Una guía completa para la protección de fuerza bruta de WordPress (+4 mejores complementos)
Publicado: 2022-08-09Los ataques de fuerza bruta ocurren cuando los piratas informáticos intentan acceder a los archivos de su sitio probando constantemente nuevas contraseñas. Si tienen éxito, podrían robar sus datos privados, agregar malware o incluso eliminar su sitio web por completo.
Afortunadamente, puedes prevenir fácilmente estos ataques de fuerza bruta. Simplemente actualizando su información de inicio de sesión o habilitando la autenticación de dos factores, puede dificultar que los piratas informáticos ingresen a su sitio web. Otro método efectivo es instalar un complemento de protección de fuerza bruta como Jetpack.
En esta publicación, explicaremos qué son los ataques de fuerza bruta y cómo puede prevenirlos. Luego, recomendaremos los mejores complementos para la protección de fuerza bruta.
Una introducción a los ataques de fuerza bruta
Los ataques de fuerza bruta ocurren cuando los piratas informáticos usan prueba y error para acceder a su sitio web. Esto generalmente implica adivinar su información de inicio de sesión utilizando un software automatizado. Esencialmente, los piratas informáticos probarán muchas contraseñas diferentes y combinaciones de nombres de usuario hasta que encuentren la suya.
Otras formas de piratería suelen explotar vulnerabilidades en su sitio web de WordPress. Por ejemplo, los piratas informáticos pueden acceder a sus datos a través de software, complementos o temas desactualizados. Incluso una versión antigua de PHP puede dejar tu sitio vulnerable.
Por otro lado, los ataques de fuerza bruta se basan en credenciales de inicio de sesión débiles. Si tiene una contraseña adivinable como "123456", los piratas informáticos pueden usar un software automatizado para ingresar a su sitio.
Los ataques de fuerza bruta son más comunes de lo que piensas. De hecho, se están convirtiendo en una amenaza mayor que nunca. Hacia fines de 2021, la tasa de ataques de fuerza bruta aumentó en un 160 por ciento.
Si su sitio web sufre un ataque de fuerza bruta, los piratas informáticos pueden:
- Robar tus datos privados
- Agregue malware a su sitio
- Disminuya su credibilidad y/o clasificaciones de búsqueda
- Elimina tu contenido por completo
No hace falta decir que querrá proteger su sitio web contra estos peligros. Aunque la configuración predeterminada de WordPress no ofrece protección adicional contra los ataques de fuerza bruta, puede tomar algunas medidas para evitar que sucedan.
Cómo bloquear ataques de fuerza bruta en WordPress
Ahora que conoce los ataques de fuerza bruta, analicemos cómo proteger su sitio web de WordPress de ellos.
Paso 1: actualice su nombre de usuario
Dado que los ataques de fuerza bruta implican adivinar la información de inicio de sesión, puede proteger su sitio web de WordPress actualizando sus credenciales. Primero, debe considerar elegir un nombre de usuario único.
En versiones anteriores de WordPress, el nombre de usuario predeterminado era "admin". Ahora, los nuevos titulares de cuentas pueden elegir sus nombres de usuario cuando inician sesión por primera vez. Pero es posible que deba actualizar su nombre de usuario si tiene una cuenta anterior.
Para ver cuál es su nombre de usuario actual, abra su panel de WordPress. Luego, navegue a Usuarios → Perfil . Encontrará su nombre de usuario en la sección Nombre .
Si ya tiene un nombre de usuario único, vaya a los siguientes pasos. Si ve admin como su nombre de usuario, probablemente querrá cambiarlo. Desafortunadamente, no podrá editar directamente su perfil en el tablero.
Una de las formas más sencillas de cambiar su nombre de usuario de WordPress es crear un nuevo usuario. Luego, puede asignarle un nombre de usuario único y otorgarle los mismos privilegios administrativos. El único inconveniente de este método es que tendrás que usar una nueva dirección de correo electrónico.
Primero, vaya a Usuarios → Agregar nuevo . En esta página, cree un nuevo nombre de usuario e ingrese su dirección de correo electrónico. Asegúrese de configurar el rol de usuario como Administrador .
