¿Es su sitio web de WordPress vulnerable a ataques de fuerza bruta? Estos ataques no solo pueden ralentizar su sitio web y dificultar su acceso, sino que incluso pueden permitir a los hackers descifrar sus contraseñas e instalar malware. Esto puede dañar gravemente su sitio y su negocio.
En WPBeginner, confiamos en gran medida en herramientas de seguridad como Sucuri y Cloudflare para mantener nuestro sitio seguro. Sucuri nos ayudó una vez a bloquear 450,000 ataques de WordPress durante un período de 3 meses.
En este artículo, le mostraremos cómo proteger su sitio de WordPress de ataques de fuerza bruta.
¿Qué es un ataque de fuerza bruta?
Un ataque de fuerza bruta es un método de hacking que utiliza prueba y error para acceder a un sitio web, una red o un sistema informático.
El tipo más común de ataque de fuerza bruta es la adivinación de contraseñas. Los hackers utilizan software automatizado para seguir adivinando su información de inicio de sesión para poder acceder a su sitio web.
Estas herramientas de hacking automatizadas también pueden disfrazarse utilizando diferentes direcciones IP y ubicaciones, lo que dificulta la identificación y el bloqueo de actividades sospechosas.
Un ataque de fuerza bruta exitoso puede dar a los hackers acceso al área de administración de tu sitio web. Pueden instalar malware, robar información de usuarios y eliminar todo en tu sitio.
Incluso los ataques de fuerza bruta no exitosos pueden causar estragos al enviar demasiadas solicitudes a los servidores de tu hosting de WordPress, ralentizando o incluso bloqueando completamente tu sitio web.
Dicho esto, veamos cómo proteger tu sitio web de WordPress de los ataques de fuerza bruta. Estos son los pasos que seguiremos:
- Instalar un plugin de firewall para WordPress
- Instalar actualizaciones de WordPress
- Proteger el directorio de administración de WordPress
- Añadir autenticación de dos factores en WordPress
- Usar contraseñas únicas y seguras
- Deshabilitar la navegación por directorios
- Deshabilitar la ejecución de archivos PHP en carpetas específicas de WordPress
- Instalar y configurar un plugin de copias de seguridad para WordPress
1. Instalar un plugin de firewall para WordPress
Los ataques de fuerza bruta imponen una gran carga a tus servidores. Incluso los no exitosos pueden ralentizar tu sitio web o bloquear completamente el servidor. Por eso es importante bloquearlos antes de que lleguen a tu servidor.
Para hacer eso, necesitarás una solución de firewall para sitios web. Un firewall filtra el tráfico malicioso y lo bloquea para que no acceda a tu sitio.
Hay dos tipos de firewalls para sitios web que puedes usar:
- Los Firewalls a Nivel de Aplicación examinan el tráfico una vez que llega a su servidor pero antes de cargar la mayoría de los scripts de WordPress. Este método no es tan eficiente porque un ataque de fuerza bruta aún puede afectar la carga de su servidor.
- Los Firewalls de Sitio Web a Nivel de DNS enrutan el tráfico de su sitio web a través de sus servidores proxy en la nube. Esto les permite enviar solo tráfico genuino a su servidor de alojamiento web principal, al mismo tiempo que impulsan la velocidad y el rendimiento de su WordPress.
Recomendamos usar Sucuri. Son el líder de la industria en seguridad de sitios web y el mejor firewall para WordPress del mercado. Dado que tienen un firewall de sitio web a nivel de DNS, esto significa que todo el tráfico de su sitio web pasa por su proxy, donde se filtra el tráfico malicioso.
Usamos Sucuri en nuestro sitio web, y puedes leer nuestra reseña completa de Sucuri para saber más.
2. Instala las actualizaciones de WordPress
Algunos ataques comunes de fuerza bruta atacan activamente vulnerabilidades conocidas en versiones antiguas de WordPress, plugins populares de WordPress o temas.
