17 jun

Seguridad en WordPress: Prevenir ataques de Fuerza Bruta (Parte II)

escrito por 1 Comentario publicado en Blog

Seguridad en WordPress: Prevenir ataques de Fuerza Bruta (Parte II)

En nuestra anterior entrada sobre seguridad en WordPress, errores comunes nos centramos en esos errores muy típicos que comenten los usuarios de WordPress inexpertos (y no tan inexpertos) a la hora de mantener y gestionar sus blogs. Corregir esos errores mejora de sobremanera la seguridad de WordPress y protege nuestra web de la mayoría de los problemas comunes. Pero en algunas situaciones, la cosa no es tan simple.

Seguridad en WordPress: ¿Que es un Ataque de Fuerza Bruta?

Para aquellos que no sepáis muy bien en que consiste, podéis encontrar una buena definición de que es un ataque de fuerza bruta esta página de la wikipedia: Ataque de fuerza bruta. A “grosso modo“, un ataque de fuerza bruta consiste en tratar de obtener la contraseña a base de ensayo y error. O sea, a base de comprobar contraseñas mediante un robot o un programa hasta averiguar la correcta.

Esta practica que a priori parece muy tonta y simple, puede dar un buen resultado destrozando por completo la seguridad en WordPress de aquellos usuarios muy descuidados.

¿Cómo puedo evitar ataques de fuerza bruta en mi WordPress?

A continuación vamos a ver una serie de cosas a hacer para que sea que los ataques de fuerza bruta sirvan de poco.

No Utilizar Admin Como Nombre de Usuario de la Cuenta del Administrador

Seguridad en WordPress: Prevenir ataques de Fuerza Bruta (Parte II)

Seguridad en WordPress: Prevenir ataques de Fuerza Bruta (Parte II)

Como dijimos en la entrada anterior: Seguridad en WordPress: Errores Comunes (Parte I), este es posiblemente el error más común y uno de los que más compromete la seguridad en WordPress. Por defecto, WordPress al instalarse asigna el nombre de usuario “admin” a la cuenta de administrador. ¿Hay algo más predecible que esto? Coloca cualquier otro nombre a la cuenta de administrador que sea diferente de “admin“. Y después, no la utilices para publicar contenidos. Úsala tan solo para las tareas de administración y mantenimiento.

Crea una Cuenta de Editor o Autor para Publicar el Contenido

Para impedir que se pueda averiguar el nombre de usuario de tu cuenta de administrador, crea un usuario con privilegios de autor o editor para publicar tu contenido. No publiques absolutamente nada con la cuenta de administrador. Esto aumenta realmente la seguridad en WordPress ya que aunque lograran averiguar la contraseña de tu cuenta de editor/autor, no podrían modificar nada en tu WordPress.

Usa una Contraseña Segura

Seguridad en WordPress: Contraseña segura

Seguridad en WordPress: Contraseña segura


¿Cuántas veces habrá que repetir esto? Pues aun así, sigue habiendo gente que pone contraseñas tontas como: 123456, 654321, contraseña123, etc. Esto es como invitar a un hacker a que te piratee la web. Utiliza una contraseña que combine mayúsculas, minúsculas, letras y números. Y no olvides cambiarla periódicamente.

Limita los Intentos de Conexión

Seguridad en WordPress: Limita los intentos de login

Seguridad en WordPress: Limita los intentos de login


Dado que un ataque de fuerza bruta se basa en probar múltiples veces hasta encontrar la contraseña, limitar el número de intentos (como el pin del móvil) reduce las posibilidades de éxito de un hacker casi a 0. Para mejorar este aspecto de la seguridad de WordPress, se puede utilizar el plugin Limit Login Attempts que limita el numero de intentos para acceder al admin de WordPress.

Protege el Acceso Utilizando un CAPTCHA

Seguridad en WordPress: Utilizar CAPTCHA

Seguridad en WordPress: Utilizar CAPTCHA


Todos conocemos lo que es un CAPTCHA. Gracias al plugin Si CAPTCHA, podemos mejorar la seguridad en WordPress añadiendo un CAPTCHA al formulario de identificación. Aunque ten en cuenta que esta opción no es del todo eficaz. Ya que muchos robots son capaces de pasar el CAPTCHA.

Protege el wp-login.php con Contraseña

Seguridad en WordPress: Protege wp-login.php

Seguridad en WordPress: Protege wp-login.php


Este es sin duda alguna el mejor método (también el más complejo) de prevenir los ataques de fuerza bruta y tener el nivel más alto posible de seguridad en WordPress.

El archivo wp-login.php es sin duda el punto más vulnerable de WordPress. Pero si una contraseña protege este archivo, la dificultad de practicarle un ataque de fuerza bruta se verá muy elevada. Para potregerlo, sigue los siguientes pasos:

Paso 1: Crear archivo .htpasswd en el directorio de WordPress.

Paso 2: Ve a: http://www.htaccesstools.com/htpasswd-generator/ para generar nombre de usuario y contraseña. Después, pega cada combinación de nombre de usuario-contraseña en una línea separada. El resultado debería de ser similar a este:

Paso 3: Abre el archivo htaccess y añadele las líneas siguientes al comienzo:

Sustituye el contenido de la línea 6 por la ubicación exacta de tu .htpasswd. Consulta a tu proveedor de alojamiento web si no sabes donde se encuentra.

Paso 4: Guardalo todo y trata de iniciar sesión en tu blog WordPress. Te debería de aparecer una ventana solicitando un nombre de usuario y contraseña.

Este método es realmente potente ya que se requiere un nombre de usuario y contraseña para poder acceder al wp-login.php.

Y siguiendo todas estas instrucciones, estaremos bastante más protegidos de los ataques de fuerza bruta mejorando así la seguridad en WordPress. No debes olvidar que de poco sirve realizar todo esto sin haber realizado también pa primera parte: seguridad en WordPress, errores comunes. Ya que, por ejemplo, de poco sirve proteger nuestro WordPress de los ataques de fuerza bruta si después utilizamos un tema pirateado que ya ha sido modificado previamente.

Una Respuesta to “Seguridad en WordPress: Prevenir ataques de Fuerza Bruta (Parte II)”

  1. Responder Seguridad en WordPress: Prevenir ataques de Fue... dice:

    [...] La seguridad en WordPress preocupa a la mayoría de los blogger. Para que no te quite el sueño, aquí tienes consejos para prevenir ataques de fuerza bruta.  [...]

Dejar un Comentario

Weboy

Premium WordPress Themes
WordPress Themes ThemeForest