Compartir:
Cómo proteger su sitio de WordPress de ataques de fuerza bruta (paso a paso)
¿Quieres proteger tu sitio de WordPress de ataques de fuerza bruta? Estos ataques pueden ralentizar su sitio web, hacer que sea inaccesible e incluso descifrar sus contraseñas para instalar malware en su sitio web. En este artículo, le mostraremos cómo proteger su sitio de WordPress de ataques de fuerza bruta.
¿Qué es un ataque de fuerza bruta??
Brute Force Attack es un método de piratería que utiliza técnicas de prueba y error para penetrar en un sitio web, una red o un sistema informático..
Los piratas informáticos utilizan software automatizado para enviar una gran cantidad de solicitudes al sistema de destino. Con cada solicitud, este software intenta adivinar la información necesaria para obtener acceso, como contraseñas o códigos PIN.
Estas herramientas también pueden disfrazarse utilizando diferentes direcciones IP y ubicaciones, lo que dificulta que el sistema de destino identifique y bloquee estas actividades sospechosas..
Un ataque de fuerza bruta exitoso puede dar a los hackers acceso al área de administración de su sitio web. Pueden instalar puertas traseras, malware, robar información del usuario y eliminar todo lo que haya en su sitio..
Incluso los ataques de fuerza bruta sin éxito pueden causar estragos al enviar demasiadas solicitudes, lo que ralentiza los servidores de alojamiento de WordPress e incluso los bloquea..
Dicho esto, veamos cómo proteger su sitio de WordPress de ataques de fuerza bruta.
Paso 1. Instalar un complemento de WordPress Firewall
Los ataques de fuerza bruta ponen mucha carga en sus servidores. Incluso los que no tienen éxito pueden ralentizar su sitio web o bloquear completamente el servidor. Por eso es importante bloquearlos antes de que lleguen a su servidor..
Para hacer eso, necesitarás una solución de firewall para sitios web. Un firewall filtra el mal tráfico y lo bloquea para que no acceda a su sitio.
Hay dos tipos de firewalls de sitios web que puedes usar.
Cortafuegos de nivel de aplicación - Estos complementos de firewall examinan el tráfico una vez que llega a su servidor pero antes de cargar la mayoría de los scripts de WordPress. Este método no es tan eficiente porque un ataque de fuerza bruta todavía puede afectar la carga de su servidor.
Cortafuegos de sitios web de nivel DNS - Estos firewall enrutan el tráfico de su sitio web a través de sus servidores proxy en la nube. Esto les permite enviar solo tráfico genuino a su servidor de alojamiento web principal al tiempo que aumenta su velocidad y rendimiento de WordPress.
Recomendamos el uso de Sucuri. Es el líder de la industria en seguridad de sitios web y el mejor firewall de WordPress en el mercado. Ya que es un servidor de seguridad de nivel DNS, significa que todo el tráfico de su sitio web pasa a través de su proxy donde se filtra el mal tráfico.
Usamos Sucuri en nuestro sitio web, y puede leer nuestra revisión completa de Sucuri para obtener más información.
Paso 2. Instalar actualizaciones de WordPress
Algunos ataques comunes de fuerza bruta atacan activamente las vulnerabilidades conocidas en versiones anteriores de WordPress, los populares complementos de WordPress o temas.
El núcleo de WordPress y los complementos más populares de WordPress son de código abierto y las vulnerabilidades a menudo se corrigen muy rápidamente con una actualización. Sin embargo, si no instala las actualizaciones, dejará su sitio web vulnerable a las amenazas anteriores..
Simplemente ir a Cuadro de mandos »Actualizaciones página en el área de administración de WordPress para comprobar si hay actualizaciones disponibles. Esta página mostrará todas las actualizaciones para su núcleo de WordPress, complementos y temas.
Para obtener más detalles, consulte nuestra guía sobre cómo actualizar correctamente los complementos de WordPress.
Paso 3. Proteger el directorio de administración de WordPress
La mayoría de los ataques de fuerza bruta en un sitio de WordPress están tratando de obtener acceso al área de administración de WordPress. Puede agregar protección con contraseña en su directorio de administrador de WordPress a nivel de servidor. Esto bloquearía el acceso no autorizado a su área de administración de WordPress.
Simplemente inicie sesión en su panel de control de alojamiento de WordPress (cPanel) y haga clic en el icono 'Privacidad del directorio' en la sección Archivos.
Nota: Estamos usando Bluehost en nuestra captura de pantalla, pero configuraciones similares están disponibles en otras compañías de hospedaje principales, como SiteGround, HostGator, etc..
A continuación, debe localizar la carpeta wp-admin y hacer clic en el nombre de la carpeta.
cPanel ahora le pedirá que proporcione un nombre para la carpeta restringida, el nombre de usuario y la contraseña. Después de ingresar esta información, haga clic en el botón Guardar para guardar su configuración.
Su directorio de administrador de WordPress ahora está protegido por contraseña. Verá un nuevo mensaje de inicio de sesión cuando visite el área de administración de WordPress.
