Ataque masivo de fuerza bruta en sitios WordPress

En Noticias, Webmasters por

Estos días diferentes blogs WordPress son víctimas de ataques de fuerza bruta para acceder al panel de administrador (a través del panel de login wp-login.php) y si consiguen acceder inyectan código malicioso (malware) en el tema que estés usando.

WordPress hack ataque de fuerza bruta

El ataque de fuerza bruta proviene de una red de botnets de varias localizaciones del mundo y emplea como usuario “admin” combinándolo con multitud de passwords. Por el momento ya se han localizado más de 10000 ips diferentes. Este ataque puede ser un inconveniente si has elegido un password muy sencillo o incluso en servidores muy pequeños puede llegar saturar el servidor.

Cómo proteger WordPress frente a ataques de fuerza bruta.

El método más sencillo y a la vez más eficaz es elegir un password complejo que emplee caracteres especiales. Una buena recomendación a la hora de seleccionar un password es emplear símbolos específicos de algún lenguaje y que no existan en el inglés, por ejemplo nuestra querida Ñ. La elección de estos símbolos se debe a que no se encuentran en el juego de caracteres del inglés que es el que usan la gran mayoría de programas de fuerza bruta.

La solución para los usuarios de CloudFlare es automática (incluido el servicio gratuito) ya que han tomado medidas en tiempo real para prevenir estos ataques. Si usas CloudFlare en tu WordPress puedes dormir tranquilo pues estás protegido, sino eres usuario de CloudFlare quizás sea un buen momento para serlo.

Una tercera solución (en mi opinión la menos eficaz) es echar mano de un plugin para WordPress como puede ser Wordfence y configurarlo de forma correcta. En este caso como es un ataque al script de login hay que prestar especial atención a las opciones “Login Security Options” y cofigurar el bloqueo después de varios intentos de login incorrectos. Personalmente no me gusta la opción del plugin (a pesar de que Wordfence es un gran plugin de seguridad) pues no me gusta sobrecargar el blog con plugins, pero también es cierto que toda inversión en seguridad nos puede ahorrar más de un disgusto.