Con estas 7 medidas dejas que los ataques de Brute Force vayan al vacío

Tobias Schüring Última actualización 20.10.2020
8 min.
Con al menos 4.000 millones de ataques individuales este año, los ataques a Brute Force son probablemente la mayor amenaza para los sitios WordPress .
Última actualización 20.10.2020

Con varios miles de millones de ataques individuales al año, los ataques a Brute Force son probablemente la mayor amenaza para los sitios WordPress . Afortunadamente, este tipo de ataque también es muy torpe y fácil de engañar. Le mostraremos cuatro medidas sencillas y rápidas contra los ataques de los hackers. Y también tres mecanismos de protección más complejos.

Solo en abril de 2017, el proveedor de seguridad Wordfence contabilizómás de mil millones de ataques de Brute Force a los sitios WordPress en todo el mundo. Y esto es sólo una aproximación: el número de casos no declarados es significativamente mayor. Esto significa que los ataques, que intentan adivinar automáticamente las contraseñas y los nombres de usuario, representan una gran amenaza para los sitios WordPress en todo el mundo. Pero no sólo eso. Más del 37,5% de los 10 millones de sitios web más grandes funcionan actualmente en WordPress . Y esto significa que la cuestión de los mecanismos de protección eficaces para WordPress también afecta a Internet en su conjunto.

Si quiere saber exactamente cómo funcionan los ataques de Brute Force y lo peligrosos que son, consulte nuestro artículo de fondo sobre los ataques de Brute Force .

A pesar de su gran número, hay una buena noticia: existen medidas de seguridad razonables contra los ataques de Brute Force que puede aplicar usted mismo sin mucho esfuerzo y, sobre todo, sin conocimientos de programación. Y hay medidas que requieren al menos un conocimiento básico del archivo .htaccess.

Estas siete medidas son el objeto del debate de hoy:

  1. Contraseñas fuertes (¡muy importante!)
  2. No utilice "admin" como nombre de usuario
  3. Limitar el número de inicios de sesión no válidos
  4. Autenticación de dos factores
  5. Inicio de sesión multinivel
  6. Lista negra
  7. Ocultar el área de inicio de sesión (es controvertido)

1. Utilizar una contraseña fuerte

Una contraseña fuerte es extremadamente importante como protección contra los ataques de Brute Force . Los bots y las redes de bots utilizan enormes bases de datos de contraseñas para sus "juegos de adivinanzas". Estos se prueban sin rodeos. Cuanto más inusual y difícil sea la contraseña de tu , mayor será la probabilidad de que no aparezca en ella.

Cuanto más larga y difícil sea la contraseña de tu , más tiempo necesitarán los bots para descifrarla si además intentan adivinar la contraseña sin una lista.

tu Por lo tanto, la contraseña debe contener varias combinaciones de caracteres de ...

  • 10 números diferentes (del 0 al 9)
  • 52 letras diferentes (de la A a la Z y de la a a la z)
  • 32 caracteres especiales diferentes ...

... y tener al menos 8 caracteres.

El gestor de contraseñas Passwort-Depot ofrece algunos ejemplos ilustrativos de cálculo. Aquí se supone que un solo ordenador fuerte puede generar dos mil millones de contraseñas por segundo. En concreto, esto significa:

  • Una contraseña compuesta por 5 caracteres (3 letras minúsculas y 2 números) tiene 60.466.176 combinaciones posibles, por lo que puede descifrarse en 0,03 segundos.
  • Una contraseña de 8 caracteres (4 letras minúsculas, 2 caracteres especiales, 2 números) ya tiene 457 163 239 653 376 combinaciones posibles. Aquí la calculadora necesita unos dos días y medio.
  • Y una contraseña compuesta por 12 caracteres (3 mayúsculas, 4 minúsculas, 3 caracteres especiales, 2 números) tiene la asombrosa cifra de 475 920 314 814 253 376 475 136 combinaciones posibles. Un solo ordenador tarda 7,5 millones de años en descifrar esta contraseña.

