Wordpress

Evitar ataques de fuerza bruta en WordPress

add_wp

Hace tiempo que no hablamos de las webs desarrolladas en WordPress. En el post anterior comentábamos las ventajas de escoger wordpress como gestor de contenidos. Ahora vamos a mirar cómo evitar ataques a nuestra página realizada en wordpress.

Los ataques de fuerza bruta son una de las maneras en las que se intenta entrar en los sitios sobre WordPress. El fin de los ataques no es otro que obtener acceso a la parte de administración, eliminar el contenido del sitio, añadir contenido propio…

Los ataques de fuerza bruta suelen estar automatizados. El atacante irá probando aleatoriamente todas las contraseñas que le sea posible hasta encontrar una que le de acceso. Es por eso que es muy importante tener contraseñas robustas porque aunque pueda parecer que se tarda mucho tiempo en realidad se encuentran con relativa rapidez.

Además de comprometer la seguridad al encontrar la contraseña estos ataques ralentizan la carga del sitio e incluso pueden llegar a bloquearlo por las peticiones que se realizan de pruebas de contraseña.

Los ataques ralentizan la web y pueden llegar a bloquearla

¿Cómo proteger nuestros sistemas en WordPress ante estos ataques?

Existen varios métodos para llevar a cabo esta operación. Uno de ellos es renombrar el archivo wp-login.php. El acceso por defecto de wordpress a la administración siempre tiene lugar desde la misma ubicación y si hemos dejado esta entrada predeterminada es conde los hackers iniciarán las peticiones de contraseña.

Para protegernos podemos utilizar el plugin Rename wp-login.php. Una vez instalado y activado deberemos ir a la página de Ajustes del panel de control de Administrador y podrmeos introducir una nueva URL de inicio de sesión a la parte administrativa.

El plugin tiene otras opciones de configuración como cambiar los Ajustes comunes y/o estándar de WordPress de Predeterminado al Nombre de la entrada. La URL de inicio de sesión se puede dejar como login, aunque es preferible modificala a algo que no sea tan común. La URL que configuremos será el nombre de acceso a la página de Administración. No lo olvides porque si lo haces no podrás entrar a Administrar tu página.

Tras los cambios mostraremos una pagina 404 cuando se vaya a wp-login.hp

Cualquier acceso a la página wp-login.php lanzará un error de página no encontrada (404).

Aunque bloqueemos el acceso a la parte de administración WordPress seguirá gastando recurso en la página wp-login cosa que puede bloquearla. Para evitar esto podemos editar el archivo .htaccess y añadir el siguiente código al final del archivo:

< Files wp-login.php >
deny from all
< /Files >

Esta operación devolverá un error 403 en lugar de un 404. Este error no carga ningún recurso y evitamos la disminución de la velocidad y la carga de la página. Lo que realizamos con el código anterior es bloquear el permiso de acceso a la página wp-login.php

Es cierto que existen mucho otros métodos para proteger nuestro sistema WordPress contra los ataques de fuerza bruta. Hemos escogido uno de los más rápidos y sencillos de implementar.

¿Cómo te proteges contra este tipo de ataques?… cuéntanoslo

Author Ernesto Lapuente

More posts by Ernesto Lapuente

Leave a Reply

2 × 1 =

Addmira todos los derechos reservados.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies