blog webempresa

Ataques de fuerza bruta en WordPress, ¿Qué son y cómo evitarlos?

por | Jul 7, 2023 | Seguridad WordPress

Ataques de fuerza bruta en WordPress

El tener una presencia online a través de un sitio web conlleva lidiar tanto con los beneficios como con los problemas que representa, aún más cuando nuestra marca, tienda o contenido va tomando aceptación y buen posicionamiento a través del internet.

Lamentablemente, siempre existirán usuarios malintencionados que desean aprovechar cualquier vulnerabilidad posible para afectar la integridad de la instalación, teniendo como resultado un WordPress Hackeado.

En el siguiente artículo vamos a definir qué son los ataques de fuerza bruta en WordPress y cómo podemos prepararnos contra ellos.

 ¿Qué son los ataques de fuerza bruta en WordPress?


ataque-fuerza-bruta-wp-01

Los ataques de fuerza bruta en WordPress son intentos automatizados de acceder a cuentas de usuarios existentes en un sitio web en WordPress mediante la prueba de múltiples combinaciones de nombres de usuario y contraseñas. En este tipo de ataque, los atacantes utilizan herramientas automatizadas o scripts para enviar una gran cantidad de solicitudes de inicio de sesión a la página de inicio de sesión de WordPress, probando diferentes combinaciones de nombres de usuario y contraseñas en un corto período de tiempo.

El objetivo principal de los ataques de fuerza bruta en WordPress es encontrar una combinación válida de nombre de usuario y contraseña para obtener acceso no autorizado a una cuenta de usuario legítima. Una vez que los atacantes obtienen acceso, pueden llevar a cabo diversas actividades maliciosas, como inyectar código malicioso, publicar contenido no deseado, manipular la configuración del sitio o incluso obtener información personal o confidencial almacenada en el sitio web.

Estos ataques se basan en la premisa de que muchas personas usan nombres de usuario y contraseñas débiles o predecibles, lo que los hace vulnerables a ser adivinados o descubiertos mediante métodos automatizados. Los atacantes pueden probar una amplia gama de combinaciones de nombres de usuario y contraseñas, utilizando diccionarios de palabras comunes, combinaciones alfanuméricas, patrones predecibles o incluso contraseñas filtradas obtenidas de forma clandestina o bien vulnerando la privacidad de otros sitios.

 Tipos de ataques de fuerza bruta en WordPress


En WordPress, al igual que cualquier otro sitio web, los ataques de fuerza bruta pueden representarse bajo los siguientes casos.

Ataque simple de fuerza bruta: en este tipo de ataque, se prueban todas las posibles combinaciones de contraseñas en un orden secuencial. Comienza con una contraseña simple y continúa hasta probar todas las combinaciones posibles. Esto puede ser un proceso lento y requiere mucho tiempo, especialmente si la contraseña es compleja. Sin embargo, los atacantes utilizan herramientas automatizadas que pueden realizar estos intentos repetitivos de forma rápida y eficiente.

Ataque de diccionario: los atacantes en este caso utilizan un diccionario de palabras comunes, contraseñas filtradas o combinaciones predefinidas de palabras y las prueban una tras otra. En lugar de probar todas las combinaciones posibles, se basa en la premisa de que muchas personas usan palabras comunes o contraseñas fáciles de recordar. Los diccionarios que se emplean en estos ataques pueden ser generales o específicos para un idioma o industria en concreto.

Ataque híbrido de fuerza bruta: este tipo de ataque combina elementos de un ataque de fuerza bruta simple y un ataque de diccionario. Los atacantes prueban diferentes combinaciones de caracteres alfanuméricos y símbolos, así como palabras comunes y patrones predefinidos. Este enfoque puede aumentar las posibilidades de éxito al incluir tanto combinaciones simples como palabras más complejas.

Ataque de fuerza bruta inversa / Pulverización de contraseñas: en este caso, los atacantes prueban una contraseña específica en una lista de nombres de usuario o cuentas. En lugar de probar múltiples contraseñas con un nombre de usuario, prueban una única contraseña con diferentes nombres de usuario. Esto puede ser efectivo si conocen o han obtenido previamente una contraseña específica y desean encontrar la cuenta asociada a ella.

