7 plugins de WordPress para combatir los ataques de fuerza bruta

Category: Seguridad 24 0

Un ataque por fuerza bruta es un método simple que utiliza muchos intentos para conectarse a la administración de un sitio web (nombre de usuario + contraseña) hasta que se puede entrar en él.

Este tipo de ataque no es sólo específico de WordPress, pero la popularidad de este CMS lo convierte en uno de los objetivos más apreciados! Por defecto, WordPress ofrece un número ilimitado de intentos de conexión, en este artículo, veremos cuáles son los plugins efectivos para limitar este número de intentos y así luchar contra los ataques de fuerza bruta…

1. WP LIMIT LOGIN ATTEMPTS

Este plugin está especialmente diseñado para combatir los ataques de fuerza bruta limitando el número de intentos de conexión y añadiendo una comprobación Captcha.

Una vez que haya instalado y activado WP Limit Login Attempts, lo encontrará en la pestaña Settings > WP Limit Login, pero rápidamente se dará cuenta de que los valores por defecto no se pueden cambiar…. ¡Qué pena! Por lo tanto, su sitio sólo será bloqueado durante 10 minutos a partir de 5 intentos de conexión fallidos y/o 3 Captcha. Si desea cambiar estos valores, tendrá que cambiar a la versión pro ($19).

2. SEGURIDAD DEL LOGINIZADOR

Loginizer Security es un plugin de WordPress bastante completo que le ayudará a combatir los ataques por fuerza bruta bloqueando la conexión de una dirección IP que habría alcanzado el umbral máximo de intentos permitidos. Una vez instalado y activado, vaya a la pestaña Seguridad del Loginizer; Fuerza Bruta que le permitirá establecer fácilmente el número de intentos de conexión, el tiempo de bloqueo y la lista negra/whitelister de las direcciones IP de su elección. También es en esta pestaña donde encontrará la lista de errores de conexión a su sitio.

Ofrece, en su versión premium, otras características como Two Factor Auth, reCAPTCHA, PasswordLess, Rename Login Page etc…. para mejorar la seguridad de su sitio. Para obtener más información sobre Loginizer Security, puede leer la documentación oficial.

3. WPS LIMIT LOGIN

El plugin WPS Limit Login es muy fácil de usar. Una vez instalado y activado, encontrará su configuración en la pestaña Configuración > WPS Limit Login.

En la pestaña “Configuración” puede ajustar el número de intentos de conexión fallidos, el tiempo de bloqueo, etc. En la pestaña “Registro” encontrará la lista de intentos de conexión fallidos. Descubra las instrucciones completas para el uso de WPS Limit Login.

4. JETPACK

Jetpack es un plugin multifuncional que en realidad ofrece algunas opciones de seguridad incluyendo la lucha contra ataques de fuerza bruta (también ofrece muchas otras características, para saber más te invito aquí).

Para beneficiarse de esta característica, primero tendrá que instalar y activar el plugin, luego deberá conectarlo a su cuenta de WordPress.com. Después, puede ir a la pestaña JetPack > Configuración > Seguridad y luego poner el botón “Proteger” en ON.

Ahora su sitio está protegido contra ataques de fuerza bruta. Puede elaborar una lista de sitios autorizados (la lista blanca) que le permitirá no ser “prohibido” de su propio sitio! Puede introducir su dirección IP desde su administración y siempre en la pestaña JetPack > Configuración > Seguridad > Proteger oubiendepuis su cuenta de WordPress.com en la pestaña Mi Sitio > Configuración > Seguridad > Withelist. para más información sobre la seguridad ofrecida por JetPack, vea la guía oficial.

5. SEGURIDAD DE LOS TEMAS

iThemes Security es una verdadera navaja suiza para la protección de su sitio WordPress, y esto, desde su versión gratuita! Entre las muchas características como la detección de errores 404, modo ausente, lista negra, detección de cambios de archivos, etc…. hay por supuesto protección contra ataques de fuerza bruta.

Una vez que haya instalado y habilitado el plugin, deberá ir a la pestaña Seguridad; Configuración; Protección de Fuerza Bruta Local. Se abrirá una ventana emergente para permitirle configurar esta función:

  • el número máximo de intentos por host (es la dirección IP a la que se apunta)
  • el número máximo de intentos por usuario (es el nombre de usuario al que se apunta)
  • el período de bloqueo antes de poder volver a intentar la conexión
  • la posibilidad de banear inmediatamente los intentos de conexión con el nombre de usuario “Admin”

Para obtener más información sobre la seguridad de iTheme, lea este artículo dedicado a ella.

6. SEGURIDAD DE CERBEROS Y LIMITES DE INICIO DE SESIÓN

Cerber Security es un plugin de seguridad disponible en francés (parcialmente). Una vez que lo haya instalado y activado, puede empezar a configurarlo desde la pestaña Configuración; WP Cerber.

Verá varias pestañas muy útiles para proteger su sitio WordPress:

  • Configuración general: aquí es donde se puede establecer el número máximo de intentos de conexión, la duración del bloque, la opción “bloque agresivo”, la creación de una página de conexión personalizada (URL personalizada), el modo ciudadela, etc….
  • Lista de acceso: aquí puede “whitelister” o “blacklister” algunas direcciones IP.
  • Actividad: encontrará las últimas actividades
  • Bloqueos: la lista de direcciones IP bloqueadas
  • Endurecimiento: algunas opciones adicionales
  • Usuario: puede bloquear algunos usuarios simplemente indicando su “nombre de usuario”
  • reCaptcha: aquí puede conectar su reCaptcha Key API
  • Herramientas: algunas opciones adicionales

Al igual que iThemes Security, Cerber Security es muy completo. Si quieres saber más, te invito a visitar la página web oficial.

7.WPS OCULTAR LOGIN

WPS Hide Login es un plugin extremadamente simple de configurar y muy eficiente…. De hecho, si todas las extensiones anteriores te parecen restrictivas, esta está hecha para ti! Desarrollado por el equipo de WPServer, WPS Hide Login hace bien su trabajo y es muy eficiente.

Una vez que haya instalado y activado el plugin, deberá ir a la pestaña Configuración. Aquí apareció una pequeña sección con un campo para rellenar. Es simplemente la terminación de la URL de conexión a su administración de WordPress. Cambie la palabra “login” por cualquier otra palabra y guárdela.

A partir de ahora, la dirección www.mon-site.com/wp-admin/ (o wp-login) ya no funcionará; para conectarte tendrás que ir a www.mon-site.com/mon-nouveau-mot/. Y los robots maliciosos, por otro lado, sólo tendrán que continuar su viaje ya que sólo encontrarán un mensaje de error!

En conclusión…

Dado que más vale prevenir que curar, sería una lástima ignorar las soluciones que existen para proteger su sitio, ¡especialmente cuando son lo suficientemente sencillas de instalar!

Sin embargo, los ataques por fuerza bruta no son los únicos métodos para corromper un sitio, así que te aconsejo que leas atentamente este artículo dedicado a la seguridad de WordPress.

Imagen ya añadida 4.805

Related Articles