Seguro que has oido hablar de que WordPress es poco seguro o que las webs hechas con WordPress reciben la mayor parte de los ataques de fuerza bruta de todas las webs del mundo.
Lo primero no es cierto. WordPress es perfectamente seguro pero lógicamente tienes que ser responsable, cuidar tu instalación y protegerla porque resulta que lo segundo si es cierto. Pero tranquilo, te dejo aquí mi checklist de seguridad WordPress, para que revises tu web y hagas las tareas que no tengas hechas todavía.
Como decía, lo segundo si es cierto: las webs hechas con WordPress reciben la mayor parte de ataques de fuerza bruta por el simple hecho de que, a día de hoy, 1 de cada cuatro sitios webs en el mundo está hecho con WordPress.
Es decir, en 2017, el 26% de las webs a nivel mundial están hechas con WordPress. Así que es normal que se lleve la mayor parte de ataques por fuerza bruta simplemente porque hay muchas más webs hechas en WordPress que de cualquier otra manera, ya sea con otros CMS o sin CMS.
¿A qué nos referimos con ataque de fuerza bruta en WordPress?
WordPress tienen una debilidad. Y es que, por defecto, puedes intentar loguearte a través de /wp-login.php con tu nombre de usuario y contraseña de forma ilimitada. Nadie te va a parar los pies. Así que puedes intentar probar diferentes nombres de usuario y contraseñas para tratar de entrar en tu WordPress o en el de otra persona.
Y eso es precisamente lo que aprovechan los ataques de fuerza bruta. Estos ataques se basan en probar millones de combinaciones de nombres de usuario y contraseña hasta dar con los correctos y acceder a tu panel de control. Parece complicado que esto sea un problema ¿verdad? Pues no lo es tanto. Vamos a ver por qué. Son 5 minutos.
Existen dos tipos de ataques de fuerza bruta. Los automáticos y los manuales.
Ataques de fuerza bruta automáticos en WordPress
Los ataques de fuerza bruta prueban nombres de usuario y contraseñas típicas cómo dominio123, nombredelautor123, admin, etc… Además los ataques de fuerza bruta automáticos son llevados a cabo por bots que previamente realizan un escaneo de tu web en busca de posibles debilidades para reducir los millones de combinaciones posibles de nombre de usuario y contraseña.
Estos bots tratarán de conocer los usuarios de tu web. Así podrían recabar sus nombres de usuario quedando ya sólo la mitad del trabajo, conseguir la contraseña de uno de ellos. Y resulta que si no has protegido tu instalación de WordPress no es difícil hacerse con los nombres de usuario.
En la guía de seguridad que estoy preparando veremos todo esto en profundidad. De momento, quédate con la idea de que no es tan difícil para un robot encontrar tu nombre de usuario y tu contraseña.
Y por otro lado, ten en cuenta que al ser softwares preparados para ello, pueden probar estos millones de combinaciones en relativamente poco tiempo.
Ataques de fuerza bruta manuales en WordPress
Estos ataques de fuerza bruta tienen un componente de intencionalidad mucho mayor. Es cierto que una persona no tiene la capacidad de probar millones de combinaciones en un ratito. Pero, quizá no les hace falta porque no ha sido aleatorio que quieran entrar en tu WordPress.
Realmente hay una persona interesada en hacerse con tu página por el motivo que sea. Y seguramente se haya preparado para ello. Da por hecho que te habrá investigado y conocerá tu vida en internet. Y es posible que tenga muchos detalles personales sobre ti porque ya se sabe que en la red compartimos nuestra vida a diario. Así que ya tendrá una idea de por dónde pueden ir los tiros en cuanto a tu nombre de usuario y contraseña.
Por ejemplo, probará datos como tu nombre, el de tu pareja, el de tus hijos, el de tu mascota… Y hará combinaciones entre ellos. Para la contraseña, por ejemplo, buscará fechas significativas de tu vida y hará lo mismo. Esto son solo ejemplos. Pero si te pones a listar todos estos datos recabados de una persona gracias a su rastro en internet, las combinaciones no son tan amplias. Podríamos pasar de millones de combinaciones posibles a miles o incluso a cientos. Esto le facilitará mucho la vida al hacker y le dará más probabilidades de hacerse con tu web.
Un consejo de sentido común sería que no compartas tantos datos personales en las redes sociales en la medida de lo posible.
2 buenas prácticas para combatir los ataques de fuerza bruta
1.- Generar una contraseña fuerte
Para ello, ve a Usuarios/Tu perfil y dale al botón de generar una contraseña fuerte. Ahora aparecerá una parrafada que combina letras, mayúsculas, minúsculas y algún símbolo. Esto es una contraseña fuerte, pero te resultará imposible de recordar y tendrás que apuntarla. Y eso sería una mala práctica.
En vez de esta contraseña fuerte autogenerada, prueba a combinar palabras y unirlas con símbolos. Por ejemplo, micrófono_gris+cuadro. Esta contraseña es prácticamente imposible de descifrar y seguro que la recuerdas si aplicas reglas mnemotécnicas a la hora de crearla.
2.- Cambiar el nombre de usuario
Si no lo elegiste al hacer la instalación, seguramente tu nombre de usuario se admin. De hecho será de las primeras cosas que prueben tanto bots como personas para sacar tu nombre de usuario. Así que es obvio que hay que cambiar el nombre de usuario. Pero ¿cómo lo hacemos? Desde Usuarios/Tu Perfil no nos deja editar este campo.
Pues esto se podría hacer de diferentes formas: con un plugin, desde la base de datos o creando un nuevo usuario con el rol admin y borrar el anterior usuario admin. De esta forma, ahora nuestro nombre de usuario será el que hemos elegido y no el que viene por defecto, es decir admin. Te dejo este tip donde verás cómo borrar el usuario admin para ganar en seguridad.
Cómo combatir los ataques de fuerza bruta en WordPress: plugin Limit Login Attemps Reloaded
Una vez visto que son los ataques de fuerza bruta, ahora vamos a ver cómo lidiar con ellos con gran facilidad gracias al plugin Limit Login Attemps Reloaded.
Éste es uno de esos plugins prácticamente obligatorio. Digo prácticamente, porque dependerá de cómo estés atacando el tema de seguridad en tu web. Me refiero a que hay plugins muuuucho más grandes, pesados y completos que hacen de todo para proteger tu instalación. Incluido cuidarte de los ataques de fuerza bruta. Así que si estás usando uno de esos plugins e incluye esta funcionalidad no necesitarás instalar éste.
Si no has hecho ninguna acción para proteger tu WordPress, como mínimo deberías instalar Limit Login Attemps Reloaded inmediatamente. Hay muchos más temas de seguridad a tener en cuenta y como ya he dicho, los veremos. Pero mientras, instala esto ya, por Dios!! Reducirás el peligro instantáneamente .
Antes de ponernos a verlo detalladamente, quiero que te quedes tranquilo, porque quizá se te ha metido el miedo en el cuerpo al leer sobre los ataques de fuerza bruta unas líneas más arriba.
Estáte tranquilo, sólo con instalar Limit Login Attemps Reloaded, no permitirás que ni bots ni humanos puedan probar ilimitadamente sus combinaciones. Sino que serán bloqueados si se pasan de intentos.
Ahora que estás más tranquilo, vamos a ver cómo funciona el plugin.
Pasos para instalar y configurar el plugin Limit Login Attempts Reloaded
1.- Instala el plugin
Ve a Plugins/Añadir nuevo y busca el plugin en la caja de búsqueda. Una vez localizado pulsa el “botón instalar” y después el “botón activar”
Material complementario
Sólo con instalarlo, sin hacer ninguna configuración ya estarás más seguro. Pero vamos a ver que opciones de configuración trae para combatir los ataques de fuerza bruta.
2.- Configura Limit Login Attempts Reloaded
Ahora que está instalado vamos a ver cómo configurar el plugin. Para ello ve a Ajustes/Limit Login Attempts Reloaded. Verás ésta pantalla.