Relleno de credenciales: por último, este tipo de ataque no implica necesariamente un ataque de fuerza bruta, pero está relacionado con la seguridad de las contraseñas. En lugar de adivinar o probar contraseñas, los atacantes utilizan combinaciones automatizadas de nombres de usuario y contraseñas filtradas o generadas para acceder a las cuentas. Se basa en la premisa de que muchas personas reutilizan las mismas contraseñas en varios sitios web, lo que permite a los atacantes acceder a múltiples cuentas usando las credenciales filtradas de alguna otra plataforma.

 ¿Cómo evitar ataques de fuerza bruta en WordPress?


Para evitar ataques de fuerza bruta en WordPress y fortalecer la seguridad de nuestro sitio web, podemos tener presentes varias recomendaciones, aunque puedan parecer obvias, de igual manera vale la pena aplicarlas. Recordemos que con más factores de seguridad le resultará mucho más complicado al atacante lograr su cometido.

Utilizar nombres de usuario y contraseñas seguras: debemos procurar utilizar nombres de usuario únicos y evita usar nombres comunes o predecibles. Además, asegurarnos de cambiar a contraseñas en WordPress que sean largas y complejas que contengan una combinación de letras mayúsculas y minúsculas, números y caracteres especiales.

ataque-fuerza-bruta-wp-01

Cambiar el nombre de usuario en WordPress: debemos evitar utilizar el nombre de usuario predeterminado “admin”. En su lugar, al crear un nuevo usuario, su nombre debe tener una complejidad considerable, en el caso de existir un usuario de nombre “admin” debe ser editado o en su defecto eliminado.

Utilizar complementos de seguridad: existen una gran variedad de plugin centrados en la seguridad en WordPress que podemos instalar. Estos plugins pueden proporcionar funciones como detección de ataques de fuerza bruta, bloqueo de direcciones IP sospechosas, monitoreo de actividad maliciosa y protección adicional en capas.

Más adelante en el artículo vamos a describir los mejores exponentes en este apartado para que entre ellos puedas escoger el que más se adapte a tus necesidades.

Mantener todo el ecosistema actualizado: debemos asegurarnos de mantener todos los aspectos de nuestro sitio web al día, actualizar WordPress a su última versión y todos los complementos y temas instalados. Las actualizaciones a menudo incluyen parches de seguridad que corrigen posibles vulnerabilidades y brechas que pueden dejar versiones anteriores.

ataque-fuerza-bruta-wp-02

Implementar autenticación de dos factores (2FA): el habilitar la autenticación de dos factores en nuestro sitio web de WordPress (2FA WordPress). Esto agrega una capa adicional de seguridad al requerir un segundo factor de autenticación, como un código enviado a través de SMS o una aplicación de autenticación, además de la contraseña.

Bloquear las direcciones IP no autorizadas: el restringir el acceso a WordPress mediante IP es una medida efectiva para aumentar la seguridad de nuestro sitio web. Al bloquear IPs sospechosas o conocidas por realizar actividades maliciosas, puedes prevenir el acceso no autorizado y reducir la probabilidad de ataques.

Cambiar URL de acceso: el cambiar URL de acceso WordPress es una medida adicional para proteger nuestro sitio web contra ataques de fuerza bruta. Al modificar la URL predeterminada del formulario de inicio de sesión, añadimos un nivel más de dificultad que los atacantes encuentren el formulario y reduces la exposición a posibles ataques.

Realizar copias de seguridad regulares: el hacer copias de seguridad en WordPress de manera periódica son un respaldo tangible de nuestro sitio web y su base de datos. En caso de que ocurra un ataque exitoso, podrás restaurar tu sitio a un estado anterior sin perder datos importantes.

Educar a los usuarios: es nuestro deber como creadores del sitio web el notificar a los usuarios sobre las buenas prácticas de seguridad, como la elección de contraseñas fuertes, la importancia de no compartir credenciales y la detección de correos electrónicos de phishing.

