SummArg | Cursos y recursos para webmasters

30/07/2013

Proteger WordPress contra los ataques de fuerza bruta

Los ataques de Fuerza Bruta son aquellos que consisten en probar diferentes combinaciones de letras y números, una y otra vez, en usuarios mas o menos comunes (ej. “admin”) para intentar acertar una contraseña e ingresar. Una característica de este tipo de ataques es que suelen elevar la cantidad de recursos que consume el servidor ya que envían muchas peticiones HTTP lo que puede generar una caída temporal del servicio o deficiencia en la velocidad del mismo.

Para evitar que estos ataques prosperen hay una serie de medidas a tomar:

  • Evitar utilizar el nombre de usuario “admin”. Desde hace varias versiones WordPress nos permite elegir cualquier otro nombre de usuario al instalar la plataforma. Existen plugins para cambiar el nombre de usuario, tales como Admin renamer extended.
  • Utilizar contraseñas fuertes que consistan en combinaciones de letras (mayúsculas y minúsculas), números y caracteres especiales. Podemos forzar a nuestros usuarios a respetar esta condición con el plugin Enforce strong password.
  • Se pueden evitar la cantidad de intentos de login fallidos con un plugin como Limit login attempts
  • Mas medidas aconsejadas por WordPress.org

Nosotros probamos All in one WP Security and Firewall y nos pareció muy completo para prevenir ataques de este y otros tipos a nuestros WordPress. Es una protección con todas las medidas básicas que se instala muy fácil.

La primera medida que sugiere, tras instalar el plugin, es cambiar el nombre del usuario “admin” si es que lo encuentra. Tras la elección de un nuevo nick, nos deslogea y solicita los nuevos datos para ingresar (el nuevo nick y la contraseña que ya usabamos).

security

El paso siguiente es activar el bloqueo de login tras una serie de errores. Podemos configurar la cantidad de errores a detectar, en qué período de tiempo y la cantidad de minutos que permanecerá banneada la IP. Una opción por demás útil para el monitoreo es que nos enviará un mail a la dirección que le indiquemos. También guarda la cantidad de intentos fallidos y la actividad de usuarios (conexiones, fechas e IPs).

security2

Otra medida de seguridad que nos sugiere es cambiar el prefijo de la base de datos, ya que WordPress por defecto le asigna el prefijo “wp_” y ocultarlo sirve para minimizar la posibilidad de un ataque.

También comprueba los permisos en los archivos y directorios de nuestra instalación, y sugiere o ejecuta los correspondientes cambios.

security3

Posee una pequeña aplicación para conocer información sobre una determinada IP mediante WHOIS, permite llevar un control de las IPs banneadas y gestionarlas. Asimismo podemos configurar algunas opciones mas avanzadas desde la pestaña “Firewall“, entre las que se incluyen algunas extras que atañen a los ataques de fuerza bruta y que se recomiendan cuando un sitio ya ha sufrido ataques de este tipo.

Al finalizar toda la configuración veremos en el Dashboard del plugin el status resultante de la seguridad de nuestro WordPress. Todos los items que habilitamos sumaron puntos que permiten darnos una valoración de la seguridad actual.

security4

Dejar un comentario