Si desea utilizar la misma dirección de correo electrónico, simplemente puede agregar un signo más con letras adicionales después del nombre de usuario. Por ejemplo, si su dirección de correo electrónico normal es "[email protected]", puede usar "[email protected]". WordPress considerará esto como una nueva dirección de correo electrónico, pero utilizará la misma bandeja de entrada.
A continuación, deberá cerrar sesión en WordPress y usar el nuevo nombre de usuario para volver a iniciar sesión. Luego, vaya a la página Todos los usuarios y haga clic en eliminar debajo de la función de usuario administrador .
Durante el proceso de eliminación, deberá mover su contenido al nuevo nombre de usuario. Para hacer esto, seleccione Atribuir todo el contenido a [nuevo nombre de usuario] . Este es un paso crítico; de lo contrario, se eliminará su contenido.
Por último, haz clic en Confirmar eliminación . Si desea comenzar a usar la misma dirección de correo electrónico asignada al nombre de usuario del administrador , puede actualizarla ahora.
Si desea cambiar su nombre de usuario existente, deberá hacerlo a través de su base de datos de WordPress. Tenga en cuenta que realizar cambios en la base de datos puede ser peligroso, por lo que es mejor hacerlo si ya tiene experiencia en esta área. Para cambiar su nombre de usuario, siga los siguientes pasos:
- Haga clic en la herramienta phpMyAdmin en el cpanel de su proveedor de alojamiento. La ubicación exacta puede variar según su anfitrión.
- Haga clic en la base de datos de su sitio de WordPress en el panel de la izquierda. Esto abrirá las tablas de su base de datos.
- Haga clic en la tabla wp_users . El prefijo "wp_" está configurado de forma predeterminada, pero es posible que su host lo haya cambiado por otro. Por ejemplo, la tabla puede llamarse "janb_users".
- Busque el nombre de usuario que desea cambiar en el lado derecho, en este caso, "Administrador", y haga clic en Editar.
- En el campo user_login , escriba el nuevo nombre de usuario que desee establecer.
- Haga clic en el botón Ir .
¡Ahora puede iniciar sesión con el nuevo nombre de usuario!
Paso 2: usa una contraseña segura
Otra forma de proteger su sitio contra ataques de fuerza bruta es usar una contraseña segura. Dado que los piratas informáticos usan botnets (redes de robots) para adivinar contraseñas al azar, puede ser útil tener una con una cadena única de números y letras.
Estas son las características de una contraseña segura:
- Tiene entre diez y 50 caracteres.
- Utiliza letras mayúsculas y minúsculas.
- Utiliza números y caracteres especiales.
- Es único de las contraseñas utilizadas para otras cuentas o sitios web.
Para actualizar su contraseña de WordPress, vaya a Usuarios → Perfil . Luego, desplácese hacia abajo hasta Administración de cuentas .
A continuación, haga clic en Establecer nueva contraseña . Una vez que haga esto, WordPress generará automáticamente una contraseña segura para usted. Esta será una credencial compleja que es difícil de adivinar.
Puede utilizar esta contraseña o crear la suya propia. A medida que escribe, WordPress le indicará qué tan fuerte o débil es su nueva contraseña.
Para asegurarse de que su nueva contraseña sea segura y aleatoria, puede usar un generador de contraseñas. Esta herramienta puede crear automáticamente una contraseña con letras mayúsculas y minúsculas, así como números y símbolos.
Después de pegar su nueva contraseña en el cuadro de texto, desplácese hasta la parte inferior de la página. Haga clic en Actualizar perfil para guardar sus cambios. Para obtener la máxima protección contra los ataques de fuerza bruta, considere cambiar su contraseña de WordPress cada cuatro meses.
Paso 3: Agregar autenticación de dos factores
Cuando inicia sesión en su sitio de WordPress con solo una contraseña, esto se denomina autenticación de un solo paso. También puede implementar la autenticación de dos pasos o de dos factores.
Con la autenticación en dos pasos, proporcionará dos formas de verificación para iniciar sesión en su sitio. Seguirá ingresando su contraseña, pero también debe confirmar su identidad en su teléfono u otro dispositivo.
Jetpack facilita agregar autenticación segura a su sitio web. Primero, instala y activa Jetpack en WordPress. Luego, en el panel de control de Jetpack, haz clic en Administrar la configuración de seguridad .