Al implementar estas medidas, sin duda vamos a fortalecer de forma significativa la seguridad de nuestro sitio web en WordPress y así reducir el riesgo de ataques de fuerza bruta.

 ¿Cómo protegernos de ataques de fuerza bruta en WordPress?


Si bien hemos planteado medidas para evitar los posibles ataques de fuerza bruta en WordPress, hay otras acciones más concretas que podemos implementar para aumentar la protección de nuestro sitio web.

 Desactivar alertas en los intentos de inicio de sesión


Cuando deseamos iniciar sesión desde el apartado de wp-login en WordPress, si nos equivocamos, por lo general recibimos una alerta que nos da un indicio de en qué información ingresada pudimos habernos equivocado.

Este indicio puede ser contraproducente aunque parezca inofensivo, como hemos explicado ya, uno de los métodos de ataques de fuerza bruta más comunes se basan en conocer ya sea el usuario y alternar con múltiples contraseñas o viceversa.

ataque-fuerza-bruta-wp-03

En este caso hemos colocado el correo electrónico correcto, pero la contraseña es erronea, este puede ser un indicio bastante claro para el atacante al validar de que, en efecto, el correo sí es válido y con esta información puede enfocar sus ataques de una forma más especifica.

Para solucionar este caso vamos a emplear el uso de un fragmento de código muy sencillo, el cual podemos agregarlo al archivo functions.php de nuestro tema activo (preferiblemente que sea un tema hijo de WordPress) o bien utilizando algún plug-in que gestione códigos personalizados evitando la edición de archivos como puede ser el caso de Code Snippets.

ataque-fuerza-bruta-wp-04

(Visita el plugin haciendo clic en la imagen ↑)

El fragmento de código a utilizar es el siguiente:

function no_wordpress_errors(){
  return 'Error, verifica la información ingresada';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

ataque-fuerza-bruta-wp-05

Expliquemos un poco el código para comprenderlo mejor, primero definimos una función llamada no_wordpress_errors(). Esta función devuelve un mensaje de error personalizado que dice “Error, verifica la información ingresada”. Donde este mensaje puede ser modificado según nuestras necesidades.

Más abajo prosigue el filtro login_errors, el cual se emplea para modificar el mensaje de error mostrado en el inicio de sesión.

La función add_filter() acepta dos argumentos: el nombre del gancho (login_errors) y el nombre de la función de devolución (no_wordpress_errors) que se ejecutará cuando se active el gancho. En este caso, cuando se active el gancho login_errors, se ejecutará la función no_wordpress_errors() y se mostrará el mensaje de error personalizado en lugar del mensaje de error predeterminado de WordPress.

El resultado final recreando el mismo caso anterior sería el siguiente.

ataque-fuerza-bruta-wp-06

 Implementar plugins de seguridad


Como citamos anteriormente en el artículo, existen una gran variedad de plugins populares, los cuales por defecto presentan varias herramientas realmente potentes que pueden ayudarnos a prevenir los ataques de fuerza bruta en WordPress.

 Stop User Enumeration


ataque-fuerza-bruta-wp-07

(Visita el plugin haciendo clic en la imagen ↑)

El plugin Stop User Enumeration está diseñado para detectar y prevenir que los hackers escaneen tu sitio en busca de nombres de usuarios.

La enumeración de usuarios es un tipo de ataque en el que los atacantes intentan descubrir los nombres de inicio de sesión de los usuarios de nuestro sitio web. Esto a menudo es seguido por ataques de fuerza bruta en las contraseñas. Stop User Enumeration ayuda a bloquear este ataque inicial y te permite registrar las direcciones IP que lanzan estos ataques para bloquear futuros intentos.

Herramientas como WPSCAN son utilizadas por hackers éticos y se esfuerzan por encontrar los nombres de inicio de sesión de los usuarios. Sin embargo, este plugin está diseñado para reducir el uso de estas herramientas cuando se usan sin permiso. Además, cuando se combina con fail2ban, puede bloquear automáticamente esos intentos en el cortafuegos del servidor.