El núcleo de WordPress y la mayoría de los plugins populares de WordPress son código abierto, y las vulnerabilidades a menudo se corrigen muy rápidamente con una actualización. Sin embargo, si no instalas las actualizaciones, dejas tu sitio web vulnerable a esas viejas amenazas.
Simplemente ve a la página Panel de control » Actualizaciones en el área de administración de WordPress para buscar actualizaciones disponibles. Esta página mostrará todas las actualizaciones para el núcleo de tu WordPress, plugins y temas.
Para más detalles, consulta nuestras guías sobre cómo actualizar WordPress de forma segura y cómo actualizar correctamente los plugins de WordPress.
3. Protege el directorio de administración de WordPress
La mayoría de los ataques de fuerza bruta en un sitio de WordPress intentan acceder al área de administración de WordPress. Puedes agregar protección con contraseña a tu directorio de administración de WordPress a nivel de servidor. Esto bloqueará el acceso no autorizado a tu área de administración de WordPress.
Simplemente inicia sesión en el panel de control de tu hosting de WordPress (cPanel) y haz clic en el ícono 'Privacidad del directorio' en la sección Archivos.
Nota: Estamos usando Bluehost en nuestra captura de pantalla, pero configuraciones similares están disponibles en otras empresas de hosting importantes como HostGator también.
A continuación, deberá localizar la carpeta wp-admin.
Una vez que la encuentre, deberá hacer clic en su botón de ‘Editar’.
En la siguiente página podrá configurar los ajustes de seguridad para la carpeta.
Primero, deberá marcar la casilla de ‘Proteger este directorio con contraseña’. A continuación, podrá introducir un nombre para el directorio protegido.
A continuación, se le pedirá que proporcione un nombre de usuario y una contraseña.
Se le pedirá esta información cada vez que intente acceder a este directorio.
Después de introducir esta información, haga clic en el botón ‘Guardar’ para almacenar su configuración.
Su directorio de administración de WordPress ahora está protegido con contraseña.
Verá un nuevo aviso de inicio de sesión cuando visite su área de administración de WordPress.
Si se encuentra con un error 404 o un mensaje de demasiadas redirecciones, entonces deberá añadir la siguiente línea a su archivo .htaccess de WordPress:
ErrorDocument 401 default
Para más detalles, consulte nuestro artículo sobre cómo proteger con contraseña el directorio de administración de WordPress.
4. Añadir autenticación de dos factores en WordPress
La autenticación de dos factores agrega una capa de seguridad adicional a tu pantalla de inicio de sesión de WordPress. Los usuarios necesitarán sus teléfonos para generar un código de acceso de un solo uso junto con sus credenciales de inicio de sesión para acceder al área de administración de WordPress.
Agregar la autenticación de dos factores hará que sea más difícil para los hackers obtener acceso, incluso si logran descifrar tu contraseña de WordPress.
Para obtener instrucciones detalladas paso a paso, consulta nuestra guía sobre cómo agregar autenticación de dos factores en WordPress.
5. Usa contraseñas únicas y seguras
Las contraseñas son las claves para obtener acceso a tu sitio de WordPress o a tu tienda de comercio electrónico. Necesitas usar contraseñas únicas y seguras para todas tus cuentas. Una contraseña segura es una combinación de números, letras y caracteres especiales.
Es importante que uses contraseñas seguras no solo para tus cuentas de usuario de WordPress, sino también para tu cliente FTP, el panel de control de tu alojamiento web y tu base de datos de WordPress.
Muchos principiantes nos preguntan cómo recordar todas estas contraseñas únicas. Bueno, no necesitas hacerlo. Hay excelentes aplicaciones de administración de contraseñas disponibles que almacenarán tus contraseñas de forma segura y las autocompletarán por ti.
Para obtener más información, consulta nuestra guía para principiantes sobre las mejores maneras de administrar contraseñas para WordPress.
6. Deshabilitar la navegación de directorios
Por defecto, cuando tu servidor web no puede encontrar un archivo de índice (como index.php o index.html), muestra automáticamente una página de índice que muestra el contenido del directorio.