Desplácese hasta la parte inferior de la página y busque la sección de inicio de sesión de WordPress.com . Aquí, active Requerir cuentas para usar la autenticación en dos pasos de WordPress.com .
Luego, busque la página Autenticación en dos pasos en la pestaña Seguridad . Puede elegir configurar su autenticación de dos factores con una aplicación o SMS.
Si elige la primera opción, deberá descargar una aplicación como Google Authenticator (iPhone | Android). WordPress proporcionará un código QR, que puede escanear con la aplicación y luego ingresar el código generado.
Cuando haga clic en Configurar mediante SMS , deberá ingresar su número de teléfono. Una vez que verifique el código enviado a su teléfono, puede comenzar a usar la autenticación de dos factores.
¡Ahora puede verificar su identidad cada vez que inicie sesión en WordPress! Esta configuración puede ofrecer una mayor protección contra los ataques de fuerza bruta.
Paso 4: instale un complemento de protección contra ataques de fuerza bruta
Después de tomar algunos pasos básicos para proteger su página de inicio de sesión, también puede beneficiarse de la instalación de un complemento de protección de fuerza bruta. La herramienta adecuada puede bloquear automáticamente los ataques de fuerza bruta antes de que impacten en su sitio.
Mientras intenta elegir el mejor complemento para la protección de fuerza bruta, debe tener en cuenta algunos factores. Para proteger su sitio web, querrá encontrar un complemento que funcione en segundo plano para prevenir y detener los ataques de fuerza bruta.
Aquí hay algunas características básicas que debe buscar en un complemento de protección de fuerza bruta:
- Intentos de inicio de sesión limitados
- Autenticación de dos factores
- un cortafuegos
- lista de bloqueo de direcciones IP
Además, muchos complementos de protección de fuerza bruta brindan seguridad general para su sitio web. Por ejemplo, Jetpack Security no solo previene los ataques de fuerza bruta, sino que también realiza escaneos de malware, crea copias de seguridad automáticas y filtra el spam.
Jetpack es también uno de los complementos de protección de fuerza bruta más fáciles de configurar. Después de instalar y activar Jetpack, puede activar la protección de fuerza bruta en el tablero.
¡Con este clic, puede habilitar Jetpack para evitar ataques de fuerza bruta!
Los cuatro mejores complementos de WordPress para la protección contra ataques de fuerza bruta
La instalación de un complemento puede ser la forma más efectiva de prevenir ataques de fuerza bruta. Aún así, es posible que no sepa qué opción es la adecuada para su sitio web. Aunque hay muchos complementos de protección de fuerza bruta, ¡cuatro se destacan como los mejores!
1. mochila propulsora
Cuando descarga Jetpack, puede acceder a la protección contra ataques de fuerza bruta y muchas otras funciones de seguridad. Jetpack también ofrece herramientas de rendimiento y crecimiento, para que puedas elegir un plan perfecto para tus necesidades.
Si la protección contra ataques de fuerza bruta es todo lo que necesita, ¡la buena noticia es que es completamente gratis!
Características clave de la protección contra ataques de fuerza bruta de Jetpack :
- Activación con un clic
- IP permitidas
- La capacidad de ver el número de ataques bloqueados.
- Autenticación de dos factores
Ventajas :
- Si accidentalmente no puede acceder a su página de inicio de sesión debido a las medidas de protección de Jetpack, puede enviar un enlace de inicio de sesión especial a su dirección de correo electrónico.
- Jetpack compara cada nueva dirección IP con su base de datos global de direcciones maliciosas.
- Con Jetpack, también puede acceder a medidas de seguridad ampliadas, como la supervisión del tiempo de inactividad, las copias de seguridad del sitio y los análisis de malware.
Contras :
- Jetpack requiere que te conectes a una cuenta de WordPress.com.
- Si su servidor está mal configurado, es posible que no devuelva una dirección IP, lo que puede desactivar la función de protección de fuerza bruta.
Facilidad de uso :
Con Jetpack, puede implementar la prevención de ataques de fuerza bruta en un solo paso. Después de la instalación, simplemente visite el panel principal de Jetpack para activar la función. Luego, simplemente puede permitir que Jetpack haga el trabajo sin ningún tipo de mantenimiento.