 Sucuri Security


ataque-fuerza-bruta-wp-08

(Visita el plugin haciendo clic en la imagen ↑)

Sucuri Security es un popular plugin de seguridad para WordPress que proporciona una amplia gama de características y funcionalidades para proteger el sitio web contra ataques maliciosos y mantenerlo seguro. A continuación enlistamos de forma global algunas de las características clave que ofrece:

Escaneo de seguridad: Sucuri Security realiza escaneos de seguridad en busca de malware, virus, scripts maliciosos y otros posibles problemas de seguridad en nuestro sitio web. Envía una notificación si encuentra alguna amenaza y nos proporciona de instrucciones para solucionar los problemas detectados.

Firewall de aplicaciones web (WAF): el WAF de Sucuri actúa como una capa de protección entre el sitio web y los posibles ataques. Filtra y bloquea el tráfico malicioso, incluidos ataques de fuerza bruta, intentos de inyección de código y otros tipos de ataques conocidos.

Protección contra ataques de fuerza bruta: Sucuri Security ayuda a prevenir los ataques de fuerza bruta mediante la configuración de límites en el número de intentos de inicio de sesión permitidos y bloqueando automáticamente direcciones IP sospechosas.

Monitoreo de integridad del archivo: el plugin realiza un seguimiento de los cambios en los archivos del sitio web y te alerta si detecta modificaciones inesperadas. Esto ayuda a detectar y revertir cualquier alteración no autorizada.

Protección contra DDoS: Sucuri ofrece protección contra ataques de denegación de servicio distribuido (DDoS) que pueden afectar la disponibilidad del sitio web. Ayuda a mitigar estos ataques y mantener el sitio en línea.

Notificaciones y registros de seguridad: el plugin tal como mencionamos en puntos anteriores, envía notificaciones por correo electrónico sobre actividades sospechosas, como intentos de inicio de sesión fallidos o cambios en la configuración del sitio. También registra eventos de seguridad para un análisis detallado posterior.

Análisis de reputación del sitio: Sucuri Security verifica si el sitio web ha sido incluido en listas negras de motores de búsqueda o servicios de seguridad y te proporciona información para solucionar cualquier problema de reputación.

 iThemes Security


ataque-fuerza-bruta-wp-09

(Visita el plugin haciendo clic en la imagen ↑)

iThemes Security es otro plugin de seguridad para WordPress bastante conocido que ayuda a proteger el sitio web contra posibles amenazas y mejorar su seguridad en general. A continuación, vamos a describir algunas de las características clave que ofrece:

Protección contra ataques de fuerza bruta: iThemes Security permite limitar el número de intentos de inicio de sesión y bloquear direcciones IP después de un número determinado de intentos fallidos. Esto ayuda a prevenir los ataques de fuerza bruta.

Detección y bloqueo de bots maliciosos: el plugin utiliza una lista de bots maliciosos conocidos para bloquear su acceso al sitio web. También puede detectar y bloquear bots que intenten realizar exploraciones de directorios y archivos en busca de vulnerabilidades.

Escaneo de seguridad: iThemes Security realiza escaneos de seguridad en busca de malware, virus y otros archivos sospechosos en el sitio web. También verifica la integridad de los archivos del núcleo de WordPress y de los temas y complementos instalados.

Protección de archivos sensibles: el plugin protege archivos críticos del sitio web, como el archivo wp-config.php, deshabilitando el acceso directo a ellos a través del navegador. Esto ayuda a prevenir posibles filtraciones de información confidencial.

Protección de la base de datos: iThemes Security ofrece opciones para ocultar el prefijo de tabla de la base de datos de WordPress y realizar copias de seguridad de la base de datos en caso de que sea necesario restaurarla.

Registros de actividad y notificaciones: el plugin registra eventos de seguridad y actividad en el sitio web, como cambios en archivos o intentos de inicio de sesión. También puede enviarnos notificaciones por correo electrónico sobre actividades sospechosas.

