¿Quiere proteger su sitio de WordPress de los ataques de fuerza bruta? Estos ataques pueden ralentizar su sitio web, hacerlo inaccesible e incluso descifrar sus contraseñas para instalar malware en su sitio web. En este artículo, le mostraremos cómo proteger su sitio de WordPress de los ataques de fuerza bruta.

¿Qué es un ataque de fuerza bruta?
Contents
Brute Force Attack es un método de piratería que utiliza técnicas de prueba y error para ingresar a un sitio web, red o sistema informático. Los piratas informáticos utilizan software automatizado para enviar una gran cantidad de solicitudes al sistema de destino. En cada solicitud, estos programas intentan adivinar la información necesaria para acceder, como contraseñas o códigos PIN. Estas herramientas también pueden disfrazarse mediante el uso de diferentes direcciones IP y ubicaciones, lo que dificulta que el sistema objetivo identifique y bloquee dicha actividad sospechosa. Un ataque de fuerza bruta exitoso puede permitir que los piratas informáticos obtengan acceso al área de administración de su sitio web. Pueden instalar puertas traseras, instalar malware, robar información del usuario y eliminar cualquier cosa en su sitio. Incluso los ataques fallidos de fuerza bruta pueden causar estragos al enviar demasiadas solicitudes, ralentizar los servidores de alojamiento de WordPress e incluso bloquearlos. Dicho esto, echemos un vistazo a cómo proteger su sitio de WordPress de los ataques de fuerza bruta.
Paso 1. Instale un complemento de firewall de WordPress
Los ataques de fuerza bruta cobran un alto precio en sus servidores. Incluso aquellos que fallan pueden ralentizar su sitio web o bloquear el servidor por completo. Por eso es importante bloquearlos antes de que lleguen a su servidor. Para hacer esto, necesitará una solución de firewall para sitios web. Un firewall filtra el tráfico malicioso y evita que acceda a su sitio.
Hay dos tipos de firewalls de sitios web que puede utilizar.
Cortafuegos a nivel de aplicación – Estos complementos de firewall examinan el tráfico después de que llega a su servidor, pero antes de cargar la mayoría de los scripts de WordPress. Este método no es tan eficiente ya que un ataque de fuerza bruta puede afectar la carga de su servidor.
Cortafuegos de sitios web a nivel DNS – Estos cortafuegos enrutan el tráfico de su sitio web a través de sus servidores proxy en la nube. Esto les permite enviar solo tráfico real a su servidor de alojamiento web principal mientras aumenta la velocidad y el rendimiento de su WordPress. Le recomendamos que utilice Sucuri. Es el líder de la industria en seguridad de sitios web y el mejor firewall de WordPress del mercado. Dado que este es un firewall de sitio web de nivel DNS, eso significa que todo el tráfico de su sitio web pasa por su proxy donde se filtra el tráfico malo. Usamos Sucuri en nuestro sitio web, y puede leer nuestra revisión completa de Sucuri para obtener más información.
Paso 2. Instale las actualizaciones de WordPress
Algunos ataques de fuerza bruta comunes se dirigen activamente a vulnerabilidades conocidas en versiones anteriores de WordPress, complementos populares de WordPress o temas. El núcleo de WordPress y los complementos de WordPress más populares son de código abierto y las vulnerabilidades a menudo se solucionan muy rápidamente con una actualización. Sin embargo, si no instala las actualizaciones, está dejando su sitio web vulnerable a estas viejas amenazas. Solo ve a Panel de control »Actualizaciones página en el área de administración de WordPress para comprobar si hay actualizaciones disponibles. Esta página mostrará todas las actualizaciones para su núcleo, complementos y temas de WordPress.
Para obtener más detalles, consulte nuestra guía sobre cómo actualizar correctamente los complementos de WordPress.
Paso 3. Proteja el directorio de administración de WordPress
La mayoría de los ataques de fuerza bruta en un sitio de WordPress intentan obtener acceso al área de administración de WordPress. Puede agregar protección con contraseña a su directorio de administración de WordPress a nivel de servidor. Esto bloquearía el acceso no autorizado a su área de administración de WordPress. Simplemente inicie sesión en su panel de control de alojamiento de WordPress (cPanel) y haga clic en el icono « Privacidad del directorio » en la sección Archivos.
Notar: Estamos usando Bluehost en nuestra captura de pantalla, pero hay configuraciones similares disponibles en otras compañías de alojamiento importantes, así como en SiteGround, HostGator, etc.
Luego, debe ubicar la carpeta wp-admin y hacer clic en el nombre de la carpeta.
cPanel ahora le pedirá que proporcione un nombre para la carpeta restringida, el nombre de usuario y la contraseña. Después de ingresar esta información, haga clic en el botón Guardar para guardar su configuración.
Su directorio de administración de WordPress ahora está protegido con contraseña. Verá un nuevo mensaje de inicio de sesión cuando visite su área de administración de WordPress.