Precios :
Cualquier usuario de WordPress puede comenzar a usar la protección de fuerza bruta de forma gratuita con Jetpack.
2. Sucurí
Sucuri es una herramienta especializada en el monitoreo, protección y rendimiento de sitios web. Al implementar un Firewall de aplicaciones web (WAF), Sucuri puede bloquear ataques de fuerza bruta en su sitio web.
Características clave :
- Cortafuegos de aplicaciones web (WAF)
- Limita los intentos de inicio de sesión
- Herramientas automatizadas para bloquear bots
- lista blanca
- Autenticación de dos factores, CAPTCHA y códigos de acceso
Ventajas :
- Sucuri incluye bloqueo geográfico para que pueda bloquear a todos los visitantes de rangos de IP específicos. Esta característica puede prevenir ataques de fuerza bruta de ciertos países.
- El firewall de Sucuri desinfecta el tráfico incluso antes de que llegue a su sitio web de WordPress.
Contras :
- La versión gratuita de Sucuri no proporciona prevención de fuerza bruta. Para acceder a un WAF, deberá comprar una suscripción.
- Aunque Sucuri es una opción efectiva para la prevención de ataques de fuerza bruta, es costosa. Hay otros complementos gratuitos con características similares.
Facilidad de uso :
En comparación con otros complementos, Sucuri tiene un proceso de configuración más complicado. Para comenzar a usar Sucuri, deberá comprar un plan y configurar un firewall. Esto implica integrar su cuenta de cPanel y cambiar manualmente sus registros DNS.
Precios :
Con Sucuri, la protección de fuerza bruta requiere un plan premium. Esta característica viene con todas sus opciones de suscripción, que comienzan en $199.99 por año.
3. Seguridad de Wordfence
Wordfence Security es un complemento que proporciona un firewall y un escáner de seguridad, todo en uno. Esta herramienta ofrece muchas formas de seguridad de inicio de sesión, incluida la autenticación de dos factores, direcciones IP incluidas en la lista de permitidos y claves reCAPTCHA.
Características clave :
- Limita los intentos de inicio de sesión
- Registra los intentos de inicio de sesión exitosos y fallidos
- Lista de bloqueo de IP continuamente actualizada
- Herramientas manuales de bloqueo
- Autenticación de dos factores y reCAPTCHA
Ventajas :
- Dado que viene con un firewall de aplicaciones web, Wordfence puede identificar y bloquear el tráfico malicioso en su sitio.
- Si alguna contraseña administrativa se ve comprometida, puede bloquear cualquier inicio de sesión de ese usuario.
- Wordfence realiza escaneos de seguridad programados cada tres días cuando usa la versión gratuita.
Contras :
- Para la versión gratuita de Wordfence, los datos generados se retrasan 30 días. Para recibir inteligencia de amenazas en tiempo real, deberá actualizar a un plan pago.
- El complemento gratuito tampoco le permite programar manualmente el escaneo.
Facilidad de uso :
Wordfence proporciona un proceso de configuración muy simple para usuarios nuevos. Después de instalar y activar el complemento gratuito, se le pedirá que ingrese una dirección de correo electrónico donde Wordfence puede enviar alertas. Luego, puede agregar protección de fuerza bruta implementando un firewall y funciones de seguridad de inicio de sesión.
Precios :
Incluso la versión gratuita de Wordfence Security viene con protección de fuerza bruta incorporada para sitios ilimitados. Si necesita soporte avanzado, puede comprar un plan premium. Estos comienzan en $ 99 por año.
4. iTemas Seguridad
iThemes Security garantiza que puede comenzar a proteger su sitio web de ataques de fuerza bruta en menos de diez minutos. Con este complemento, puede personalizar rápidamente su página de inicio de sesión con autenticación de dos factores y requisitos de contraseña. Además, iThemes agregará automáticamente su sitio a su Red de protección de fuerza bruta.
Características clave :
- Máximo de intentos de inicio de sesión tanto para hosts como para usuarios
- Protección de fuerza bruta local y de red
- Gráficos de ataques de fuerza bruta recientes
- La capacidad de establecer requisitos de contraseña para todos los usuarios
- Autenticación de dos factores
Ventajas :
- Uno de los principales beneficios de iThemes Security es su red de protección de fuerza bruta. Registra actividad sospechosa en un millón de sitios web diferentes, identificando direcciones IP maliciosas.
