Con estas 7 medidas puedes hacer Brute Forceque los ataques no lleguen a nada

8 Min.
Con al menos 4.000 millones de ataques individuales este año, los Brute Forceataques son probablemente la mayor amenaza para WordPress los sitios.
Última actualización en

Con varios miles de millones de ataques individuales al año, Brute Force los ataques son sin duda la mayor amenaza para WordPress Páginas. Por suerte, este tipo de ataque también es muy torpe y fácil de engañar. Te mostraremos cuatro acciones simples y rápidas contra los ataques de hackers. Y también tres mecanismos de protección más complejos.

Sólo en abril de 2017, el proveedor de seguridad Wordfence más de mil Brute Force millones de ataques contó con WordPress -páginas en todo el mundo. Y esto es sólo un valor aproximado - el número de casos no reportados es significativamente mayor. Esto significa que los ataques que intentan adivinar automáticamente las contraseñas y los nombres de usuario son un gran peligro para WordPress los sitios de todo el mundo. Pero no sólo eso. Porque sobre 37.5 por ciento de los 10 millones de sitios web más grandes que actualmente funcionan bajo WordPress . Y eso significa que la cuestión de los mecanismos de protección eficaces para la Internet en su conjunto también es WordPress pertinente.

Si quieres saber exactamente cómo Brute Force funcionan los ataques y lo peligrosos que son, echa un vistazo a nuestro Artículo de fondo sobre el tema Brute Force de los ataques en.

A pesar de su gran número hay una buena noticia: existen medidas de seguridad útiles contra Brute Force los ataques que se pueden implementar sin mucho esfuerzo y sobre todo sin conocimientos de programación. Y hay medidas que al menos requieren un conocimiento básico del archivo .htaccess.

Estas son las siete medidas que estamos discutiendo hoy:

  1. Contraseñas fuertes (¡muy importante!)
  2. No uses "admin" como nombre de usuario
  3. Limitar el número de inicios de sesión no válidos
  4. Autenticación de dos factores
  5. Inicio de sesión de varios niveles
  6. Lista negra
  7. Ocultar el área de acceso (es controvertido)

1. Usar una contraseña segura

A Contraseña fuerte. es extremadamente importante como protección contra Brute Force los ataques. Los bots y botnets usan enormes bases de datos de contraseñas para sus "juegos de adivinanzas". Estos son probados sin rodeos. Cuanto más inusual y difícil sea su contraseña, más probable es que no aparezca en ellas.

Cuanto más larga y difícil sea tu contraseña, más tiempo tardarán los bots en descifrarla, si además intentan adivinar la contraseña sin una lista.

Por lo tanto, su contraseña debe contener varias combinaciones de caracteres ...

  • 10 números diferentes (0 a 9)
  • 52 letras diferentes (de la A a la Z y de la A a la Z)
  • 32 diferentes personajes especiales...

... y tener al menos 8 caracteres de largo.

El depósito de contraseñas del administrador de contraseñas proporciona algunas descripciones Cálculos de muestra listo. Se supone aquí que un solo ordenador fuerte puede generar dos mil millones de contraseñas por segundo. En términos concretos:

  • Una contraseña de 5 caracteres (3 minúsculas, 2 números) tiene 60 466 176 combinaciones posibles y puede ser descifrada en 0,03 segundos.
  • Una contraseña de 8 caracteres (4 minúsculas, 2 caracteres especiales, 2 números) ya tiene 457 163 239 653 376 combinaciones posibles. Aquí la calculadora necesita unos dos días y medio.
  • Y una contraseña de 12 caracteres (3 mayúsculas, 4 minúsculas, 3 caracteres especiales, 2 números) tiene no menos de 475 920 314 814 253 376 475 136 combinaciones posibles. Se necesitan 7,5 millones de años para que un solo ordenador descifre esta contraseña.

