blog webempresa

Cómo bloquear ataques en WordPress

por | Dic 11, 2015 | Seguridad WordPress

seguridad en WordPressLos ataques de fuerza bruta son una de las formas más comunes utilizadas por usuarios maliciosos para penetrar en su sitio web. La forma en que estos ataques funcionan es mediante el uso de bots, (un bot es un equipo que el atacante controla directa o remotamente), para tratar de conectarse con diferentes combinaciones de nombre de usuario y contraseña. Si el tiempo y la suerte están de su lado, con el tiempo podrá adivinar la combinación correcta y entrar en tu sitio web.

Si te importa la Seguridad en WordPress, ponerle coto a este tipo de ataques debería ser una tarea importante dentro del checklist de seguridad activa y pasiva que apliques en tu blog. Si eres cliente de Webempresa es importante que sepas que implementamos medidas a nivel servidor para prevenir este tipo de ataques ¡duerme tranquilo!

Si te alojas en proveedores de Hosting que no cubren este tipo de problemas que afectan a la seguridad de instalaciones WordPress (y otros CMS), es hora de que tomes la iniciativa e implementes medidas para combatir este tipo de problemas, más habituales de lo que imaginas.


Control de Ataques de Fuerza Bruta a sitios WordPress

Fuente: Sucuri.


¿Que son los ataques de fuerza bruta?

Un ataque de fuerza bruta tiene como objetivo ser el método más simple para obtener acceso a un sitio web tratando de obtener el usuario y contraseña del formulario de acceso, una y otra vez, de forma persistente y automatizada, hasta obtener resultados positivos.

Estos ataques de fuerza bruta también se llaman ataques de diccionario porque el atacante puede utilizar combinaciones de palabras contenidas en un diccionario expresamente confeccionado.

Los ataques de diccionario tienen menos probabilidades de obtener acceso en sistemas que utilizan contraseñas robustas que contengan letras en mayúsculas y minúsculas mezcladas con números (alfanuméricos) y con cualquier otro tipo de símbolos y a ser posible contraseñas mayores de 13 caracteres.

Para los que tienen problemas de memoria es recomendable el uso de herramientas como CiberProtector para memorizar todos los accesos con contraseña sin necesidad de tener que recordarlos y evitando el uso de contraseñas repetitivas , débiles o almacenadas en el navegador.


Los ataques de fuerza bruta y WordPress

La versión estándar de WordPress contiene un importante fallo de seguridad que hace que este tipo de ataques de fuerza bruta sean posibles. Permite intentos de conexión ilimitados a través de la página de acceso wp-admin o wp-login.php e incluso el uso de cookies especiales.

Antes de la versión de WordPress 3.0 siempre había un nombre de usuario por defecto llamado admin. Eso significa que los atacantes sólo tenían que adivinar la contraseña, que es la mitad del proceso del ataque. Desde la versión de WordPress 3.0 en adelante se puede elegir un nombre de usuario predeterminado diferente en sustitución de admin como nombre de usuario por defecto.

Cambiar el nombre de usuario de administrador a otra cosa hace que sea más difícil para los atacantes llevar a cabo ataques de fuerza bruta, pero tampoco lo hace imposible.

Averiguarlo es tan simple como añadir el parámetro ?author=1 a la url del dominio que corresponda para obtener el resultado. Protegerlo es tan simple como no hacer uso de un usuario predecible o aplicar la ofuscación contra la enumaración de usuarios en WordPress.


El plugin Brute Force Login Protection

Es uno de los plugins más simples para aplicar una solución a este fallo de seguridad en WordPress, que puedes instalar en tu sitio web en pocos minutos y con ello tener mayor control sobre los accesos, además porque se vale de .htaccess para denegar el acceso a IPs que trataron de obtener accesos con datos incorrectos.

seguridad en WordPress

Funcionalidades del plugin:

  • Limita el número de intentos de conexión permitidos utilizando la forma normal de inicio de sesión.
  • Limita el número de intentos de conexión permitidos utilizando autenticación por cookies.
  • Permite bloquear/desbloquear manualmente las direcciones IP bloqueadas.
  • Las direcciones IP de confianza se pueden añadir la lista blanca manualmente.
  • Se puede retrasar la ejecución después de un intento fallido de inicio de sesión (para frenar ataques de fuerza bruta).
  • Opción para informar al usuario sobre intentos restantes de inicio de sesión.
  • Opción de informar por correo electrónico al administrador cuando una IP ha sido bloqueada.
  • Mensaje personalizado para mostrar a los usuarios bloqueados en el navegador.


Las configuraciones del plugin son de lo más sencillas que te puedas imaginar, pudiendo incluso personalizar el aviso o mensaje que el bloqueado verá en su navegador.


Configuración del plugin



Pasemos a la acción y veamos como se instala y pone en marcha en el siguiente vídeo.



Una de las cosas que me gusta de este plugin es que se vale del archivo .htaccess para generar una lista negra de negación de IPs, lo que resulta muy útil, no sobrecarga la instalación de WordPress, por el uso del plugin ya que delega al .htaccess la gestión de listas de manera muy acertada.

Lista de denegación de IPs en htaccess



Recuperar el acceso al dashboard

Desde el la configuración del plugin Brute Force Login Protection deberías poder añadir o eliminar cualquier IP en las listas correspondientes.


Control de Listas de IPs desde el plugin


Si tras instalar y probar el plugin te bloqueas y pierdes el acceso al dashboard, podrás desbloquearte siguiendo estos sencillos pasos:

  • Accede a tu Panel de Hosting (WePanel).
  • Ve al apartado de Archivos, Administrador de Archivos.
  • Edita el archivo “oculto” .htaccess (mejor con el Editor de Código).
  • Al final del archivo localiza el bloque # BEGIN Brute Force Login Protection
  • Mira si tu IP está listada como denegada. ¿Cual es tu IP?.
  • Si lo está elimina la línea de la IP, por ejemplo: deny from 86.24.23.11
  • Verifica si ya puedes loguearte en el dashboard.

Si tras estos pasos sigues sin poder acceder entonces accede desde tu panel de Hosting a la carpeta /wp-content/plugins, localiza la carpeta brute-force-login-protection y renombrala por ejemplo a brute-force-login-protection_old.

Esto inhabilitará el plugin y deberías poder acceder. Si aún así persiste el bloqueo, comprueba en tu Área de Cliente si tu IP está bloqueada. Será señal de que tu proveedor ya implemente medidas de protección contra ataques de fuerza bruta y entonces este plugin no será necesario que lo instales.

Si tu proveedor no aplica medidas contra ataques de fuerza bruta a nivel servidor, duerme más tranquilo utilizando el plugin Brute Force Login Protection en tu instalación de WordPress.

¿Te ha resultado útil este artículo?

Promo hosting marzo webempresa