El códiceWordPress recomienda la creación de contraseñasfuertes de la fuerza Plugin . Esto obliga a los usuarios a elegir contraseñas adecuadamente complejas. Así, este Plugin no hace que los sitios sean directamente más seguros, sino que educa a los usuarios para que utilicen contraseñas seguras. Y, sobre todo, si trabaja por cuenta de un cliente, esta pequeña medida puede ser muy práctica.

No tienes que recordar las contraseñas.

Los gestores de contraseñas te ayudan a crear y gestionar contraseñas seguras. Lo único que tienes que hacer es recordar una contraseña maestra (lo más compleja posible, por supuesto). El programa hace el resto por ti. Los ordenadores Apple ya tienen instalada una aplicación llamada "Keychain Manager". Los programas de gestión de contraseñas en la nube, como 1Password, LastPass o KeyPass, funcionan de la misma manera.

Así no tendrás que recordar todas las contraseñas de tu . Especialmente si gestionas más de un sitio y utilizas diversos servicios, una gestión profesional de contraseñas es una bendición.

2. no utilice el nombre de usuario "admin

Como ya se ha mencionado: los ataques de Brute Force son básicamente intentos de adivinación. Por lo tanto, debes dificultar al máximo que los hackers adivinen tu nombre de usuario. Por lo tanto, no utilice el nombre de usuario "admin" preestablecido por WordPress - y por lo tanto no utilice el que el sistema ha preestablecido para usted. Este nombre de usuario es, por supuesto, también el predeterminado para todos los demás usuarios de WordPress .

3. bloquear el inicio de sesión -sitio después de demasiados intentos fallidos

Brute Force Los ataques prueban miles y miles de combinaciones de nombres de usuario y contraseñas. A la inversa, esto significa que generan miles y miles de intentos de inicio de sesión para limitar.

tu Server se dará cuenta de que algo está pasando. Con un Plugin adecuado se puede especificar que el acceso se bloquee después de un cierto número de intentos fallidos, de modo que los hackers tengan que poner su ataque en espera. Puede implementar esta protección por ejemplo con un Plugin como WP Limit Login Attempts o Limit Login Attempts Reloaded.

En RAIDBOXES , cada instalación de WordPress tiene integrada por defecto la función de limitar los intentos de acceso. Si una persona o un bot intenta conectarse a tu sitio con demasiada frecuencia con datos de acceso erróneos, inicialmente bloqueamos la IP en cuestión durante 20 minutos. Si los intentos de inicio de sesión con datos falsos continúan, la IP será incluso bloqueada durante 24 horas. Por supuesto, también puedes definir tú mismo el número de intentos y el periodo de bloqueo.

Limitar los intentos de inicio de sesión y Co. tienen una fecha de caducidad

Sin embargo, hay una cosa importante que hay que entender sobre este Plugins : la limitación de los intentos de inicio de sesión de una dirección IP tiene un grave defecto. No puede anticipar el cambio de una dirección IP. Esto significa que los ataques de redes de bots, por ejemplo, sólo pueden ser defendidos de forma pobre, si es que lo son. Con la nueva generación de direcciones IP (direcciones IPv6), un solo atacante también puede cambiar su dirección IP en fracciones de segundo. Este hecho aumenta el peligro que suponen los ataques de las redes de bots.

Y: Un gran número de los ataques de Brute Force no son probablemente meras adivinanzas. Como muestra el cálculo de la sección sobre contraseñas seguras, ni siquiera una red de bots con un millón de dispositivos puede adivinar las contraseñas seguras. Por ello, muchos hackers trabajan con listas de contraseñas. Esto reduce el número de intentos de inicio de sesión a las posibles combinaciones de la respectiva biblioteca de contraseñas.

Aunque la limitación de los intentos de acceso por IPsigue teniendo sentido, la importancia de este mecanismo de seguridad disminuirá rápidamente en el futuro. El único mecanismo de protección verdaderamente seguro contra los ataques con IPs cambiantes es la autenticación de dos factores.