En WordPress -Codex para la creación de tales contraseñas el Plugin Forzar contraseñas fuertes recomendado. Esto obliga a los usuarios a elegir contraseñas complejas. Aunque esto Plugin no hace directamente que el sitio sea más seguro, sí educa a los usuarios para que usen contraseñas fuertes. Y especialmente si trabajas para un cliente, esta pequeña ayuda puede ser muy práctica.

¡No tienes que recordar las contraseñas!

Los administradores de contraseñas te ayudan a crear y administrar contraseñas seguras. Todo lo que tienes que hacer es recordar una contraseña maestra (por supuesto, una que sea lo más compleja posible). El programa hace el resto por ti. Las computadoras de Apple ya tienen instalada una aplicación correspondiente llamada "Administración de Llaveros". Los programas de gestión de contraseñas basados en la nube como 1Password, LastPass o KeyPass funcionan de la misma manera.

Así que no tienes que recordar todas tus contraseñas. Especialmente si mantienes más de un sitio y utilizas una variedad de servicios, una gestión profesional de contraseñas es una bendición.

FREE DEV programa RAIDBOXES

2. no utilice el nombre de usuario "admin"

Como ya se ha mencionado: Brute Force Los ataques son básicamente intentos de adivinar. Así que deberías hacer lo más difícil posible que los hackers adivinen tu nombre de usuario. Así que no uses el nombre de usuario WordPress por defecto "admin" - y por lo tanto no uses el que el sistema ha establecido para ti. Este nombre de usuario también es el predeterminado para todos los demás WordPress usuarios.

3. Bloquear el accesositio después de demasiados intentos fallidos

Brute Force Los ataques prueban miles y miles de combinaciones de nombres de usuario y contraseñas. A la inversa, esto significa que generas miles y miles de intentos de acceso para limitar.

Así que su servidor es muy consciente de que algo está pasando. Con el correspondientePlugin , se puede especificar que el acceso se bloquea después de un cierto número de intentos fallidos, por lo que los hackers tienen que poner su ataque en espera. Puede establecer esta protección, por ejemplo, con unPlugin Intentos de acceso al límite del WP o Intentos de acceso al límite Recargados implementar.

Cada WordPress instalación RAIDBOXES tiene la función de limitar los intentos de acceso, integrado como estándar. Si una persona o un robot intenta entrar en su sitio demasiado a menudo con los datos de acceso incorrectos, bloquearemos la IP respectiva durante 20 minutos. Si los intentos de acceso continúan con datos erróneos, la IP se bloqueará incluso durante 24 horas. Por supuesto, también puede definir usted mismo el número de intentos y el período de bloqueo.

Los Intentos de Inicio de Sesión Límite y Co. tienen una fecha de caducidad

Sin embargo, hay una cosa importante que hay que entender sobre estoPlugins : la limitación de los intentos de acceso de una dirección IP tiene una seria debilidad. No puede anticipar el cambio de una dirección IP. Esto significa que los ataques con redes de bots, por ejemplo, sólo pueden evitarse con un esfuerzo considerable o no se pueden evitar en absoluto. Además, con la nueva generación de direcciones IP (las direcciones IPv6), un solo atacante puede cambiar su dirección IP en una fracción de segundo. Este hecho aumenta el peligro de los ataques de las redes de robots.

Y: Un gran número de los Brute Force ataques no deberían ser meros juegos de adivinanzas. Como muestra el cálculo de la sección de contraseñas seguras, incluso una red de bots con un millón de dispositivos no puede adivinar las contraseñas seguras. Por eso muchos hackers trabajan con listas de contraseñas. Esto reduce el número de intentos de acceso a las posibles combinaciones de la respectiva biblioteca de contraseñas.

Aunque la limitación de los intentos de acceso por IP sigue teniendo sentido, la importancia de este mecanismo de seguridad disminuirá rápidamente en el futuro. El único mecanismo de protección realmente seguro contra los ataques con IP cambiantes es la autenticación de dos factores.

