Los ataques de fuerza bruta de WordPress y lo que debe hacer al respecto
Varias fuentes importantes han confirmado que existen ataques masivos de fuerza bruta dirigidos a sitios de WordPress y Joomla en este momento. HostGator, InMotion Hosting, LiquidWeb y muchos otros han informado a sus clientes sobre este problema. La red de bots de hackers contiene más de 90,000 IP diferentes, y se aprovechan de los principiantes de WordPress que están cometiendo algunos errores muy comunes. Sí, todo esto suena aterrador, así que esto es lo que debe hacer para disminuir sus posibilidades de ser hackeado.
1. Deja de usar el nombre de usuario administrador
A menudo, los principiantes usan nombres de usuario muy comunes, como administrador, administrador, prueba, raíz, etc. Nuestros amigos de Sucuri informaron que esos nombres de usuario están siendo muy orientados en este momento. Si tiene un nombre de usuario de WordPress genérico como admin, entonces debe cambiarlo ahora mismo.
Tenemos un tutorial fácil de seguir que le mostrará cómo cambiar su nombre de usuario en WordPress.
2. Use una contraseña segura
Por favor, por favor, use una contraseña muy fuerte. Estos ataques de fuerza bruta intentan apuntar a todas las contraseñas más comunes que usan las personas. Una contraseña segura contiene letras mayúsculas y minúsculas, números y símbolos. No utilice la misma contraseña en más de una ubicación. Nunca es demasiado tarde para comenzar a utilizar una solución de administración de contraseñas como 1Password o LastPass.
3. Mantener buenas copias de seguridad
La mejor seguridad que puede tener para su sitio web es una excelente solución de respaldo. Estamos utilizando VaultPress, que es un servicio mensual. Sin embargo, si no le gusta pagar mensualmente, le recomendamos que obtenga BackupBuddy.
Mantenga buenas copias de seguridad de su sitio porque la mayoría de las empresas de alojamiento no lo hacen..
4. Utilice la autenticación de dos factores
Comience a usar la autenticación de dos factores. De esta manera, incluso si alguien adivina su contraseña, no pueden acceder a su sitio porque no tienen el código de seguridad. Le recomendamos que haga esto ahora mismo.
5. Proteger con contraseña el WP-Admin y limitar los intentos de inicio de sesión
Siempre recomendamos a nuestros usuarios limitar los intentos de inicio de sesión. Sin embargo, esto solo no puede proteger todos los ataques porque esta botnet contiene 90,000 IPs. Otra cosa que puede hacer es proteger con contraseña su directorio WP-admin. También puede limitar su archivo wp-login.php a una IP específica.
6. Comience a usar Sucuri
Si no está utilizando Sucuri, le recomendamos que empiece a usar Sucuri. Siempre están al tanto de las cosas, y no hay nadie más en quien confiaríamos más cuando se trata de la seguridad de WordPress. Ver 5 razones por las que usamos Sucuri.
No estamos seguros de cuál es el objetivo final de estos ataques, pero sea lo que sea, no nos gustaría que nuestros usuarios se vean presionados por esto. Por favor, mantenga sus sitios actualizados y siga todos los consejos anteriores.