Xml-rpc
Contents
Muchos administradores de sitios ven cómo los recursos de sus servidores se agotan rápidamente, sus sitios dejan de responder o incluso se bloquean, lo que hace que los usuarios reales se bloqueen. El problema es que puede sentirse impotente mientras los bots de fuerza bruta martillean la página de inicio de sesión, tratando de llegar a su wp-admin.
Los ataques de fuerza bruta a WordPress son intentos de obtener acceso no autorizado a su wp-admin probando varias combinaciones de nombres de usuario y contraseñas. Los hackers han desarrollado bots para bombardear continuamente una página de inicio de sesión con credenciales sobre una base de ensayo y error.
A menudo, los bots prueban una serie de contraseñas de un diccionario y, por lo tanto, también se conocen como ataques de diccionario o ataques de adivinación de contraseñas. Los ataques pueden configurarse para que provengan de diferentes direcciones IP, y así burlar las medidas de seguridad básicas. Existen otros tipos de ataques de fuerza bruta, que trataremos más adelante en el artículo.
Experimentar un ataque de fuerza bruta da miedo, especialmente porque parece que no hay nada que puedas hacer para detenerlo. Además, los efectos de un ataque son inmediatamente visibles. La mayoría de los sitios tienen recursos de servidor limitados, que se agotan rápidamente, y a menudo un sitio atacado se colapsa por completo.
Secuencia de comandos en el sitio web
En este artículo, entraremos en los detalles de las vulnerabilidades de seguridad más comunes y peligrosas que conlleva el uso de WordPress. A continuación, cubriremos todos los pasos necesarios para gestionar un sitio web de WordPress seguro y protegido.
Si los atacantes obtienen información personal sobre usted o los visitantes de su sitio web, no hay fin a lo que podrían hacer con la información. Las brechas de seguridad te exponen a fugas de datos públicas, robo de identidad, ransomware, caída de servidores y la lista, por desgracia, continúa. Ni que decir tiene que cualquiera de estos sucesos está lejos de ser ideal para el crecimiento y la reputación de su empresa, y suele ser una gran pérdida de tiempo, dinero y energía.
A medida que su empresa crezca, aumentará el número de problemas que tendrá que resolver y las expectativas de sus clientes en cuanto a la forma de abordar esos problemas. Uno de esos problemas es mantener segura la información de sus clientes. Si no puede proporcionar este servicio fundamental desde el principio, socavará la confianza de sus clientes en usted.
Sus clientes necesitan confiar en que su información se utilizará y almacenará de forma segura, ya sea información de contacto, información de pago (que requiere el cumplimiento de la PCI) o una respuesta básica a una encuesta. Aquí hay una trampa: Si sus medidas de seguridad funcionan, sus clientes nunca tendrán que saberlo. Si alguna vez ven noticias sobre la seguridad de su sitio, lo más probable es que sean malas noticias y la mayoría no volverá.
Seguridad en WordPress
Los ataques de fuerza bruta son comunes contra los servicios web. Cualquier sitio web es un objetivo potencial. Sin embargo, los actores criminales suelen elegir los más populares para aumentar sus posibilidades de éxito. WordPress es uno de sus objetivos favoritos. Esta plataforma es tan popular que del millón de sitios web más importantes de Internet, más del 75% están creados con WordPress. El hecho de ser un líder del mercado tan fuerte hace que WordPress sea un objetivo atractivo para los atacantes. Un tipo de ataque muy popular es la fuerza bruta de contraseñas en los sitios web de WordPress.
Uno de los métodos que muchos hackers utilizan para acceder a un sitio de WordPress es lanzar un ataque de fuerza bruta. Al igual que cualquier intento de hackeo, estos ataques tienen como objetivo permitir a los hackers acceder al sistema para poder eliminar contenido, añadir su propio contenido o realizar otras acciones maquiavélicas. Un ataque de fuerza bruta es una de las formas más fáciles de acceder a un sistema.
La idea básica de este tipo de hackeo es sencilla: el atacante (normalmente un sistema automatizado) prueba tantas contraseñas como sea posible hasta que encuentra la que funciona. Puede parecer que este método lleva algo de tiempo, pero es realmente efectivo ya que mucha gente no utiliza contraseñas complejas. Además de comprometer su sistema, estos ataques también ralentizan el tiempo de carga del sitio. También pueden colapsarlo por completo, ya que el atacante suele probar diez contraseñas cada pocos segundos.
Plugins de seguridad de WordPress
A diferencia de los hacks que se centran en las vulnerabilidades del software, un ataque de fuerza bruta tiene como objetivo ser el tipo de método más simple para obtener acceso a un sitio: intenta nombres de usuario y contraseñas, una y otra vez, hasta que consigue entrar. A menudo considerados «poco elegantes», pueden tener mucho éxito cuando la gente utiliza contraseñas como «123456» y nombres de usuario como «admin».
Debido a la naturaleza de estos ataques, puedes encontrar que la memoria de tu servidor se dispara, causando problemas de rendimiento. Esto se debe a que el número de peticiones http (es decir, el número de veces que alguien visita su sitio) es tan alto que los servidores se quedan sin memoria.
El objetivo de tu contraseña es hacerla difícil de adivinar para otras personas y difícil de que un ataque de fuerza bruta tenga éxito. Existen muchos generadores automáticos de contraseñas que pueden utilizarse para crear contraseñas seguras.
Una contraseña fuerte es necesaria no sólo para proteger el contenido de tu blog. Un hacker que consiga acceso a su cuenta de administrador puede instalar scripts maliciosos que pueden comprometer potencialmente todo su servidor.