4. autenticación de dos factores

La idea que subyace al concepto de autenticación de dos factores es exigir una segunda confirmación además de la contraseña al iniciar la sesión. Este suele ser otro código alfanumérico. Lo especial de esto es que este código se transmite fuera del procedimiento de acceso real, por ejemplo, a través de un generador de códigos o un teléfono móvil. Y sólo el dueño de este dispositivo es finalmente capaz de entrar en el sistema.

Con el Google App Google Authenticator y el correspondientePlugin , la autenticación avanzada se puede WordPress implementar con relativa facilidad. Se utilizan con frecuencia, por ejemplo, la Plugins Autentificador de Google por Hendrik Schack o Autentificador de Google de miniOrange.

Para añadir la protección de seguridad adicional, descarga la aplicación de Google a tu teléfono e instálala Plugin en WordPress . Se generará un código QR aquí, que puede ser escaneado con la aplicación. Alternativamente, puede crear la cuenta manualmente. Ahora tu WordPress cuenta de usuario y la aplicación de tu teléfono están vinculadas.

La aplicación ahora genera un nuevo código de seguridad cada 30 segundos. Todo usuario para el que se active la autenticación de dos factores ve ahora la línea "Código de autenticación de Google" además de "Nombre de usuario" y "Contraseña" en el área de acceso. Para entrar, necesitan el teléfono inteligente en el que se generan los códigos. Los grandes plugins de seguridad como, por ejemplo, Wordfence ofrecen en parte un mecanismo similar.

El proceso de doble autenticación puede parecer complejo, pero desde el punto de vista de la seguridad es una muy buena protección contra Brute Force los ataques. Especialmente en vista del cambio de direcciones IPv4 a IPv6 mencionado anteriormente.

Contraseñas fuertes, cambios de nombre de usuario como Plugins los intentos de inicio de sesión limitados y la autenticación de dos factores son medidas que puede implementar de forma fácil, rápida y sin conocimientos de programación. Y sobre todo, la autenticación adicional y las contraseñas realmente fuertes también protegen eficazmente contra Brute Force los ataques.

Pero si quieres, puedes hacer más. Puedes asegurar tu área de administración de WP con una contraseña adicional, crear una lista blanca o negra, o crear tu Ocultar el área de administración del WP. Sin embargo, todas estas medidas no suelen ofrecer más seguridad, sino que deben considerarse más bien como opciones o alternativas.

5. protección adicional con contraseña

Si ejecutas el tuyo WordPress sitio en un servidor Apache, tienes la opción de ejecutar el tuyo en un servidor Apache sin Plugin introducir un procedimiento de inicio de sesión de varios niveles. Cada WordPress instalación en un servidor Apache contiene un archivo llamado .htaccess. En este archivo se puede almacenar el código para una autenticación HTTP adicional para añadir otra protección de contraseña al inicio de sesiónsitio . Así que el servidor ya requiere una contraseña para que los visitantes puedan acceder a la pantalla de acceso.

# Proteger el wp-login
AuthUserFile ~/.htpasswd
 AuthName "Acceso privado"
 AuthType Basic
 requieren un usuario mysecretuser

Con este comando, se crea una solicitud de contraseña antes de que se pueda acceder al área wp-admin. Aquí se introduce un nombre de usuario y una contraseña adicionales para acceder al área de acceso. Los datos para el usuario adicional deben ser definidos en el .htpasswd. Para ello, el nombre de usuario y la contraseña deben ser insertados en el archivo de forma encriptada. El WordPress -Codex explica cómo funciona básicamente este proceso.

ebook: Mida el rendimiento de su sitio como un profesional

6. lista negra y lista blanca

Hablando de .htaccess: Con este archivo, puedes implementar otra poderosa protección Unas pocas líneas de código aseguran que sólo ciertos IPs tienen acceso al WordPress tablero o a los directorios individuales.