Durante un ataque de fuerza bruta, los hackers pueden usar la navegación de directorios como esta para buscar archivos vulnerables. Para solucionar esto, necesitas agregar la siguiente línea al final de tu archivo .htaccess de WordPress usando un servicio FTP:
Options -Indexes
Para más detalles, consulta nuestro artículo sobre cómo deshabilitar la navegación de directorios en WordPress.
7. Deshabilitar la ejecución de archivos PHP en carpetas específicas de WordPress
Los hackers pueden querer instalar y ejecutar un script PHP en tus carpetas de WordPress. WordPress está escrito principalmente en PHP, lo que significa que no puedes deshabilitarlo en todas las carpetas de WordPress.
Sin embargo, hay algunas carpetas que no necesitan scripts PHP, como tu carpeta de subidas de WordPress ubicada en /wp-content/uploads.
Puedes deshabilitar la ejecución de PHP de forma segura en la carpeta de subidas, que es un lugar común que los hackers utilizan para ocultar archivos de puerta trasera.
Primero, necesitas abrir un editor de texto como el Bloc de notas en tu computadora y pegar el siguiente código:
<Files *.php>
deny from all
</Files>
Ahora, guarda este archivo como .htaccess y súbelo a las carpetas /wp-content/uploads/ en tu sitio web usando un cliente FTP.
8. Instalar y configurar un plugin de copias de seguridad de WordPress
Las copias de seguridad son la herramienta más importante en tu arsenal de seguridad de WordPress. Si todo lo demás falla, las copias de seguridad te permitirán restaurar tu sitio web fácilmente.
La mayoría de las empresas de hosting de WordPress ofrecen opciones de copia de seguridad limitadas. Sin embargo, estas copias de seguridad no están garantizadas y tú eres el único responsable de hacer tus propias copias de seguridad.
Hay varios plugins de copias de seguridad de WordPress excelentes que te permiten programar copias de seguridad automáticas.
Recomendamos usar Duplicator. Es fácil de usar para principiantes y te permite configurar rápidamente copias de seguridad automáticas y almacenarlas en ubicaciones remotas como Google Drive, Dropbox, Amazon S3, OneDrive y más.
También hay una versión gratuita de Duplicator que puedes usar para empezar.
Para obtener instrucciones paso a paso, puedes seguir esta guía sobre cómo hacer una copia de seguridad de tu sitio de WordPress con Duplicator.
Todos los consejos mencionados anteriormente te ayudarán a proteger tu sitio de WordPress contra ataques de fuerza bruta. Para una configuración de seguridad más completa, debes seguir las instrucciones de nuestra guía definitiva de seguridad para WordPress para principiantes.
Esperamos que este artículo te haya ayudado a aprender cómo proteger tu sitio de WordPress de ataques de fuerza bruta. También te puede interesar nuestra guía sobre cómo arreglar un sitio de WordPress hackeado y nuestras selecciones expertas de los mejores plugins de firewall para WordPress.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Olaf
Estos son consejos muy valiosos. Un ataque de fuerza bruta puede ser muy peligroso, especialmente si el proveedor de hosting no tiene soluciones de respaldo y, sobre todo, si los usuarios tienen contraseñas débiles compuestas por frases sencillas. Personalmente, todo siempre empieza con la contraseña. Caracteres, símbolos, números… esa es la única combinación correcta. Nombres y frases son lo peor. Si la gente entiende esto, estará en gran medida protegida, siempre que las contraseñas tengan al menos ocho caracteres o más. Sin embargo, es difícil enseñar esto a la gente, ya que quieren contraseñas que puedan recordar. Por eso es bueno usar dispositivos mnemotécnicos para las contraseñas. Yo uso contraseñas que no tienen sentido pero las recuerdo a través de mnemotecnia. Añadir una capa extra de seguridad solo mejora la seguridad general, y considero la autenticación de dos factores la mejor segunda capa. Con ella, la posibilidad de una brecha se vuelve casi mínima.
Dayo Olobayo
¡Esta es una excelente guía para asegurar tu sitio de WordPress! Un consejo adicional que recomendaría es monitorear regularmente tus intentos de inicio de sesión. Muchos plugins de seguridad ofrecen registros detallados donde puedes rastrear los intentos de inicio de sesión, incluyendo las direcciones IP de origen. Esto puede ayudarte a identificar actividad sospechosa y potencialmente bloquear IPs maliciosas.
Mrteesurez
Gracias por tu recomendación.
Solía revisar los detalles de los registros para identificar la dirección IP de los intentos de inicio de sesión. Pero, ¿hay alguna forma de recibir una notificación de los intentos de inicio de sesión directamente al correo electrónico?
¿Conoces algún plugin que haga eso?
Dayo Olobayo
Creo que el plugin Limit Login Attempts Reloaded puede enviar notificaciones por correo electrónico para los intentos de inicio de sesión. Puedes revisarlo.
Mrteesurez
Ok, gracias por tu respuesta, Dayo. Es difícil y lleva tiempo iniciar sesión con frecuencia para revisar los intentos de registro de errores en varios sitios web, por eso prefería recibir correos electrónicos sobre cualquier intento. Gracias.
Jiří Vaněk
Noté que no incluiste la opción de cambiar la URL de la administración de WordPress en la lista. ¿Hay alguna razón para eso? También es uno de los muy buenos métodos para prevenir ataques, ya que los atacantes no sabrán la URL de la administración del sitio web.
Soporte de WPBeginner
No recomendamos eso, ya que puede causar problemas con los plugins y la depuración, y no añade mucha seguridad a un sitio.
Administrador
Jiří Vaněk
Bueno, probablemente tienes experiencia con esto. Yo lo uso en mi blog y nunca he tenido problemas en todos los sitios. Asumí que cambiar la URL podría hacer la administración más segura al no conocer la URL el atacante, pero tomaré tu consejo.
Moinuddin Waheed
Este es un problema muy común para los usuarios de WordPress. La mayoría de las veces prestamos poca o ninguna atención a proteger nuestro sitio web o blog y luego nos quejamos cuando sucede algo de este tipo.
Fui víctima de este ataque de fuerza bruta en 2017 y desde entonces me he asegurado de usar copias de seguridad de mi sitio web completo y autenticación de dos factores para iniciar sesión.
¿Hay alguna manera de identificar si se ha instalado algún software malicioso o si nuestro panel de control ha sido comprometido?
Soporte de WPBeginner
¡Puedes usar algunas de las opciones de escaneo que recomendamos en nuestro artículo a continuación!
https://www.wpbeginner.com/plugins/how-to-scan-your-wordpress-site-for-potentially-malicious-code/
Administrador
Moinuddin Waheed
Gracias por la respuesta y la recomendación del tutorial.
Estoy explorando estas guías para crear una agencia de sitios web de WordPress exitosa.
Quiero asegurarme de que los sitios web que creo para mis clientes sean a prueba de fallos en cuanto a seguridad.
Renuga
Hola,
Para la protección del administrador en el paso 3, necesitamos mostrar el inicio de sesión solo en WP-admin, pero también se muestra en el sitio. Entonces, por favor, ayúdennos a cómo mostrarlo solo en WP-admin.
Soporte de WPBeginner
Si te refieres a que está en tu área de widgets, es posible que desees buscar un widget de meta bajo Apariencia>Widgets
Administrador
Dreamandu
Estoy bajo un ataque de fuerza bruta ahora mismo desde diferentes IPs. ¿Qué puedo hacer para proteger mi sitio en este momento?
Soporte de WPBeginner
Puedes usar cualquiera de los métodos de este artículo para empezar a combatir el ataque de fuerza bruta.
Administrador
Chidubem Ezenwa
Otra guía útil. Gracias, chicos.