Varias fuentes importantes han confirmado que se están dirigiendo ataques masivos de fuerza bruta a sitios de WordPress y Joomla en este preciso momento. HostGator, InMotion Hosting, LiquidWeb, y muchos otros han informado a sus clientes sobre este problema. La botnet de hackers contiene más de 90,000 IPs diferentes, y se están aprovechando de los principiantes de WordPress que cometen errores muy comunes. Sí, todo esto suena aterrador, así que aquí tienes lo que necesitas hacer para disminuir tus posibilidades de ser hackeado.
1. Deja de usar el nombre de usuario admin
A menudo, los principiantes usan nombres de usuario muy comunes como admin, administrator, test, root, etc. Nuestros amigos de Sucuri informaron que esos nombres de usuario están siendo atacados intensamente en este momento. Si tienes un nombre de usuario genérico de WordPress como admin, deberías cambiarlo de inmediato.
Tenemos un tutorial fácil de seguir que te mostrará cómo cambiar tu nombre de usuario en WordPress.
2. Usa una contraseña segura
Por favor, por favor, por favor, usa una contraseña muy segura. Estos ataques de fuerza bruta intentan dirigirse a todas las contraseñas más comunes que la gente usa. Una contraseña segura contiene letras mayúsculas y minúsculas, números y símbolos. No uses la misma contraseña en más de un lugar. Nunca es demasiado tarde para empezar a usar una solución de gestión de contraseñas como 1Password o LastPass.
3. Mantén buenas copias de seguridad
La mejor seguridad que puedes tener para tu sitio web es una excelente solución de copias de seguridad. Nosotros usamos VaultPress, que es un servicio mensual. Sin embargo, si no te gusta pagar mensualmente, te recomendamos encarecidamente que obtengas BackupBuddy.
Por favor, mantén buenas copias de seguridad de tu sitio porque la mayoría de las empresas de hosting no lo hacen.
4. Usa autenticación de dos factores
Empieza a usar la autenticación de dos factores. De esta manera, incluso si alguien adivina tu contraseña, no podrá acceder a tu sitio porque no tendrá el código de seguridad. Te recomendamos encarecidamente que hagas esto ahora mismo.
5. Protege con contraseña WP-Admin y limita los intentos de inicio de sesión
Siempre recomendamos a nuestros usuarios que limiten los intentos de inicio de sesión. Sin embargo, esto por sí solo no puede proteger de todos los ataques porque esta botnet contiene 90,000 IPs. Otra cosa que puedes hacer es proteger con contraseña tu directorio WP-admin. También puedes limitar tu archivo wp-login.php a una IP específica.
6. Empieza a usar Sucuri
Si no estás usando Sucuri, te recomendamos encarecidamente que empieces a usarla. Siempre están al tanto de todo y no confiamos en nadie más cuando se trata de la seguridad de nuestro WordPress. Consulta 5 razones por las que usamos Sucuri.
No estamos seguros de cuál es el objetivo final de estos ataques, pero sea cual sea, odiaríamos ver a nuestros usuarios caer víctimas de esto. Por favor, mantén tus sitios actualizados y sigue todos los consejos anteriores.
Jiří Vaněk
Personalmente, recomendaría otro consejo. Uso un plugin GEO-IP para proteger el área de administración, donde para algunos sitios web, el acceso está restringido solo a ciertos países, y para otros, está limitado a direcciones IP específicas. Esto proporciona una protección bastante buena porque cuando el acceso de administración está restringido a direcciones IP específicas, un atacante está relativamente en apuros.
Para aquellos que no quieran usar un plugin, pueden restringir el acceso de administración a ciertas IPs usando el archivo .htaccess. Es bastante simple pero una solución muy efectiva.
Janet
Estoy trabajando en la seguridad de los sitios para mis clientes y necesito proteger con contraseña su carpeta wp-admin. Tengo un problema y espero que alguien pueda ayudarme. Cuando voy a cPanel para proteger con contraseña esa carpeta, obtengo un error sobre la instalación de Frontpage Extensions, lo que impide la protección con contraseña. Cuando intento desinstalar las extensiones, recibo este mensaje:
Advertencia: Instalar o desinstalar las extensiones de FrontPage resultará en la pérdida de todos los archivos ".htaccess". Se perderán todos los cambios que haya realizado en sus archivos ".htaccess".
Si hiciera una copia de seguridad de .htacess como se indica en esta página https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ , ¿sería suficiente?
¡Gracias por tu ayuda y por toda tu información MUY útil!
Personal editorial
Siempre y cuando tengas copias de seguridad, entonces deberías estar bien.
Administrador
Janet
¡Gracias! Al final tuve algunos problemas con el .htacess, pero nuestro proveedor de hosting arregló todo por nosotros. ¡Muchas gracias por la ayuda!
Sarah B R
Hola,
Seguí sus pautas para la autenticación de dos pasos y funcionó bien la primera vez hace unos días.
Quería iniciar sesión hoy y fui a la aplicación en mi teléfono y la cuenta de WordPress que había agregado no aparece por ningún lado. Así que ahora no puedo iniciar sesión.
Gracias por la ayuda.
Personal editorial
That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in
Administrador
Edwin Lynch
I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam
Ratnesh
El bloqueo de inicio de sesión es el mejor plugin para proteger el blog de Wordpress de ataques de fuerza bruta
Robert Connor
¡Buen consejo, el panel de administración de mi sitio está siendo bombardeado diariamente con intentos de inicio de sesión!
Jane
¿Cómo sabes cuándo has sido atacado por fuerza bruta? Mi cliente ha estado teniendo problemas con su sitio de WP recientemente, así que me pregunto si esto tiene que ver con eso.
Jennifer
Tengo un sitio que actualmente está siendo atacado por fuerza bruta. Es IMPLACABLE. El sitio usa SUCURI (¡gracias a Dios!) y ya han hecho una limpieza por nosotros.
Gracias, Syed & equipo, por toda la excelente información. Acabo de agregar la autenticación de dos factores y pondré el resto de sus sugerencias en práctica lo antes posible.
Esther
Gracias por el enlace al video gratuito, acabo de empezar mi sitio de WP ayer, después de tener un sitio de Blogger, ¡y me está dando problemas! Soy bastante experto en tecnología, así que no tengo idea de cuál es mi problema, ¡solo que tengo uno! jajaja
Keith Davis
Hola a todos
Lean el artículo en el sitio web de Sucuri – estoy con ellos y uso algunas otras medidas de seguridad.
Acabo de mencionarte en #WordPress
Scott Hack
Me encantaría ver que se agregue un límite de inicios de sesión al núcleo para la 3.6