- Puede establecer un número máximo de intentos de inicio de sesión para su sitio web, lo que puede evitar la suposición automática de inicio de sesión.
Contras :
- Si desea agregar funciones de seguridad adicionales a su página de inicio de sesión, como un campo reCAPTCHA, deberá comprar el complemento premium.
- El complemento gratuito no incluye informes de seguridad en tiempo real.
Facilidad de uso :
Después de la instalación, el complemento iThemes lo llevará a través de un proceso de configuración paso a paso. Aquí, puede habilitar la protección de fuerza bruta local y de red. También puede optar por agregar autenticación de dos factores para mayor seguridad.
Precios :
iThemes Security es un complemento gratuito de WordPress. Si desea utilizar el panel de seguridad en tiempo real, puede comprar la versión premium, a partir de $ 80 por año.
Comparación de los principales complementos que bloquean los ataques de fuerza bruta
mochila propulsora | Sucuri | Seguridad de Wordfence | iThemes Seguridad | |
Limite los intentos de inicio de sesión | Sí | Sí | Sí | Sí |
Autenticación de dos factores | Sí | Sí | Sí | Sí |
Informes en tiempo real | Sí | Sí | Sí, con extensión premium | Sí, con extensión premium |
bloqueo de IP | Sí | Sí | Sí | Sí |
reCAPTCHA | Sí | Sí | Sí | Sí, con extensión premium |
Protección de fuerza bruta de la red | Sí | No | No | Sí |
Facilidad de uso | Activación en un solo paso | Requiere cambiar manualmente los registros DNS | Pestañas simples para administrar su firewall, escaneos y seguridad de inicio de sesión | Asistente de configuración para configurar la seguridad de inicio de sesión y los grupos de usuarios |
Precio | Libre | $199.99-$499.99 por año | Gratis-$950 por año | Gratis-$199 por año |
Preguntas frecuentes (FAQ)
Ahora que sabe todo sobre los ataques de fuerza bruta y cómo prevenirlos, ¡respondamos algunas preguntas!
¿Cuánto cuesta la protección de fuerza bruta en WordPress?
La protección de fuerza bruta puede ser gratuita si descarga un complemento de protección de fuerza bruta como Jetpack. Otros proveedores como Sucuri requieren una suscripción paga.
¿Cómo puedo configurar la protección contra ataques de fuerza bruta en WordPress?
La configuración de la protección de fuerza bruta variará según el proveedor que elija. Algunas opciones requieren que configure un firewall, lo que puede ser complicado. Alternativamente, Jetpack es un complemento que simplifica este proceso. Después de la activación, puede activar la protección de fuerza bruta con solo una configuración.
¿Qué más puedo hacer para proteger mi sitio de WordPress?
Hay muchas medidas generales de seguridad que puede tomar para proteger su sitio web. Primero, considere realizar actualizaciones constantes para el software principal, los temas y los complementos. También puede mantener sus datos seguros haciendo una copia de seguridad de su sitio web.
Otra medida de seguridad simple es bloquear el spam. También es una buena idea eliminar los complementos no utilizados y monitorear la actividad de su sitio. Finalmente, asegúrese de escanear regularmente en busca de malware y tome medidas inmediatas si encuentra algo.
Asegure su sitio web contra ataques de fuerza bruta
Sin la protección adecuada, su sitio web puede ser víctima de ataques de fuerza bruta. Afortunadamente, un complemento de protección de fuerza bruta es una simple adición a su sitio. Con las medidas de seguridad adecuadas, puede evitar que los piratas informáticos roben sus datos.
Para repasar, aquí se explica cómo implementar la protección contra ataques de fuerza bruta en WordPress:
- Actualice su nombre de usuario.
- Utilice una contraseña segura.
- Agregue la autenticación de dos factores.
- Instale un complemento de protección contra ataques de fuerza bruta como Jetpack.
¡Después de seguir estos pasos, podrá mantener su información privada y segura! Luego, solo es cuestión de mantener su software actualizado, hacer una copia de seguridad de sus archivos y monitorear su sitio web en busca de spam y actividad sospechosa.