13.07.17
actualizado el 23.01.20
Jan Hornung
0 comentarios
Ataques de fuerza bruta

Cómo los sitios de WordPress son atacados casi mil millones de veces al mes

Sólo en Mai 2017, los sitios de WordPress fueron atacados casi mil millones de veces con las llamadas ataques de fuerza bruta bombardeado. Esto hace que los ataques automatizados al área de inicio de sesión sean, con diferencia, el mayor peligro para los proyectos de WordPress. Afortunadamente, puedes protegerte rápida y eficazmente contra la avalancha de inicios de sesión. Porque los ataques de fuerza bruta son fáciles de rechazar.

Hay ladrones que planifican su golpe durante años, reúnen un equipo capaz, bajan en rappel por los tejados de noche y abren cajas fuertes de oído. Y luego hay gente que rompe un escaparate con una piedra. Los ataques de fuerza bruta, que son con mucho los más comunes en los sitios de WordPress, entran en esta categoría.

La idea que subyace a los ataques de fuerza bruta es relativamente sencilla: los hackers intentan adivinar los nombres de usuario y las contraseñas para poder acceder a la página web de WordPressDashboard . Así que no se necesitan necesariamente conocimientos profundos ni una gran infraestructura técnica para llevar a cabo con éxito un ataque de este tipo. Basta con una lista de contraseñas y nombres de usuario y un breve guión.

Esto también se refleja en el gran número de ataques. Según las mediciones del proveedor de seguridad Wordfence , se produjeron unos 900 millones de ataques de fuerza bruta a sitios de WordPress en Mai 2017. En abril, hubo incluso 1.380.000.000, es decir, 1.380 millones de ataques. Y como cerca del 28,3% de los 10 millones de sitios web más grandes del mundo funcionan actualmente con WordPress, este volumen de ataques supone una gran amenaza para Internet en su conjunto. O al menos una potencial. Porque puedes defenderte muy fácilmente contra estos ataques.

Por eso, hoy te explicaré cómo funcionan los ataques de fuerza bruta y cuál es el riesgo para tu sitio .

Las masas lo hacen

En principio, los ataques de fuerza bruta no son muy imaginativos. De ahí el nombre: fuerza bruta, que significa fuerza bruta en alemán.

Un solo hacker necesitaría años para probar el nombre de usuario "admin" solo con, por ejemplo, una lista de las 500 peores contraseñas. La idea romántica de que los sitios son pirateados por personas que teclean manualmente todas las contraseñas posibles no se corresponde con la realidad.

Los hackers automatizan sus procesos de trabajo. Trabajan con bots, es decir, programas que atacan automáticamente los sitios de WordPress. Estos bots también pueden estar conectados por miles en grandes redes, las llamadas botnets.

Los robots conocen muy bien las vulnerabilidades de sus víctimas. Las redes de bots, en particular, consiguen comprobar numerosas IP y, por tanto, innumerables sitios web simultáneamente y a la velocidad del rayo, en busca de deficiencias en la arquitectura de seguridad.

Una vez que han encontrado un sitio web con la correspondiente laguna, atacan una y otra vez y prueban automáticamente decenas de miles de las contraseñas y nombres de usuario más comunes hasta que consiguen entrar. Las bases de datos de libre acceso que enumeran las contraseñas más comunes de varias plataformas y redes facilitan aún más su trabajo.

Es precisamente esta automatización la que hace que los ataques de fuerza bruta sean peligrosos. Incluso si diriges un sitio web relativamente desconocido cuyo pequeño alcance lo hace poco atractivo para los hackers humanos, puedes encontrarte en el punto de mira de un bot o una red de bots. Los robots no distinguen entre sitios web grandes y pequeños. Sólo distinguen entre los bien y los mal asegurados. Y como tantos sitios funcionan con WordPress, la probabilidad de encontrar un WordPress mal protegidositio es naturalmente mayor que con otros CMS.

Datos y alcance, ese es el botín

Pero, ¿por qué los hackers también atacan a los sitios web pequeños con sus redes de bots? En principio, siempre se trata de dos recursos: datos y alcance. Porque ambos pueden venderse o alquilarse, es decir, monetizarse. Para ello, las páginas de destino suelen estar infectadas con malware.

Con esto, el hacker puede hacer, por ejemplo, lo siguiente

  • Envío de correos spam desde tus sitio que aterrizan directamente en las bandejas de entrada de tus destinatarios
  • tu sitio integrarlos en una red de bots y utilizarlos indebidamente para nuevos ataques
  • Acceder a las bases de datos tus Clientes o miembros de la comunidad y robar datos sensibles
  • Alojar contenidos ilegales contigo
  • Redirige tu tráfico

El peligro aumenta constantemente, al igual que la cuota de mercado de WordPress

Por eso, ser víctima de un ataque de fuerza bruta con éxito no es ninguna tontería. Pero, ¿cuál es el riesgo de que los hackers ataquen tu sitio ? Para poder evaluar el peligro, merece la pena echar un vistazo a las cifras disponibles.

Número de ataques de fuerza bruta en millones y cuota de mercado de WordPress.
Número de ataques de fuerza bruta en millones y cuota de mercado de WordPress.

La proporción de sitios de WordPress aumenta constantemente, mientras que el número de ataques de fuerza bruta, en cambio, fluctúa mucho. En algunos casos, esto se debe a que las redes de bots más grandes estaban activas durante este periodo. Por ejemplo, en abril de 2017, una red de bots de routers domésticos estaba trabajando.

Por supuesto, en estas estadísticas sólo se incluyen los ataques fallidos que fueron evitados por el respectivo software de seguridad. Por lo tanto, los ataques de fuerza bruta exitosos no se cuentan aquí. Tampoco lo son los ataques a sitios que no tienen instalados los plugins Sucuri o Wordfence .

Puedes comprobarlo por el gran número de ataques: Cualquiera que opere un sitio web sin protección está actuando con grave negligencia. Cada día se producen millones de ataques contra los sitios de WordPress. Afortunadamente, la protección contra los ataques de fuerza bruta es relativamente fácil.

Teóricamente muy peligroso, prácticamente fácil de manejar

En principio, la protección eficaz contra los ataques de fuerza bruta se basa en dos mecanismos: contraseñas seguras y listas negras eficaces. Si los datos de inicio de sesión de tu son difíciles de adivinar y se cambian regularmente, y si bloqueas las IPs atacantes y las regiones con IPs especialmente agresivas, reduces enormemente el riesgo de que un hackeo tenga éxito.

Aunque las meras cifras demuestran que los ataques de fuerza bruta son una grave amenaza para los sitios WordPress de tu -que se espera que crezca gracias a los ataques automatizados y al gran número de sitios con WordPress-, en la práctica casi sólo tienen éxito para los propietarios de sitios descuidados.

¿Te ha gustado el artículo?

Con tu valoración nos ayudas a mejorar aún más nuestro contenido.

Jan Hornung

Forma parte de Raidboxes desde el principio y es jefe del soporte técnico. En los bares y WordCamps le encanta hablar de la velocidad de carga de los sitios web y del rendimiento de los mismos. La mejor manera de sobornarlo es con un café expreso o con unos pretzels alemanes.

Escribe un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *.