¿Has oído alguna vez que los ladrones intentan entrar en una casa cerrada probando un montón de llaves diferentes? Eso es más o menos lo que un ataque de fuerza bruta en los sitios web de WordPress funciona. Los atacantes buscan usuarios con contraseñas débiles de administrador para forzar su entrada. Si te preguntas cómo has llegado a este punto, vamos a desglosarlo. Hace varias versiones, WordPress utilizaba un nombre de usuario por defecto llamado "admin" para sus usuarios. Los atacantes se aprovechan de estas cuentas probando diferentes contraseñas para ir con ese mismo nombre de usuario y entrar en cualquier cosa que les dé acceso.
¿Cómo evitar los ataques de fuerza bruta contra WordPress?
- El primer paso a tomar sería cambiar tu nombre de usuario si todavía estás usando 'admin' y usar algo más único en su lugar. Esto elimina la posibilidad de que estés en la categoría vulnerable que los atacantes intentan buscar automáticamente. También es el paso más potente que puedes dar para protegerte de este ataque.
- No utilices contraseñas débiles. Seguro que "123456" es fácil de recordar, pero también se parece a la idea de dar las llaves de tu casa a un ladrón conocido. Si no puedes pensar en algo difícil, utiliza generadores de contraseñas para conseguir algo fuerte que no sea fácil de adivinar. WordPress también facilita la comprensión de la fortaleza de tus contraseñas con un medidor que aparece cuando intentas crear una.
- Mantén actualizadas las versiones de WordPress y del software del ordenador y asegúrate de activar la "autenticación de dos factores" si utilizas WP.com. Esto te indicará si un intento proviene de un dispositivo/región diferente al tuyo.
- Llame a su proveedor de alojamiento si siente que sus páginas de administración se han vuelto difíciles de acceder y parecen ser lentas. Ellos deberían poder guiarte en la dirección correcta.
- Utiliza una herramienta adicional o un plugin que limite el número de intentos de acceso. Si tu sitio web no requiere que varias personas inicien sesión, puedes incluso añadir plugins que bloqueen cualquier intento (que no sea el tuyo) de acceder a wp-admin.
- Si has sido víctima de este tipo de ataques en el pasado y has notado un patrón de direcciones IP o regiones desde donde se originan los ataques, puedes añadir una capa extra de protección. Esto puede hacerse creando una "lista de bloqueo" de direcciones IP que intentan acceder a su sitio web desde esas regiones. Desgraciadamente, al hacer esto también bloquearás a algunos usuarios auténticos que quieren acceder a tu sitio web.