Restricción de acceso por dirección IP: iThemes Security nos permite bloquear o permitir el acceso a nuestro sitio web desde direcciones IP específicas o rangos de direcciones IP.

Protección de fuerza bruta XML-RPC: el plugin ofrece opciones para limitar o desactivar la funcionalidad XML-RPC, que puede ser utilizada por atacantes para llevar a cabo ataques de fuerza bruta.

 Wordfence Security


ataque-fuerza-bruta-wp-10

(Visita el plugin haciendo clic en la imagen ↑)

Wordfence Security es una alternativa más de plugin de seguridad para WordPress que proporciona una amplia gama de características para proteger nuestro sitio web contra amenazas y mejorar su seguridad en general. Vamos a describir algunas de las características más relevantes que ofrece:

Firewall de aplicaciones web (WAF): Wordfence Security incluye un firewall de aplicaciones web que monitorea y filtra el tráfico HTTP y HTTPS en busca de amenazas y ataques maliciosos. Ayuda a bloquear ataques de fuerza bruta, inyección de código, XSS y otros ataques comunes.

Escaneo de seguridad: el plugin realiza escaneos exhaustivos en busca de malware, virus y otras amenazas en los archivos del núcleo de WordPress, temas y complementos. También verifica la integridad de los archivos y la existencia de posibles vulnerabilidades.

Protección de inicio de sesión: Wordfence Security permite establecer límites en el número de intentos de inicio de sesión permitidos y bloquear automáticamente direcciones IP sospechosas. También admite la autenticación de dos factores (2FA) para una capa adicional de seguridad en el inicio de sesión.

Monitoreo en tiempo real: el plugin proporciona monitoreo en tiempo real de las actividades en el sitio web, incluidos los intentos de inicio de sesión fallidos, escaneos de archivos y cambios en la configuración. Nos notifica de inmediato si se detecta alguna actividad sospechosa.

Bloqueo de ataques de fuerza bruta: Wordfence Security incluye herramientas avanzadas para bloquear ataques de fuerza bruta en tiempo real. Puede bloquear direcciones IP ofensivas y utilizar tecnología de aprendizaje automático para identificar y bloquear patrones de ataque.

Protección de la red: el plugin puede proteger tu sitio web contra ataques a nivel de red, como intentos de exploración de puertos y ataques de denegación de servicio distribuido (DDoS). Ayuda a mitigar estos ataques y mantener el sitio en línea.

Listas de bloqueo y control de acceso: Wordfence Security incluye listas de bloqueo de direcciones IP conocidas por ser maliciosas. También te permite configurar reglas personalizadas para bloquear direcciones IP o rangos de direcciones IP específicos.

Herramientas de seguridad adicionales: el plugin ofrece diversas herramientas de seguridad, como la ocultación de información del generador de WordPress, la protección contra ataques de fuerza bruta en el panel de administración, el escaneo de reputación de IP y dominios, y la capacidad de monitorear la lista de correos electrónicos filtrados para detectar posibles violaciones de datos.

 Conclusión


Pese a lo obvio, es totalmente esencial protegerse de los ataques de fuerza bruta en WordPress debido a varias razones importantes. Estos ataques pueden comprometer las cuentas de usuario legítimas, lo que puede resultar en acciones maliciosas en el sitio web y la pérdida de información confidencial.

Además, la integridad del sitio web se ve amenazada, ya que los atacantes pueden realizar cambios no autorizados en el contenido y la configuración. Los ataques de fuerza bruta también consumen recursos del servidor y pueden tanto entorpecer el comportamiento normal del sitio como dañar su reputación en línea.

Por lo tanto, es crucial tomar medidas preventivas, como usar contraseñas fuertes, limitar los intentos de inicio de sesión, utilizar complementos de seguridad y mantener el software actualizado para protegerse contra estos ataques y mantenernos lo más preparados posible contra cualquier contingencia y atacantes maliciosos.

También te puede interesar:

¿Te ha resultado útil este artículo?

Promo hosting noviembre