4. autenticación de dos factores

La idea detrás del concepto de autenticación de dos factores es requerir una segunda confirmación además de la contraseña al iniciar la sesión. Suele ser otro código alfanumérico. La particularidad es que se transmite fuera del propio proceso de inicio de sesión, por ejemplo, a través de un generador de códigos o de un teléfono móvil. Y sólo el propietario de este dispositivo puede, en última instancia, iniciar la sesión.

Con la aplicación de Google, Google Authenticator, y su correspondiente Plugin , la autenticación ampliada puede implementarse con relativa facilidad en WordPress . Los más utilizados son, por ejemplo, el Plugins Google Authenticator de Hendrik Schack o Google Authenticator de miniOrange.

Para instalar la protección de seguridad adicional, descargue la aplicación de Google en el smartphone tu e instale el Plugin en WordPress . Aquí se genera un código QR que se escanea con la aplicación. También puede crear la cuenta manualmente. Ahora tu WordPress cuenta de usuario y la aplicación están vinculados en su teléfono móvil.

La aplicación genera ahora un nuevo código de seguridad cada 30 segundos. Todos los usuarios que tengan activada la autenticación de dos factores verán ahora la línea "Google Authenticator Code" junto a "Nombre de usuario" y "Contraseña" en el área de inicio de sesión. Así que para iniciar la sesión, necesita el smartphone en el que se generan los códigos. Los grandes plugins de seguridad como Wordfence ofrecen un mecanismo similar en algunos casos.

El proceso de doble autenticación puede parecer complejo, pero desde el punto de vista de la seguridad es una muy buena salvaguarda contra los ataques de Brute Force . Sobre todo teniendo en cuenta el mencionado cambio de direcciones IPv4 a IPv6.

Las contraseñas fuertes, el cambio de nombre de usuario, Plugins como Limit Login Attempts y la autenticación de dos factores son medidas que puedes implementar de forma fácil, rápida y sin conocimientos de programación. Y lo que es más importante, la autenticación adicional y las contraseñas realmente fuertes también protegen eficazmente contra los ataques de Brute Force .

Pero si quieres, puedes hacer aún más. Puedes asegurar tu área de administración de WP con una contraseña adicional, crear una lista negra o blanca, o incluso ocultar tu área de administración de WP. Sin embargo, todas estas medidas no suelen ofrecer más seguridad, sino que deben entenderse como opciones o alternativas.

5. protección adicional con contraseña

Si ejecuta tu WordPress -sitio en un servidor Apache, tiene la posibilidad de introducir un procedimiento de inicio de sesión multinivel sin Plugin . Esto se debe a que cada instalación de WordPress en un servidor Apache contiene un archivo llamado .htaccess. En este archivo se puede almacenar el código para una autenticación HTTP adicional, con el fin de construir en una protección de contraseña adicional de la entradasitio . El servidor requiere una contraseña incluso para dejar pasar a los visitantes a la pantalla de acceso.

# Proteger wp-login
AuthUserFile ~/.htpasswd
 AuthName "Acceso privado
 AuthType Básico
 requerir el usuario mysecretuser

Con este comando, se genera una consulta de contraseña antes de poder acceder al área de wp-admin. Aquí se introduce un nombre de usuario y una contraseña adicionales para acceder a la zona de acceso. Sin embargo, los datos del usuario adicional deben ser definidos en el .htpasswd. Para ello, el nombre de usuario y la contraseña deben añadirse al archivo de forma encriptada. El códiceWordPress explica cómo funciona básicamente este proceso.

6. lista negra y lista blanca

Hablando de .htaccess: Con este archivo se puede implementar otra poderosa protección. Unas pocas líneas de código hacen que sólo determinadas IPs tengan acceso a la página WordPress -panel de control o a directorios individuales.

