Cómo proteger su sitio de WordPress de ataques de fuerza bruta (8 consejos)

¿Quiere proteger su sitio de WordPress de los ataques de fuerza bruta? Estos ataques pueden ralentizar su sitio web, hacerlo inaccesible e incluso descifrar sus contraseñas para instalar malware en su sitio web. En este artículo, le mostraremos cómo proteger su sitio de WordPress de los ataques de fuerza bruta.

¿Qué es un ataque de fuerza bruta?

Brute Force Attack es un método de piratería que utiliza técnicas de prueba y error para ingresar a un sitio web, red o sistema informático.

Los piratas informáticos utilizan software automatizado para enviar una gran cantidad de solicitudes al sistema de destino. A cada solicitud, estos software intentan adivinar la información necesaria para obtener acceso, como contraseñas o códigos PIN.

Estas herramientas también pueden disfrazarse usando diferentes direcciones IP y ubicaciones, lo que dificulta que el sistema objetivo identifique y bloquee estas actividades sospechosas.

Un ataque de fuerza bruta exitoso puede permitir que los piratas informáticos accedan al área de administración de su sitio web. Pueden instalar puertas traseras, malware, robar información del usuario y eliminar todo en su sitio.

Incluso los ataques fallidos de fuerza bruta pueden causar estragos al enviar demasiadas solicitudes que ralentizan los servidores de alojamiento de WordPress e incluso los bloquean.

Dicho esto, echemos un vistazo a cómo proteger su sitio de WordPress de los ataques de fuerza bruta.

Paso 1. Instale un plugin de firewall de WordPress

Los ataques de fuerza bruta ponen mucha carga en sus servidores. Incluso los que no tienen éxito pueden ralentizar su sitio web o bloquear completamente el servidor. Por eso es importante bloquearlos antes de que lleguen a su servidor.

Para hacer esto, necesitará una solución de firewall para sitios web. Un firewall filtra el tráfico malicioso y evita que acceda a su sitio.

Hay dos tipos de firewalls de sitios web que puede utilizar.

Cortafuegos a nivel de aplicación – Estos plugins de firewall escanean el tráfico una vez que llega a su servidor, pero antes de cargar la mayoría de los scripts de WordPress. Este método no es tan eficiente porque un ataque de fuerza bruta aún puede afectar la carga del servidor.

Cortafuegos de sitios web a nivel DNS – Estos cortafuegos enrutan el tráfico de su sitio web a través de sus servidores proxy en la nube. Esto les permite enviar solo tráfico genuino a su servidor de alojamiento web principal, lo que aumenta la velocidad y el rendimiento de WordPress.

Se recomienda utilizar Sucuri. Es el líder de la industria en seguridad de sitios web y el mejor firewall de WordPress del mercado. Dado que este es un firewall de sitio web a nivel de DNS, significa que todo el tráfico en su sitio web pasa por su proxy donde se filtra el tráfico malicioso.

Usamos Sucuri en nuestro sitio web y puede leer nuestra revisión completa de Sucuri para obtener más información.

Paso 2. Instale las actualizaciones de WordPress

Algunos ataques de fuerza bruta comunes se dirigen activamente a vulnerabilidades conocidas en versiones anteriores de WordPress, plugins populares de WordPress o temas.

El núcleo de WordPress y los plugins de WordPress más populares son de código abierto y las vulnerabilidades a menudo se solucionan muy rápidamente con una actualización. Sin embargo, si no instala las actualizaciones, deja su sitio web vulnerable a esas viejas amenazas.

Solo ve a Panel de control »Actualizaciones en el área de administración de WordPress para buscar actualizaciones. Esta página mostrará todas las actualizaciones para el núcleo, los plugins y los temas de WordPress.

Para obtener más detalles, consulte nuestra guía sobre cómo actualizar correctamente los plugins de WordPress.

Paso 3. Asegure el directorio de administración de WordPress

La mayoría de los ataques de fuerza bruta en un sitio de WordPress intentan acceder al área de administración de WordPress. Puede agregar protección con contraseña al directorio de administración de WordPress a nivel del servidor. Esto bloquearía el acceso no autorizado a su área de administración de WordPress.

Inicie sesión en su panel de control de alojamiento de WordPress (cPanel) y haga clic en el icono «Directorio de privacidad» en la sección Archivos.

Nota: Estamos usando Bluehost en nuestra captura de pantalla, pero hay configuraciones similares disponibles en otras compañías de alojamiento importantes como SiteGround, HostGator, etc.

A continuación, debe ubicar la carpeta wp-admin y hacer clic en el nombre de la carpeta.

cPanel ahora le pedirá que proporcione un nombre de carpeta, un nombre de usuario y una contraseña limitados. Después de ingresar esta información, haga clic en el botón Guardar para almacenar la configuración.

