Informes recientes afirman que los ataques de fuerza bruta sobre bloggers de WordPress están aumentando de forma terrifica. Un articulo recientemente publicado en el blog de una importante firma de seguridad en línea “secure.net” dice que en abril de 2013 solo los ataques contra los sitios de WordPress aumentaron a 30 o mas, manteniendose constantes dichos ataques día tras día en blogs desprotegidos por toda la Internet.
Según secure.net, este es uno de los ataques de fuerza bruta, mejor planificado y llevado acabo en la historia para sitios con WordPress. Así que de existir la posibilidad de ser hackeado o que el sitio sea tumbado por los hackers, por lo que es una decisión inteligente tomar las medidas para que tu blog de WordPress sea a pruebas de ataques de fuerza bruta.
Usted se estará preguntando, no es un deber de mi proveedor de hosting darme proteccion? ¡Yo diría que en parte sí!, pero este tipo de ataques es más una respontabilidad del propietario del blog. Los “Proveedores de hosting” tienen la expertisia tecnica para apoyarlo, pero no necesariamente saben que informacion o aplicaciones están alojando sus clientes en los cientos de miles de sitios web de sus centros de datos, ya que cada web puede requerir de soluciones diferentes. Es por ello que los proveedores de Hosting, proporcionan una protección basíca a los sitios de sus clientes. Así que como propieratio de un blog, es su responsabilidad procurarse una medida de seguridad para su WordPress, ya que una vez que sea iniciado un ataque contra su blog, podría perder tráfico, reputación y obviamente ingresos.
Si usted está interesado me gustaría ofrecerle una idea general sobre los ataques de fuerza bruta, estos ataques no son como la piratería o “hacking”, donde el único objetivo del hacker son las vulnerabilidades del sistema de objetivo, pero los ataques de fuerza bruta el método utilizado es simple pero mortal. Un solo equipo o un grupo de sistemás informáticos utilizan el tipo más simple de método para obtener acceso a un sitio de WordPress, utilizando nombres de usuario y contraseñas de uso común, una y otra vez hasta que se obtiene acceso.
Una vez que el “bot” tiene acceso a su sitio ellos cargan un software malicioso o scripts en su sitio o pueden crear una “puerta trasera de acceso” a su sitio web para su uso futuro. El reciente ataque de fuerza bruta realizado en Abril de 2013 fue un enorme y casí sobrecarga los servidores web de todo el mundo. Algunos “host” tuvieron que desconectar sus data center para reparar los daños ocasíonados.
No utilice nombres de usuario y contraseñas comunes.
Como se ha mencionado anteriormente, el ataque se realiza por “bots” respaldados por gran base de datos de posibles nombre de usuario y contraseñas. Si usted utiliza como nombre de usuario “admin” (este es el caso de 85-90 % de los usuarios) usted ha fácilitado la tarea a quienes realizan el ataque. Algunos administradores siguen utilizando contraseñas como “P@ssw0rd ” pensando que es muy segura ya que tiene un carácter especial, es alfanumérico y tiene 8 caracteres, pero se equivocan, porque ésta es una de las contraseñas más fáciles de adivinar. Así que nunca use administrador como nombre de usuario y una contraseña como la de arriba o algo muy común. Utilice nombres de usuarios distintos de “admin”, también recomendamos el uso de herramientas de generación de contraseñas que genera contraseñas seguras y difíciles de adivinar.
Proteja la página de inicio de seccion de su WordPress.
La mayoria de ataques de fuerza bruta se centran en lograr acceso o entrada a los portales utilizando de forma repetitiva cualquier combinacion posible de usuario y contrasenas. Pero usted se preguntara contra que va estos ataques. Pues van directamente contra las página que permiten el acceso o Login al sistema. En el caso de WordPress, la página más propensa a ser atacada es “wp-login.php”, cuando esta página esta bajo ataque se hace intensivo el uso de la Base de datos, y la ejecucion del framework de PHP. Ambas situaciones ocurriendo simultaneamente y bajo la demanda de miles de peticiones por segundo debido al ataque sufrido, puede generar un colapso del servidor donde esta alojada la página, y quedar fuera de línea o con un bajo rendimiento. Esto inclusive puede generar suspencion del servicio por parte del proveedor de Hosting hasta que el cliente tome medidas correctivas.
Bloquee los múltiples fallidos intentos de conexión en su sitio de WordPress.
WordPress le permitirá el acceso de cualquier número de veces si el inicio de sesión falla. Utilizando plugins tales como “Límite de Intentos de Conexión” para controlar los múltiples intentos después de los inicios de sesión fallidos. Este tipo de plugins ayuda a dar o bloquear el acceso a la página de inicio de sesión después de determinado número de intentos de conexión fallidos.
Utilice plugins para agregar más seguridad a tu blog de WordPress
Existen varios excelentes plugins de seguridad en el repositorio de plugins de WordPress, los cuales puede utilizar para proteger su sitio. A continuación se presentan algunos de ellos que fueron probados y resultaron útiles.
- Wordfence Seguridad: Este plugin funciona como un servidor de seguridad para su sitio de WordPress. Esto tiene una opción para alertar administrador enviando mensajes de correo electrónico cada vez que un usuario tiene varios inicios de sesión fallidos o inicios de sesión con éxito, etc. También este plugins muestra la dirección IP que esta accesando a su página de inicio de sesión. A través de este plugin usted puede bloquear las direcciones IP de forma temporal o permanente si las considera sospechosas.
- Better WP- Seguridad: Uno de los mejores plugins de seguridad de WordPress. Este plugin escanea los archivos de WordPress y carpetas, y le avisa si encuentra alguna vulnerabilidad. Estos plugins también tienen bases de datos de direcciones IP prohibidas (lista negra de HackRepair.com) las cuales bloquea por defecto.
- Google autenticador Programas: Utilice el plugin Google Authenticator para añadir dos factores de autenticación para su sitio de WordPress.
Tome como práctica revisar los “logs” del servidor cada cierto período. Siempre puede reportar las actividades sospechosas en su blog a su host para bloquearlo.
Los pasos anteriores le proporcionarán a su blog una cierta seguridad robusta, sin embargo tenga en cuenta que, no es la solución perfecta para proteger su sitio. Hay algunas soluciones de pago disponibles en línea para proteger su sitio de ataques de fuerza bruta.
No se olvide de realizar el respaldo adecuado de su blog, así usted siempre tendrá una opción para restaurarlo en caso de que algo salga mal.