Para ello, almacena un .htaccess adicional con el siguiente código en el directorio apropiado - preferiblemente wp-admin:

# Bloquear el acceso a wp-admin. 
 orden denegar,permitir
 permitir desde x.x.x.x
 negar de todo

x.x.x.x debe sustituirse, por supuesto, por las IP que deben tener acceso a sitio . El ejemplo muestra una lista blanca, es decir, una lista de IPs que pueden acceder a la sitio . Esto bloquea el inicio de sesiónsitio para todas las demás IP. Por cierto, el orden de los comandos - "allow" seguido de "deny"- es extremadamente importante, porque se ejecutan en orden. Si lo primero es "negarse a todo", también se encontrará con las puertas cerradas.

Una lista negra aplicaría el mecanismo exactamente contrario: Determinaría qué IPs no pueden acceder a sitio . Por supuesto, también hay soluciones de plugins para ambas cosas. Por ejemplo, plugins de seguridad muy conocidos, como All In One WP Security, Wordfence o Sucuri, cada uno ofrece una función de lista negra o lista blanca. Sin embargo, hay que tener en cuenta que estos tres Plugins pueden, por supuesto, hacer mucho más que crear blaklists, o whitelists. Por lo tanto, no debe instalarlos exclusivamente para estas funciones. Una alternativa popular sería Plugin Loginizer, que actualmente cuenta con más de 500.000 instalaciones activas.

7. ocultar la zona de acceso

Brute Force Ataque tu Login-sitio . Una forma posiblemente sencilla de evitar los ataques es, por tanto, no dejar que los atacantes accedan al inicio de sesión-sitio en primer lugar. Para ello, algunos webmasters ocultan la máscara de acceso. La zona de acceso sólo es accesible a través de una URL secreta.

Esta medida sigue el (controvertido) principio de la seguridad a través de la oscuridad y no es una medida de seguridad significativa por sí misma. En RAIDBOXES no somos muy amigos de este principio. Si aplica las medidas anteriores, ya ha asegurado muy bien su zona de acceso y no necesita moverla adicionalmente. Sin embargo, esta medida puede contribuir a la seguridad percibida, que puede ser especialmente importante para la percepción de los clientes de tus .

Si quieres ocultar tu área wp-admin, puedes usar uno de los grandes plugins de seguridad (que ofrecen muchas más funciones). O puede probar uno de estos populares Plugins :

Lo dicho: en nuestra opinión, ocultar el wp-admin no es una medida sensata, al menos no para proteger tu sitio de los ataques de Brute Force . Si ha elegido una contraseña fuerte y ha implementado un procedimiento de exclusión de IP o una autenticación de dos factores, entonces ya ha reducido significativamente el riesgo de un ataque exitoso a Brute Force .

Conclusión

Con una cuota de mercado actual de más del 32%, WordPress es, con diferencia, el mayor CMS del mundo. Es poco probable que esto cambie en el futuro. Por lo tanto, la probabilidad de convertirse en el objetivo de un ataque de Brute Force es, matemáticamente, muy alta. Tienes que ser consciente de ello. Afortunadamente, también puede protegerse de ellos muy fácilmente. Porque algunas medidas, como las contraseñas seguras y la autenticación de dos factores, pueden aplicarse en unos instantes y completamente sin conocimientos de programación.

E incluso las medidas supuestamente más difíciles, como las listas negras o blancas, una protección adicional de la contraseña o un mecanismo de bloqueo para el área de inicio de sesión se pueden implementar con Plugins . Así que si sólo sigue los tres o cuatro primeros puntos de este post, ya está bien protegido contra los ataques de Brute Force . Por supuesto, siempre se puede hacer más, por ejemplo, crear una protección de contraseña adicional o establecer listas negras o blancas. Pero en estos casos, hay que sopesar si los mecanismos de seguridad adicionales merecen realmente la pena, sobre todo en lo que respecta al esfuerzo de administración.

Como administrador de sistemas, Tobias vigila nuestra infraestructura y encuentra cada tornillo para optimizar el rendimiento de nuestros servidores. Debido a sus incansables esfuerzos, a menudo se le puede encontrar por la noche en Slack .

Artículos relacionados

Comentarios sobre este artículo

Escribe un comentario

La dirección de correo electrónicotu no se publicará. Los campos obligatorios están marcados con *.