Lo primero que ves son las estadísticas de bloqueos totales. Aquí verás de cuántos ataques de fuerza bruta te ha librado el plugin.

Debajo están las opciones para configurar los bloqueos. Como ves, por defecto el plugin permite 4 intentos. Esto significa que si tú o cualquier otro falla 4 veces al meter nombre de usuario y contraseña, el login será bloqueado. Yo lo dejaría en 3 intentos como máximo (y eso si tienes mala memoria para recordar tus datos).
Después nos dice el tiempo que será bloqueado ese usuario hasta que pueda volver a intentar loguearse. Por defecto, vienen 20 minutos. Pero una vez más, si tienes claros tus datos y no tienes más ususarios en tu web, yo esto lo subiría hasta 2 horas. Así los hackers desistirán al ver que cada vez que prueban 3 combinaciones tienen que esperar 2 horas para volver a intentarlo.
La siguiente opción nos indica que cada 4 bloqueos (está bien así) los que intentan acceder tendrán que esperar 24 horas. Cámbialo si quieres, pero ya está bastante bien así.
Y por último, cada 12h se restablecen los reintentos automáticamente.
Como ves, si se trata de un ataque de fuerza bruta, estarás cortando el rollo totalmente al hacker. De manera que seguramente se vaya a otra web que no tenga este plugin instalado.
Pero ten cuidado, y no te pases de duro en el caso de que tu web tenga un montón de usuarios porque quizá alguno no recuerde realmente sus datos y no quieres tener que estar lidiando con correos de los mismos diciéndote que tienen que esperar demasiado… etc. Mi consejo es que afines estas opciones según tus circunstancias especiales. Para eso dan tantas opciones, de hecho.
Lo siguiente que puedes configurar son las notificaciones. Puedes elegir (por defecto marcado) que se genere una lista con las IPs bloqueadas pero además si quieres, puedes indicar que te envíen un correo (a tu correo de administrador que configuraste aquí) cada ciertos bloqueos. A tu gusto!
White list

Sirve para que añadas IPs o nombres de usuarios en los que no quieres que actúen estas configuraciones. Es decir, los nombres aquí listados no tendrán estas limitaciones.
Esto es interesante por ejemplo para que pongas en esa lista a tus usuarios o a ti mismo.
Black List

La Black list del plugin Limit Login Attempts hace todo lo contrario. Es decir, todas las IPs o nombres de usuario que añadas aquí, directamente no podrán acceder.
Y hasta aquí éste sencillo tutorial en el que hemos visto como limitar los intentos de log in para detener rápidamente los ataques de fuerza bruta en tu WordPress. Sin duda, es una de las primeras cosas que haría en mi web. Como ves, es sencillísimo y te hará estar más tranquilo.
Si tienes cualquier duda, o te ha surgido algún problema, simplemente ponte en contacto conmigo en este formulario y lo vemos.
Y si te apetece, puedes compartirlo en redes sociales utilizando los botones de aquí abajo. ¡Gracias! 🙂