Recursos, Wordpress

WordPress y evitar ataques de fuerza bruta

0 231

Hace tiempo que no hablo de las webs desarrolladas en WordPress y con tantos ataques de fuerza bruta que están actualmente sufriendo voy a explicar una manera sencilla de evitarlos.

Que son los ataques de fuerza bruta

Los ataques de fuerza bruta son una de las maneras en las que se intenta entrar en los sitios sobre WordPress. El fin de los ataques no es otro que obtener acceso a la parte de administración, eliminar el contenido del sitio, añadir contenido propio…

Suelen estar automatizados y el atacante irá probando aleatoriamente todas las contraseñas que le sea posible hasta encontrar una que le de acceso. Es por eso que es muy importante tener contraseñas robustas porque aunque pueda parecer que se tarda mucho tiempo en realidad se encuentran con relativa rapidez.

Además de comprometer la seguridad al encontrar la contraseña estos ataques ralentizan la carga del sitio e incluso pueden llegar a bloquearlo por las peticiones que se realizan de pruebas de contraseña.

¿Cómo proteger nuestros sistemas en WordPress ante estos ataques?

Existen varios métodos para llevar a cabo esta operación. Uno de ellos es renombrar el archivo wp-login.php. El acceso por defecto de wordpress a la administración siempre tiene lugar desde la misma ubicación y si hemos dejado esta entrada predeterminada es conde los hackers iniciarán las peticiones de contraseña.

Los ataques ralentizan la web y pueden llegar a bloquearla

Para protegernos podemos utilizar el plugin Rename wp-login.php. Una vez instalado y activado deberemos ir a la página de Ajustes del panel de control de Administrador y podrmeos introducir una nueva URL de inicio de sesión a la parte administrativa.

El plugin tiene otras opciones de configuración como cambiar los Ajustes comunes y/o estándar de WordPress de Predeterminado al Nombre de la entrada. La URL de inicio de sesión se puede dejar como login, aunque es preferible modificala a algo que no sea tan común. La URL que configuremos será el nombre de acceso a la página de Administración. No lo olvides porque si lo haces no podrás entrar a Administrar tu página.

Tras los cambios mostraremos una pagina 404 cuando se vaya a wp-login.hp

Cualquier acceso a la página wp-login.php lanzará un error de página no encontrada (404).

Aunque bloqueemos el acceso a la parte de administración WordPress seguirá gastando recurso en la página wp-login cosa que puede bloquearla. Para evitar esto podemos editar el archivo .htaccess y añadir el siguiente código al final del archivo:

< Files wp-login.php >
deny from all
< /Files >

Esta operación devolverá un error 403 en lugar de un 404. Este error no carga ningún recurso y evitamos la disminución de la velocidad y la carga de la página. Lo que realizamos con el código anterior es bloquear el permiso de acceso a la página wp-login.php

Es cierto que existen mucho otros métodos para proteger nuestro sistema WordPress contra los ataques de fuerza bruta. Hemos escogido uno de los más rápidos y sencillos de implementar.

¿Cómo te proteges tu contra este tipo de ataques?

Compartir:

Posts relacionados

Deja una contestación

Tu email no será publicado. Los campos obligatorios están marcados *

ocho − 5 =

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Publicidad

Publicidad

Comentarios recientes

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies