¿Quiere proteger su sitio WordPress de ataques de fuerza bruta?
Un ataque de fuerza bruta puede ralentizar su sitio web, hacerlo inaccesible e incluso descifrar sus contraseñas para instalar malware en su sitio web.
En este artículo, le mostraremos cómo proteger su sitio WordPress de ataques de fuerza bruta.
¿Qué es un ataque de fuerza bruta?
Un ataque de fuerza bruta es un método de pirateo que utiliza el periodo de prueba y error para entrar en un sitio web, una red o un sistema informático.
El tipo más común de ataque de fuerza bruta es la adivinación de contraseñas. Los hackers utilizan software automatizado para adivinar tu información de acceso y así poder acceder a tu sitio web.
Estas herramientas de piratería automatizada también pueden camuflarse utilizando diferentes direcciones IP y ubicaciones, lo que dificulta la identificación y el bloqueo de actividades sospechosas.
Un ataque de fuerza bruta correcto puede dar a los hackers acceso al área de administrador de su sitio web. Pueden instalar malware, robar información de los usuarios y borrar todo lo que haya en su sitio.
Incluso los ataques de fuerza bruta infructuosos pueden causar estragos enviando demasiadas peticiones a los servidores de alojamiento de WordPress, ralentizando o incluso colapsando por completo su sitio web.
Dicho esto, veamos cómo proteger su sitio web WordPress de ataques de fuerza bruta. Estos son los pasos que vamos a seguir:
1. Instale un plugin cortafuegos para WordPress
Los ataques de fuerza bruta suponen una gran carga para sus servidores. Incluso los infructuosos pueden ralentizar su sitio web o bloquear completamente el servidor. Por eso es importante bloquearlos antes de que lleguen a tu servidor.
Para ello, necesitará una solución de cortafuegos para sitios web. Un cortafuegos filtra el tráfico malicioso y bloquea el acceso a tu sitio.
Hay dos tipos de cortafuegos para sitios web que puede utilizar:
- Los cortafuegos a nivel de aplicación examinan el tráfico una vez que llega a su servidor pero antes de cargar la mayoría de los scripts de WordPress. Este método no es tan eficaz porque un ataque de fuerza bruta puede seguir afectando a la carga de su servidor.
- Los cortafuegos de sitios web a nivel de DNS dirigen el tráfico de su sitio web a través de sus servidores proxy en la nube. Esto les permite solo enviar tráfico genuino a su servidor principal de alojamiento web mientras que da un impulso a la velocidad y rendimiento de su WordPress.
Recomendamos usar Sucuri. Son el líder de la industria en seguridad de sitios web y el mejor cortafuegos de WordPress en el mercado. Dado que tienen un cortafuegos de sitios web a nivel de DNS, esto significa que todo el tráfico de tu sitio web pasa a través de su proxy, donde se filtra el tráfico malicioso.
Utilizamos Sucuri en nuestro sitio web, y puede leer nuestra completa reseña / valoración de Sucuri para obtener más información.
2. Instalar actualizaciones de WordPress
Algunos ataques de fuerza bruta comunes se dirigen activamente a vulnerabilidades conocidas en versiones antiguas de WordPress, plugins populares de WordPress o temas.
El núcleo de WordPress y los plugins más populares de WordPress son de código abierto, y las vulnerabilidades suelen corregirse muy rápidamente con una actualización. Sin embargo, si no instalas las actualizaciones, dejas tu sitio web vulnerable a esas viejas amenazas.
Simplemente vaya a la página Escritorio ” Actualizaciones en el área de administrador de WordPress para comprobar las actualizaciones disponibles. Esta página mostrará todas las actualizaciones del núcleo, plugins y temas de WordPress.
Para obtener más información, consulte nuestras guías sobre cómo actualizar WordPress de forma segura y cómo actualizar correctamente los plugins de WordPress.
3. Proteger el directorio de administradores de WordPress
La mayoría de los ataques de fuerza bruta en un sitio WordPress intentan acceder al área de administrador de WordPress. Puede añadir protección por contraseña a su directorio de administrador de WordPress a nivel de servidor. Esto bloqueará el acceso no autorizado a su área de administrador de WordPress.
Sólo tiene que acceder al panel de control de su alojamiento de WordPress (cPanel) y hacer clic en el icono “Privacidad de directorios” de la sección Archivos.
Nota: Estamos utilizando Bluehost en nuestra captura de pantalla, pero ajustes similares están disponibles en otras empresas de alojamiento superior como HostGator también.
A continuación, debe localizar la carpeta wp-admin.
Una vez que lo encuentres, debes hacer clic en su botón “Editar”.
En la página siguiente puede establecer los ajustes de seguridad de la carpeta.
En primer lugar, debe marcar la casilla “Proteger este directorio con contraseña”. A continuación, puede introducir un nombre para el directorio protegido.
A continuación, se le pedirá que introduzca un nombre de usuario y una contraseña.
Se le pedirá esta información cada vez que intente acceder a este directorio.
Tras introducir esta información, haga clic en el botón “Guardar” para establecer los ajustes.
Su directorio de administrador de WordPress está ahora protegido por contraseña.
Verá una nueva indicación de acceso cuando visite su área de administrador de WordPress.
Si se encuentra con un mensaje de error 404 o de demasiadas redirecciones, entonces necesita añadir la siguiente línea a su archivo .htaccess de WordPress:
ErrorDocument 401 default
Para más detalles, consulte nuestro artículo sobre cómo proteger con contraseña el directorio del administrador de WordPress.
