Bloqueo de ataques de fuerza bruta en WordPress

Bloqueo de ataques de fuerza bruta en WordPress

Una de las formas más fáciles de atacar un sitio web es obtener acceso a través de un sistema de gestión de contenido, como WordPress. Para hacer esto, los hackers intentan forzar un inicio de sesión en la instalación de WordPress de un sitio utilizando contraseñas de uso frecuente. Este tipo de ataques se conocen como ataques de fuerza bruta.

Ataques de fuerza bruta a gran escala

La mayoría de los sitios han desarrollado contramedidas que limitan el número de inicios de sesión, por lo que los piratas informáticos han desarrollado diferentes tipos de ataques de fuerza bruta. En lugar de lanzar millones de intentos de inicio de sesión en un solo sitio, ahora utilizan intentos de inicio de sesión limitados en millones de sitios web diferentes.

Este tipo de ataques de fuerza bruta a gran escala aprovechan el hecho de que los usuarios a menudo realizan múltiples intentos de inicio de sesión cuando olvidan o escriben mal sus contraseñas. Es difícil distinguir estos sucesos de los intentos de piratería, por lo que los administradores «dejan la puerta abierta», por así decirlo. Si bloquean el acceso después de algunos intentos fallidos de inicio de sesión, corren el riesgo de excluir a los usuarios legítimos.

Cuando un ataque de fuerza bruta a gran escala en una cuenta de WordPress tiene éxito, un atacante a menudo puede modificar un tema para inyectar código de puerta trasera, como se muestra aquí:

Immunify360 protege contra ataques a gran escala

Nuestro sistema de seguridad, Imunify360, está diseñado para bloquear ataques de fuerza bruta a gran escala. Lo hace comprobando las contraseñas utilizadas en los intentos de inicio de sesión con una lista de contraseñas débiles conocidas. Si un intento de inicio de sesión utiliza una de estas contraseñas, el usuario es redirigido a una página que le solicita que cambie su contraseña:

Cuando el usuario hace clic en el botón «Restablecer contraseña», lo lleva a la página de restablecimiento de contraseña de WordPress. No interrumpe ningún tipo de funcionalidad de WordPress, ya que el procedimiento de restablecimiento de contraseña no requiere que un usuario inicie sesión.