¿Alguna vez has oído hablar de ladrones que intentan entrar en una casa cerrada probando un montón de llaves diferentes? Así es más o menos como funciona un ataque de fuerza bruta en sitios web de WordPress. Los atacantes apuntan a usuarios con contraseñas de administrador débiles para ingresar por la fuerza bruta. Si te preguntas cómo llegaste a este punto, vamos a desglosarlo. Hace varias versiones, WordPress usaba un nombre de usuario predeterminado llamado 'admin' para sus usuarios. Los atacantes se aprovechan de estas cuentas probando diferentes contraseñas para usar el mismo nombre de usuario y acceder a cualquier cosa que les dé acceso.
¿Cómo prevenir ataques de fuerza bruta contra WordPress?
- El primer paso a seguir sería cambiar su nombre de usuario si todavía usa "admin" y usar algo más exclusivo en su lugar. Esto elimina la posibilidad de que usted esté en la categoría vulnerable que los atacantes intentan mirar automáticamente. También es el paso más potente que puede dar para protegerse de este ataque.
- ¡No utilices contraseñas débiles! Claro, '123456' es fácil de recordar, pero también se parece a la idea de darle las llaves de tu casa a un ladrón conocido. Si no se te ocurre nada difícil, utiliza generadores de contraseñas para encontrar algo seguro que no sea fácil de adivinar. WordPress también simplifica la comprensión de qué tan seguras son tus contraseñas con un medidor que aparece cuando intentas crear una.
- Mantenga actualizadas sus versiones de WordPress y software de computadora y asegúrese de activar la 'autenticación de dos factores' si está utilizando WP.com. Esto le indicará si un intento proviene de un dispositivo/región diferente al suyo.
- Llame a su proveedor de alojamiento si cree que es difícil iniciar sesión en sus páginas de administración y parecen lentas. Deberían poder guiarlo en la dirección correcta.
- Utilice una herramienta adicional o un complemento que limite la cantidad de intentos de inicio de sesión realizados. Si su sitio web no requiere que varias personas inicien sesión, incluso puede agregar complementos que bloqueen cualquier intento (que no sea el suyo) de acceder a wp-admin.
- Si ha sido víctima de ataques como estos en el pasado y ha notado un patrón de direcciones IP o regiones desde donde se originan los ataques, puede agregar una capa adicional de protección. Esto se puede hacer creando una "lista de bloqueo" de direcciones IP que intentan acceder a su sitio web desde esas regiones. Desafortunadamente, al hacerlo también bloquearía a algunos usuarios genuinos que desean acceder a su sitio web.
