Bloqueo de ataques de fuerza bruta en WordPress

Alojamiento y blog Wordpress

Ataques de fuerza bruta contra WordPress

Una de las formas más fáciles de atacar un sitio web es a través de un Sistema de gestión de contenidos como WordPress para obtener acceso. Para ello, los hackers intentan forzar el inicio de sesión en la instalación de WordPress de un sitio utilizando contraseñas de uso frecuente. Este tipo de ataque se conoce como ataque de fuerza bruta.

El auge de los ataques de fuerza bruta a gran escala

La mayoría de los sitios web han desarrollado contramedidas que limitan el número de inicios de sesión. Por ello, los hackers han desarrollado diferentes tipos de ataques de fuerza bruta. En lugar de lanzar millones de intentos de inicio de sesión en un solo sitio web, ahora utilizan intentos de inicio de sesión limitados en millones de sitios web diferentes.

orcwebhosting

Este tipo de ataques de fuerza bruta a gran escala se aprovechan del hecho de que los usuarios suelen realizar múltiples intentos de inicio de sesión cuando olvidan o escriben mal sus contraseñas. Es difícil distinguir estos incidentes de los intentos de pirateo, por lo que los administradores dejan la puerta abierta, por así decirlo. Si bloquean el acceso tras unos pocos intentos fallidos de inicio de sesión, se corre el riesgo de que los usuarios legítimos queden bloqueados.

Si un ataque de fuerza bruta completo en una cuenta de WordPress tiene éxito, un atacante a menudo puede modificar un tema para inyectar código de puerta trasera, como se muestra aquí:

orcwebhosting

Los ataques de gran alcance son un problema creciente

El equipo de producto de Imunify360 investigó más de 2000 dominios WordPress que fueron atacados en todo el mundo el 22 de abril de 2020 (NINGUNO de nuestros sitios web fue atacado/hackeado) y realizó las siguientes conclusiones y predicciones:

orcwebhosting

Lo que encontramos fue esto:

Las 10.000 contraseñas más frecuentes se utilizaron en la mitad de los intentos de inicio de sesión.

De media, un atacante tiene que probar 64 dominios con 14 intentos de inicio de sesión cada uno para identificar una cuenta con una contraseña débil.

Se utilizaron contraseñas débiles en aproximadamente 10% de los intentos de inicio de sesión con éxito. Esto significa que los sitios web con contraseñas de usuario débiles pueden ser pirateados o ya lo han sido.

Básicamente, nuestro análisis ha demostrado que las contraseñas de usuario débiles en WordPress son como una autopista de varios carriles por la que los hackers pueden hacerse con el control de los sitios web.

Imunify360 protege contra ataques de gran alcance

La última versión de Imunify360, la 4.7, ha sido desarrollada para bloquear ataques de fuerza bruta de gran alcance. Para ello, comprueba las contraseñas utilizadas durante los intentos de inicio de sesión con una lista de contraseñas débiles conocidas. Si se utiliza una de estas contraseñas durante un intento de inicio de sesión, se redirige al usuario a una página en la que se le pide que cambie su contraseña:

orcwebhosting

Si el usuario hace clic en el botón "Restablecer contraseña", será redirigido a la página de restablecimiento de contraseña de WordPress. La funcionalidad de WordPress no se ve afectada, ya que no es necesario que ningún usuario haya iniciado sesión para restablecer la contraseña.