4. Añadir autenticación de dos factores en WordPress
La autenticación de dos factores añade una capa de seguridad adicional a la pantalla de acceso de WordPress. Los usuarios necesitarán sus teléfonos para generar una contraseña de un solo uso junto con sus credenciales de acceso para acceder / acceder al área de administrador de WordPress.
Si añade la autenticación de dos factores, dificultará el acceso a los hackers, incluso si consiguen descifrar su contraseña de WordPress.
Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo añadir la autenticación de dos factores en WordPress.
5. Utilice contraseñas únicas y seguras
Las contraseñas son la clave para acceder a tu sitio WordPress o a tu tienda de comercio electrónico. Debe utilizar contraseñas únicas y seguras para todas sus cuentas. Una contraseña segura es una combinación de números, letras y caracteres especiales.
Es importante que utilices contraseñas seguras no sólo para las cuentas de usuario de WordPress, sino también para el cliente FTP, el panel de control del alojamiento web y la base de datos de WordPress.
Muchos principiantes nos preguntan cómo recordar todas estas contraseñas únicas. Pues bien, no es necesario. Existen excelentes aplicaciones de gestión de contraseñas que las almacenan de forma segura y las rellenan automáticamente por ti.
Para obtener más información, consulte nuestra guía para principiantes sobre las mejores formas de gestionar contraseñas para WordPress.
6. Desactivar la exploración de directorios
Por defecto, cuando el servidor web no encuentra un archivo de índice (como index.php o index.html), muestra automáticamente una página de índice con el contenido del directorio.
Durante un ataque de fuerza bruta, los hackers pueden utilizar la exploración de directorios como ésta para buscar archivos vulnerables. Para corregir esto, debe añadir la siguiente línea en la parte inferior de su archivo .htaccess de WordPress utilizando un servicio FTP:
Options -Indexes
Para más detalles, consulte nuestro artículo sobre cómo desactivar la navegación por directorios en WordPress.
7. Desactivar la ejecución de archivos PHP en carpetas específicas de WordPress
Los hackers pueden querer instalar y ejecutar un script PHP en sus carpetas de WordPress. WordPress está escrito principalmente en PHP, lo que significa que no se puede desactivar en todas las carpetas de WordPress.
Sin embargo, hay algunas carpetas que no necesitan ningún script PHP, como la carpeta de subidas de WordPress ubicada en /wp-content/uploads
.
Puede desactivar de forma segura la ejecución de PHP en la carpeta de subidas, que es un lugar común que los hackers utilizan para ocultar archivos de puerta trasera.
En primer lugar, tienes que abrir un editor de texto como el Bloc de notas en tu ordenador y pegar el siguiente código:
<Files *.php>
deny from all
</Files>
Ahora, guarde este archivo como .htaccess
y súbalo a las carpetas /wp-content/uploads/
de su sitio web utilizando un cliente FTP.
8. Instalar y configurar un plugin de copia de seguridad de WordPress
Las copias de seguridad son la herramienta más importante en su arsenal de seguridad de WordPress. Si todo lo demás falla, las copias de seguridad le permitirán restaurar fácilmente su sitio web.
La mayoría de las empresas de alojamiento de WordPress ofrecen opciones limitadas de copia de seguridad. Sin embargo, estas copias de seguridad no están garantizadas, y usted es el único responsable de hacer sus propias copias de seguridad.
Existen varios plugins de copia de seguridad para WordPress que permiten programar copias de seguridad automáticas.
Recomendamos usar Duplicator. Es fácil de usar para principiantes y le permite establecer rápidamente copias de seguridad automáticas y almacenarlas en ubicaciones remotas como Google Drive, Dropbox, Amazon S3, One Drive y más.
También existe una versión gratuita de Duplicator que puedes utilizar para empezar.
Para obtener instrucciones paso a paso, puede seguir esta guía sobre cómo hacer una copia de seguridad de su sitio de WordPress con Duplicator.
Todos los consejos mencionados le ayudarán a proteger su sitio de WordPress contra ataques de fuerza bruta. Para una configuración de seguridad más completa, deberías seguir las instrucciones de nuestra guía definitiva de seguridad de WordPress para principiantes.
Esperamos que este artículo te haya ayudado a aprender cómo proteger tu sitio WordPress de ataques de fuerza bruta. Puede que también quieras ver nuestra guía práctica sobre cómo corregir un sitio WordPress hackeado y nuestra selección de los mejores editores de arrastrar y soltar para páginas de WordPress.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Moinuddin Waheed
This is very common problem for wordpress users. most of the times we give little to no concern to protect our website or blog and then complain when something of this kind happens.
I have been a victim of this brute force attack back in 2017 and since then I have ensured to use backup of my full website and two factor authentication to log in.
Is there a way we can identify if any malicious software has been installed or our dashboard has been compromised?
WPBeginner Support
You can use some of the scanner options that we recommend in our article below!
https://www.wpbeginner.com/plugins/how-to-scan-your-wordpress-site-for-potentially-malicious-code/
Administrador
Moinuddin Waheed
Thanks for the reply and tutorial recommendation.
I am exploring these guides so as to make a successful wordpress websites agency.
I want to make sure that the websites that I make for my clients should be foolproof of security.
Renuga
HI,
For step-3 admin protection, we need to show the login in WP-admin only but its showing in site also. So, please help us how to show only in WP-admin.
WPBeginner Support
If you mean it is in your widget area you may want to check for a meta widget under Appearance>Widgets
Administrador
Dreamandu
I am under the brute force attack right now from different IPs. What can I do to protect my site right now?
WPBeginner Support
You can use any of the methods in this article to start combating the brute force attack
Administrador
Chidubem Ezenwa
Yet another helpful guide. Thanks guys.