Su directorio de administración de WordPress ahora está protegido con contraseña. Verá un nuevo mensaje de inicio de sesión cuando visite el área de administración de WordPress.

Si recibe un error 404 o demasiados mensajes de redireccionamiento, debe agregar la siguiente línea a su archivo .htaccess de WordPress.

ErrorDocument 401 default

Para obtener más detalles, consulte nuestro artículo sobre cómo proteger con contraseña su directorio de administración de WordPress.

Paso 4. Agregue autenticación de dos factores en WordPress

La autenticación de dos factores agrega una capa adicional de seguridad a la pantalla de inicio de sesión de WordPress. Básicamente, los usuarios necesitarán que sus teléfonos generen un código de acceso único junto con sus credenciales de inicio de sesión para iniciar sesión en el área de administración de WordPress.

Agregar autenticación de dos factores dificultará el inicio de sesión de los piratas informáticos, incluso si pueden descifrar su contraseña de WordPress.

Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo agregar autenticación de dos factores en WordPress

Paso 5. Utilice contraseñas seguras únicas

Las contraseñas son las claves para acceder a su sitio de WordPress. Debe utilizar contraseñas seguras únicas para todas sus cuentas. Una contraseña segura es una combinación de números, letras y caracteres especiales.

Es importante utilizar contraseñas seguras no solo para las cuentas de usuario de WordPress, sino también para FTP, el panel de control de alojamiento web y la base de datos de WordPress.

La mayoría de los principiantes nos preguntan cómo recordar todas estas contraseñas únicas. Bueno, no lo necesitas. Hay excelentes aplicaciones de administración de contraseñas disponibles que almacenarán de forma segura sus contraseñas y las completarán automáticamente por usted.

Para obtener más información, consulte nuestra guía para principiantes sobre la mejor manera de administrar las contraseñas de WordPress.

Paso 6. Desactive la exploración de directorios

De forma predeterminada, cuando su servidor web no encuentra un archivo de índice (es decir, un archivo como index.php o index.html), muestra automáticamente una página de índice que muestra el contenido del directorio.

Durante un ataque de fuerza bruta, los piratas informáticos pueden utilizar la exploración de directorios para buscar archivos vulnerables. Para solucionar este problema, debe agregar la siguiente línea en la parte inferior de su archivo .htaccess de WordPress.

Options -Indexes

Para obtener más detalles, consulte nuestro artículo sobre cómo deshabilitar la exploración de directorios en WordPress.

Paso 7. Deshabilite la ejecución de archivos PHP en carpetas específicas de WordPress

Los piratas informáticos pueden querer instalar y ejecutar un script PHP en carpetas de WordPress. WordPress está escrito principalmente en PHP, lo que significa que no puede deshabilitarlo en todas las carpetas de WordPress.

Sin embargo, hay algunas carpetas que no necesitan scripts PHP. Por ejemplo, la carpeta de cargas de WordPress se encuentra en / wp-content / uploads.

Puede desactivar de forma segura PHP para que no se ejecute en la carpeta de cargas, que es un lugar común utilizado por los piratas informáticos para ocultar archivos de puerta trasera.

Primero, debe abrir un editor de texto como el Bloc de notas en su computadora y pegar el siguiente código:

<Files *.php>
deny from all
</Files>

Ahora guarde este archivo como .htaccess y cárguelo en las carpetas / wp-content / uploads / de su sitio web mediante un cliente FTP.

Paso 8. Instale y configure un plugin de respaldo de WordPress

Las copias de seguridad son la herramienta más importante en su arsenal de seguridad de WordPress. Si todo lo demás falla, las copias de seguridad le permitirán restaurar fácilmente su sitio web.

La mayoría de las empresas de alojamiento de WordPress ofrecen opciones de copia de seguridad limitadas. Sin embargo, estas copias de seguridad no están garantizadas y usted es el único responsable de crear sus copias de seguridad.

Hay varios plugins de copia de seguridad de WordPress excelentes, que le permiten programar copias de seguridad automáticas.

Le recomendamos que utilice UpdraftPlus. Es adecuado para principiantes y le permite configurar rápidamente copias de seguridad automáticas y almacenarlas en ubicaciones remotas como Google Drive, Dropbox, Amazon S3 y más.

Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo hacer una copia de seguridad y restaurar su sitio de WordPress con UpdraftPlus

Todos los consejos mencionados anteriormente lo ayudarán a proteger su sitio de WordPress de los ataques de fuerza bruta. Para una configuración de seguridad más completa, debe seguir las instrucciones en nuestra guía de seguridad definitiva de WordPress para principiantes.

Esperamos que este artículo le haya ayudado a aprender a proteger su sitio de WordPress de los ataques de fuerza bruta. También es posible que desee buscar señales de que su WordPress ha sido pirateado y cómo reparar un sitio de WordPress pirateado.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicado. Required fields are marked *