Actualmente hay un ataque masivo a las instalaciones de WordPress y muy distribuido.

Se están produciendo 40.000 ataques por minuto en estos momentos, y lo puedes ver en http://www.wordfence.com.

Los ataques normales son de 2000 intentos por minuto.

El ataque empezó a las 18:30 aproximadamente, hora española y todavía se esta llevando a cabo.

El ataque consiste en un botnet que genera un gran número de intentos de login.

Como proteger WordPress de los ataques de fuerza bruta.

La explicación que te voy a dar esta basada en el plugin Wordfence. Si aún no te lo instalaste aquí tienes una guía muy completa sobre Wordfence para WordPress.

Los ajustes que te tienes que asegurar de tener son:

 

• Las opciones de «login failures» estar a 20 o menos.
• «Count login failures over what time period» debe estar a 5 minutos
• Configura «Amount of time a user is locked out» a 1 hora.

Estos cambios no afectan mucho a nosotros, pero protegen de una manera realmente buena de estos tipos de ataques.

Tambien se recomienda marcar la opción de «Participate in the Real-Time WordPress Security Network» porque esto bloquea inmediatamente cualquier ataque del botnet que es responsable de este intento.

Tambien debes saber que si usas el alojamiento de Webempresa estas ya protegido de los ataques por fuerza bruta, pero no esta de más que pongas también tu aporte.

Esta información ha sido sacada y traducida de un correo de aviso de Wordfence:

We’re seeing an unusually large WordPress attack underway. Our automated alert system triggered and posted to FB and Twitter earlier today. The attack is visible on http://www.wordfence.com/ and as you can see it is peaking at 40,000 attacks per minute currently. Normal attack frequency is around 2000 attacks per minute.
The attack started at 7:30 AM Pacific Time this morning. It is still underway. The nature of the attack is a large botnet that is generating a huge number of failed WordPress login attempts.
We recommend ensuring that all your WordPress admin accounts are using strong passwords, that you have Wordfence installed and the number of login failures set to 20 or less on the Wordfence options page.
You should have «Count login failures over what time period» set to 5 minutes and «Amount of time a user is locked out» set to 1 hour. An hour may not seem like much, but it will effectively defeat a password guessing attack.
We also recommend you enable «Participate in the Real-Time WordPress Security Network» because this will immediately lock out any attacks from the Botnet that is responsible for the current attack.
Please share this info if you have friends and colleagues that use WordPress to ensure they stay safe and secure.
Keep a close eye on your website logs and we will post to http://facebook.com/wordfence and http://twitter.com/wordfence once this attack abates.

Disculpar las faltas ortográficas o gramaticales, pero lo escribí a toda prisa para dar el aviso.

Por favor, difundelo por las redes sociales, solo te tomara un momento hacer clic en los botones de aquí abajo y nos aseguramos que todos estemos protegidos.