Hide Login hace una cosa, y lo hace bien. Todo depende de su configuración en cuanto a cuál funciona mejor. También puede consultar nuestro artículo para conocer otras opciones.

Además, probablemente no sea una buena idea usar /login o /admin  o algo similar al original. Piense en algo que pueda ser exclusivo de su sitio, o tal vez algo como  /empleados/personal . Si bien esas son palabras comunes, es probable que los robots de fuerza bruta no estén programados para atacarlos.

Aleje manualmente su inicio de sesión de /wp-admin

Si usted es el tipo de usuario que prefiere mantener el uso de complementos al mínimo , también puede cambiar la URL a mano. Es un poco más complicado, pero en realidad no es tan complicado. Aquí desglosamos el proceso para usted . Deberá sentirse cómodo editando archivos PHP como  wp-config.php y su  archivo .htaccess .

También hay varias formas de lograr esto, como puede ver en este hilo de desbordamiento de pila , así como en esta publicación de WordPress.org .

Usar autenticación de dos factores

La autenticación de dos factores (2FA) es casi necesaria en estos días para una experiencia en línea verdaderamente segura. Básicamente, 2FA se reduce a que usted verifique que es usted quien intenta iniciar sesión ingresando un código único o haciendo clic en un enlace único que se le envía a usted y solo a usted. Tal vez sea por correo electrónico, mensaje de texto o incluso a través de un llavero. Este segundo factor (el nombre de usuario/contraseña es el primero) te autentica como tú.

Afortunadamente, WordPress no necesita complementos 2FA, y tiene algunas opciones realmente fantásticas. Dos de los mayores complementos de seguridad han lanzado complementos de autenticación, los cuales son muy recomendables. Si es un usuario premium de WordFence, puede obtener autenticación a través de su complemento (2FA es una pestaña en la configuración). UpdraftPlus tiene dos complementos de inicio de sesión: Keyy, un autenticador sin contraseña  (como Clef, si alguna vez lo usó) y el acertadamente llamado autenticación de dos factores . Además, el complemento Loginizer que mencioné anteriormente también ofrece 2FA a través de aplicaciones como Authy y Google Authenticator (para usuarios premium).

Límite de intentos de inicio de sesión

La razón por la que los ataques de fuerza bruta son tan efectivos contra WordPress es que los intentos de inicio de sesión son ilimitados de forma predeterminada. Nunca se bloquea ingresando la contraseña incorrecta demasiadas veces. Es por eso que la fuerza bruta es un medio efectivo para obtener acceso: si se golpean la cabeza contra la pared las suficientes veces, eventualmente harán un agujero en ella. Al limitar la cantidad de veces que cualquiera puede intentar iniciar sesión, evitará efectivamente la peor parte del ataque. No todo, pero minimiza las posibilidades de que su sitio se vea comprometido e infectado con malware .

El complemento más popular para hacer esto es Limitar intentos de inicio de sesión , y también puede obtener la opción a través de WordFence o Loginizer . O cualquier cantidad de otros complementos de seguridad. Son tan fáciles de configurar que no hay razón para no tener uno activado.

Eliminar instalaciones de WordPress no utilizadas

Soy culpable de esto. Eres culpable de esto. Prácticamente todo el mundo en todas partes es culpable de esto. Hemos instalado WordPress en nuestros servidores solo para jugar, probar un complemento o algún otro objetivo oscuro y único, y luego nunca volvimos a tocar ese sitio. Tal vez se encuentra en un subdominio realmente extraño y ofuscado de su dominio principal (1kdnvrNK033r2mk.yourdomain.com, por ejemplo). El punto es que todavía se sienta allí . Incluso si no lo estás usando, es un sitio de WordPress en vivo.

Y los atacantes de fuerza bruta los están buscando. Por lo general, carecen de complementos de seguridad, las contraseñas no son seguras y los nombres de usuario no se han cambiado de forma predeterminada. Y aunque no tienen información real sobre ellos, les dan acceso a los piratas informáticos a su host y servidores. Y eso es mal mojo.

Entonces, cuando necesite un sitio de prueba, elimínelo después o use un entorno de desarrollo local . De lo contrario, te estás pintando un objetivo en la espalda.

Complementos de seguridad

Con todo eso en mente, también debería ejecutar un complemento de seguridad general de WordPress . Estos incluirán muchas cosas diferentes según el complemento en sí, pero en general, obtendrá escaneos de malware, protección de inicio de sesión, 2FA, firewalls de aplicaciones web, reparaciones de archivos, copias de seguridad, filtros de spam, listas blancas y negras de IP, y mucho más. más. Tenemos acceso a algunas opciones gratuitas realmente sorprendentes (que son más que suficientes para la mayoría de las personas), así como algunas ofertas premium francamente asombrosas.

  • Inicio de sesión
  • Seguridad MalCare
  • Sucuri  (nuestra descripción detallada de Sucuri)
  • WordFence  (nuestra descripción detallada de WordFence)
  • iThemes Seguridad
  • Jetpack  (o VaultPress )
  • Firewall y seguridad WP todo en uno

Si bien la decisión final de instalación depende de usted, es imperativo que instale un complemento de seguridad. Todo el mundo tiene uno que le gusta, y al final, lo importante no es cuál tienes instalado, sino que tienes uno instalado.

Esté seguro ahí afuera

Con el auge de los ataques de fuerza bruta y los malos modales en general en Internet, honestamente, no puedes ser lo suficientemente cuidadoso. Cualquiera de los complementos enumerados anteriormente puede protegerlo de piratas informáticos y botnets cuando se combina con las mejores prácticas descritas anteriormente (y las adicionales enumeradas en el Codex). Mantenga su cabeza sobre sus hombros, sus ojos abiertos y sus contraseñas seguras, y esos ataques de fuerza bruta ni siquiera podrán abollar la armadura de su sitio.

¿Qué usa para proteger sus sitios de WordPress de la creciente amenaza de los ataques de fuerza bruta?

Imagen destacada del artículo por phungatanee / shutterstock.com