Si tienes un blog o un sitio web ya deberías haber escuchado hablar de ataques de fuerza bruta en WordPress. Incluso puede que los hayas recibido y vivido en primera persona.
De hecho hace un tiempo tuvo lugar grandes picos de ataques masivos de fuerza bruta en WordPress. Es el tipo de ataque que se da con más frecuencia en el mundo.
Para que entiendas mejor cuál es el problema, te cuento en qué consisten dichos ataques de fuerza bruta. Lo haré de una forma sencilla, porque entenderlo te ayudará a protegerte.
Empezamos diciendo que para acceder a tu blog necesitas un usuario y una contraseña.
Un ataque de fuerza bruta lo que hace es ir probando combinaciones de contraseñas, junto con usuarios que por defecto suelen estar en las instalaciones de WordPress, como por ejemplo el famoso «admin».
De esa forma es cuestión de ir probando usuario/contraseña: admin /12345678, admin/qwerty.
Así hasta que se consigue acceder a tu blog, y ¡control total!
Formas de realizar ataques de fuerza bruta en WordPress
Teniendo en cuenta lo anterior, hay 2 formas de que realicen un ataque de fuerza bruta en WordPress.
El mayor problema, como habrás podido comprobar, entendiendo en que consiste el ataque, es que hay que realizar millones de combinaciones para poder dar con la correcta y acceder a tu sitio web.
Pero los ataques no se realizan de una manera tan aleatoria, y hay formas de acortar las combinaciones posibles y procesar esa gran cantidad de intentos de login. En concreto, estas son las maneras:
- Analizando previamente el sitio web para conocer cuáles son sus usuarios.
- Usando una gran potencia de procesamiento, con supercomputadoras o redes de ordenadores.
- Conociéndote personalmente
- …
Ataques de fuerza bruta automáticos
Este tipo de ataques los realizan bots (programas informáticos que recorren internet) y redes zombie (ordenadores infectados con virus o gusanos que forman una gran red con un gran poder de procesamiento y son controlados por un hacker).
Si el bot o programa que se encarga del ataque es avanzado, previamente habrá hecho un escaneo para sacar tu listado de usuarios. Si no estás bien protegido y esto es posible, afinará aún más el ataque.
Para evitarlo, prueba a poner en tu sitio web: http://tudominio.com/?author=1, y sube el número consecutivamente. ¿Sale tu nombre de usuario?
En caso de que los usuarios no les funcionen (algo has hecho bien), entonces irá probando con los nombres que se dejan por defecto, como “admin”.
En el ataque a las contraseñas se suelen combinar contraseñas aleatorias con ataques de diccionario, donde se prueba como contraseñas palabras de los diccionarios de los idiomas más frecuentes.
Ataques de fuerza bruta en WordPress manuales
En ocasiones son incluso más temibles que los anteriores, porque son ataques que te realizan “conocidos”.
Si han sabido realizar un poco de ingeniería social, pueden conocer de ti más de lo que supones y será más sencillo que atinen con el intento de login.
Probarán como usuario el típico que suelas tener o tu nick en internet. Y para conseguir la contraseña probarán el nombre de tu mascota, tu fecha de aniversario, del nacimiento de tus hijos o una combinación de estos.
Conocer a tu enemigo es una gran defensa
Repasa lo que ya has leído y tendrás un listado de cosas que hacer para defenderte:
- Usa contraseñas fuertes: de más de 8 caracteres y que combinen mayúsculas, minúsculas, números y símbolos. De esa forma las combinaciones que realizar hasta dar con ella se convierten en innumerables.
- La contraseña no debe contener nada relacionado contigo: ni estar en un diccionario de cualquier idioma (hombre, si sabes navajo, lo mismo te funciona). 😉
- Tu nombre de usuario no debe ser “admin”: y, por supuesto, no ser visible en WordPress. Existen formas de ocultarlo.
- No dejes tu nombre de usuario y contraseña apuntados y visibles en ningún sitio.
- Si para dar con la contraseña hay que realizar millones de intentos, bloquea los fallos de login cuando se realizan más de una cantidad seguidas, por ejemplo 5. De esa forma se quedará bloqueada la IP de manera temporal y no podrá seguir intentándolo.
- Si detectas una IP que te realiza continuos ataques, bloquéala de manera permanente.
- Incluye un doble login: protegiendo el fichero wp-admin (o usa una doble autentificación).
Herramientas que te ayudarán a protegerte de ataques de fuerza bruta en WordPress
Para realizar lo anterior, hay herramientas que te pueden ayudar a proteger tu WordPress.
Puedes usar https://passwords-generator.org/strength-checker/ para comprobar el nivel de seguridad de tu contraseña y cuánto tiempo tardaría en descifrarla un ordenador de sobremesa corriente. En otro artículo te enseñaré cómo crear contraseñas fuertes y cómo recordarlas y almacenarlas, así que no dejes de suscribirte si no te lo quieres perder.
El nombre de usuario lo puedes cambiar usando plugins como iThemes Security, o si eres mañoso, cambiándolo directamente en phpMyAdmin.
Además usando el plugin de seguridad anterior, o Wordfence Security, podrás limitar los intentos de login y ocultar tu nombre de usuario usando el campo alias de las preferencias de usuario. Si solo quieres limitar los intentos, también puedes usar el plugin Limit Login Attempts (pero te recomiendo los anteriores, porque este lleva mucho tiempo sin actualizarse y debería ser desinstalado de inmediato).
Otra opción es que uses un servidor que tenga seguridad especializada en WordPress, como Webempresa. Ellos también limitan los intentos de login y bloquean las IP que realizan escaneos a tu blog.
Y, por último, para realizar un doble login, puedes proteger el directorio wp-admin con contraseña o usar sistemas de doble autentificación que, por ejemplo, te manden un código por SMS al móvil.
¿A que ya no temes los ataques de fuerza bruta?
Es cierto que es el ataque más frecuente, y que muchas webs caen ante ellos, pero tu web estará más segura si sigues estos consejos y aplicas estas medidas. Además, te sentirás tranquilo ante la mayoría de ataques de este tipo.
Ahora, aunque recibas esos correos de alerta de intentos de login, no serán motivo para alterarse.
Y tú, ¿aplicas alguna medida extra que no haya puesto yo aquí? Cuéntame en los comentarios.