Si se encuentra con un error 404 o un mensaje de demasiadas redirecciones, debe agregar la siguiente línea a su archivo .htaccess de WordPress.
ErrorDocument 401 por defecto
Para obtener más detalles, consulte nuestro artículo sobre cómo proteger con contraseña el directorio de administración de WordPress.
Paso 4. Agrega la autenticación de dos factores en WordPress
La autenticación de dos factores agrega una capa de seguridad adicional a su pantalla de inicio de sesión de WordPress. Básicamente, los usuarios necesitarán sus teléfonos para generar un código de acceso único junto con sus credenciales de inicio de sesión para acceder al área de administración de WordPress.
Agregar la autenticación de dos factores hará que sea más difícil para los hackers obtener acceso incluso si son capaces de descifrar su contraseña de WordPress.
Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo agregar autenticación de dos factores en WordPress
Paso 5. Usa contraseñas fuertes únicas
Las contraseñas son las claves para obtener acceso a su sitio de WordPress. Necesita usar contraseñas seguras únicas para todas sus cuentas. Una contraseña segura es una combinación de números, letras y caracteres especiales.
Es importante que utilice contraseñas seguras no solo para sus cuentas de usuario de WordPress sino también para FTP, el panel de control de alojamiento web y su base de datos de WordPress.
La mayoría de los principiantes nos preguntan cómo recordar todas estas contraseñas únicas. Bueno, no es necesario. Hay excelentes aplicaciones de administrador de contraseñas disponibles que almacenarán de forma segura sus contraseñas y las completarán automáticamente por usted..
Para obtener más información, consulte nuestra guía para principiantes sobre la mejor manera de administrar las contraseñas para WordPress.
Paso 6. Desactivar la navegación de directorios
De forma predeterminada, cuando su servidor web no encuentra un archivo de índice (es decir, un archivo como index.php o index.html), muestra automáticamente una página de índice que muestra el contenido del directorio..
Durante un ataque de fuerza bruta, los piratas informáticos pueden usar la navegación de directorios para buscar archivos vulnerables. Para solucionar este problema, debe agregar la siguiente línea en la parte inferior de su archivo .htaccess de WordPress.
Opciones -Indexes
Para obtener más detalles, consulte nuestro artículo sobre cómo deshabilitar la búsqueda de directorios en WordPress.
Paso 7. Deshabilitar la ejecución de archivos PHP en carpetas específicas de WordPress
Los piratas informáticos pueden querer instalar y ejecutar un script PHP en sus carpetas de WordPress. WordPress está escrito principalmente en PHP, lo que significa que no puede deshabilitarlo en todas las carpetas de WordPress.
Sin embargo, hay algunas carpetas que no necesitan ningún script PHP. Por ejemplo, su carpeta de cargas de WordPress ubicada en / wp-content / uploads.
Puede deshabilitar de forma segura la ejecución de PHP en la carpeta de cargas, que es un lugar común que los hackers utilizan para ocultar los archivos de puerta trasera..
Primero, necesita abrir un editor de texto como el Bloc de notas en su computadora y pegar el siguiente código:
Negar todo
Ahora, guarde este archivo como .htaccess y cárguelo en / wp-content / uploads / folder en su sitio web utilizando un cliente FTP.
Paso 8. Instalar y configurar un complemento de copia de seguridad de WordPress
Las copias de seguridad son la herramienta más importante en su arsenal de seguridad de WordPress. Si todo lo demás falla, entonces las copias de seguridad te permitirán restaurar fácilmente tu sitio web.
La mayoría de las empresas de alojamiento de WordPress ofrecen opciones de copia de seguridad limitadas. Sin embargo, estas copias de seguridad no están garantizadas y usted es el único responsable de realizar sus propias copias de seguridad..
Hay varios excelentes complementos de copia de seguridad de WordPress, que le permiten programar copias de seguridad automáticas.
Recomendamos el uso de UpdraftPlus. Es amigable para los principiantes y le permite configurar rápidamente copias de seguridad automáticas y almacenarlas en ubicaciones remotas como Google Drive, Dropbox, Amazon S3 y más.
Para obtener instrucciones paso a paso, consulte nuestra guía sobre cómo hacer una copia de seguridad y restaurar su sitio de WordPress con UpdraftPlus
Todos los consejos mencionados anteriormente te ayudarán a proteger tu sitio de WordPress contra ataques de fuerza bruta. Para una configuración de seguridad más completa, debe seguir las instrucciones de nuestra guía de seguridad de WordPress para principiantes..
Esperamos que este artículo te haya ayudado a aprender cómo proteger tu sitio de WordPress de ataques de fuerza bruta. También es posible que desee ver las señales de que su WordPress ha sido pirateado y cómo corregir un sitio de WordPress pirateado..
Si le ha gustado este artículo, suscríbase a nuestros tutoriales en video del Canal de YouTube para WordPress. También puedes encontrarnos en Twitter y Facebook..