Si encuentra un error 404 o un mensaje de error con demasiados redireccionamientos, debe agregar la siguiente línea a su archivo .htaccess de WordPress. ErrorDocument 401 default Para obtener más detalles, consulte nuestro artículo sobre la protección con contraseña del directorio de administración de WordPress.
Paso 4. Agregue autenticación de dos factores en WordPress
La autenticación de dos factores agrega una capa adicional de seguridad a su pantalla de inicio de sesión de WordPress. Básicamente, los usuarios necesitarán que su teléfono genere una contraseña de un solo uso con su información de inicio de sesión para acceder al área de administración de WordPress.
Agregar autenticación de dos factores dificultará el acceso de los piratas informáticos incluso si pueden descifrar su contraseña de WordPress. Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo agregar autenticación de dos factores en WordPress.
Paso 5. Utilice contraseñas seguras únicas
Las contraseñas son las claves para acceder a su sitio de WordPress. Debe utilizar contraseñas seguras únicas para todas sus cuentas. Una contraseña segura es una combinación de números, letras y caracteres especiales. Es importante que utilice contraseñas seguras no solo para sus cuentas de usuario de WordPress, sino también para FTP, el panel de control de alojamiento web y su base de datos de WordPress. La mayoría de los principiantes nos preguntan cómo recordar todas esas contraseñas únicas. Bueno, no lo necesitas. Hay algunas excelentes aplicaciones de administración de contraseñas disponibles que almacenarán sus contraseñas de forma segura y las completarán automáticamente. Para obtener más información, consulte nuestra guía para principiantes sobre la mejor manera de administrar las contraseñas de WordPress.
Paso 6. Desactive la exploración de directorios
De forma predeterminada, cuando su servidor web no puede encontrar un archivo de índice (es decir, un archivo como index.php o index.html), mostrará automáticamente una página de índice que muestra el contenido del directorio.
Durante un ataque de fuerza bruta, los piratas informáticos pueden utilizar la exploración de directorios para buscar archivos vulnerables. Para resolver este problema, debe agregar la siguiente línea en la parte inferior de su archivo .htaccess de WordPress. Opciones – Índices Para obtener más detalles, consulte nuestro artículo sobre cómo deshabilitar la exploración de directorios en WordPress.
Paso 7. Deshabilite la ejecución de archivos PHP en carpetas específicas de WordPress
Los piratas informáticos pueden querer instalar y ejecutar un script PHP en sus carpetas de WordPress. WordPress está escrito principalmente en PHP, lo que significa que no puede desactivarlo en todas las carpetas de WordPress. Sin embargo, algunos archivos no requieren ningún script PHP. Por ejemplo, su carpeta de carga de WordPress ubicada en / wp-content / uploads. Puede deshabilitar de forma segura la ejecución de PHP en la carpeta de cargas, un lugar comúnmente utilizado por los piratas informáticos para ocultar archivos de puerta trasera. Primero, debe abrir un editor de texto como el Bloc de notas en su computadora y pegar el siguiente código:
negar todo
Ahora guarde este archivo como .htaccess y cárguelo en las carpetas / wp-content / uploads / de su sitio web mediante un cliente FTP.
Paso 8. Instale y configure un complemento de respaldo de WordPress
Las copias de seguridad son la herramienta más importante en su arsenal de seguridad de WordPress. Si todo lo demás falla, las copias de seguridad le facilitarán la restauración de su sitio web. La mayoría de las empresas de alojamiento de WordPress ofrecen opciones de copia de seguridad limitadas. Sin embargo, estas copias de seguridad no están garantizadas y usted es el único responsable de realizar sus propias copias de seguridad. Hay varios complementos de copia de seguridad de WordPress excelentes, que le permiten programar copias de seguridad automáticas. Le recomendamos que utilice UpdraftPlus. Es amigable para principiantes y le permite configurar rápidamente copias de seguridad automáticas y almacenarlas en ubicaciones remotas como Google Drive, Dropbox, Amazon S3, etc. Para obtener instrucciones paso a paso, consulte nuestra guía sobre cómo realizar copias de seguridad y restaurar su sitio de WordPress con UpdraftPlus. Todos los consejos mencionados anteriormente lo ayudarán a proteger su sitio de WordPress de los ataques de fuerza bruta. Para una configuración de seguridad más completa, debe seguir las instrucciones en nuestra guía de seguridad definitiva de WordPress para principiantes. Esperamos que este artículo le haya ayudado a aprender a proteger su sitio de WordPress de los ataques de fuerza bruta. También puede buscar las señales de que su WordPress está pirateado y cómo arreglar un sitio de WordPress pirateado. Si le gustó este artículo, suscríbase a nuestro canal de YouTube para ver tutoriales en video de WordPress. También puede encontrarnos en Twitter y Facebook.