Para ello, hay que añadir un .htaccess adicional con el siguiente código en el directorio apropiado - preferiblemente wp-admin:

# Bloquear el acceso a wp-admin.
 ordenar negar, permitir
 permitir desde x.x.x.x
 negar de todos

x.x.x.x tienes que reemplazar x.x.x con los IPs que deberían tener acceso a la página, por supuesto. El ejemplo muestra una lista blanca, una lista de IPs a las que se les permite acceder a la página. Esto bloqueará el accesositio a todas las demás IPs. El orden de los comandos - "permitir" seguido de "negar" - es extremadamente importante, por cierto, porque se ejecutan en orden. Si "negar de todo" es lo primero, también te enfrentarás a puertas cerradas.

Una lista negra implementaría el mecanismo exactamente opuesto: Determinaría cuáles son los IPs que no están autorizados a acceder al sitio. Por supuesto que hay soluciones de plugin para ambos. Por ejemplo, los conocidos plug-ins de seguridad, como Seguridad WP todo en uno, Wordfence o Sucuricada uno con una función de lista negra o lista blanca. Sin embargo, cabe señalar que estos tres pueden, por Plugins supuesto, hacer mucho más que simplemente crear listas negras o blancas. Por lo tanto, no debe instalarlos exclusivamente para estas funciones. Una alternativa popular aquí sería la Plugin Loginizerque actualmente tiene más de 500.000 instalaciones activas.

7. Esconder la zona de registro

Brute Force Los ataques atacan tu accesositio . Una forma muy simple de prevenir estos ataques es evitar que los atacantes accedan a su loginsitio en primer lugar. Para este propósito algunos webmasters ocultan la máscara de acceso. El área de acceso sólo es accesible a través de una URL secreta.

Esta medida sigue el principio (controvertido) Seguridad a través de la oscuridad y no es en sí misma una medida de seguridad significativa. No RAIDBOXES somos grandes amigos de este principio. Porque si implementa las medidas arriba mencionadas, ya ha asegurado muy bien su área de acceso y no tiene que moverla adicionalmente. Sin embargo, esta medida puede contribuir a la seguridad percibida, lo que puede ser especialmente importante para la percepción de sus clientes.

Si quieres... ocultar el área wp-admin puedes usar uno de los grandes plugins de seguridad (que, como dije, ofrecen muchas más características). O puedes probar uno de estos popularesPlugins :

Como ya se ha dicho: En nuestra opinión, ocultar el wp-admin no es una medida sensata, al menos no para proteger su sitio de Brute Force los ataques. Si ha elegido una contraseña fuerte e implementado un método de exclusión de IP sensato o una autenticación de dos factores, ya ha reducido significativamente el riesgo de un Brute Force ataque exitoso.

Conclusión

Con una cuota de mercado actual de más del 32 por ciento, es WordPress con mucho el mayor CMS del mundo. Esto probablemente no cambiará en el futuro. El Probabilidad de convertirse en el objetivo de un Brute Force ataque es por lo tanto, puramente matemático, extremadamente alto. Debes ser consciente de eso. Afortunadamente, también puedes protegerte de ellos muy fácilmente. Porque unas pocas medidas, es decir, contraseñas seguras y una autenticación de dos factores, pueden aplicarse en unos pocos momentos y completamente sin conocimientos de programación.

Y también Plugins puede implementar las medidas supuestamente más difíciles, como la lista negra o blanca, una protección adicional con contraseña o un mecanismo de bloqueo para el área de inicio de sesión. Así que si sólo consideras los primeros tres o cuatro puntos de este post, ya estás bien protegido contra Brute Force los ataques. Por supuesto, siempre puedes hacer más, por ejemplo, crear una protección adicional con contraseña o establecer listas negras o blancas. Pero en esos casos se debe considerar si los mecanismos de seguridad adicionales realmente valen la pena, especialmente en lo que respecta al esfuerzo de administración.

Artículos relacionados

Comentarios sobre este artículo

Escriba un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con * marcado.