Protección contra ataques a WordPress por fuerza bruta

shadowhck · 4 Dic 2013

Para todos aquellos que tengan WordPress, ya que por defecto este no tiene protección para ataques por fuerza bruta. Hoy, algún bot, o algo por el estilo intento por fuerza bruta entrar a un sitio, que anteriormente ya ha recibido otros 3 intentos.

Este último fue de 10,078 intentos. Pudieron haber sido más, pero afortunadamente días antes instale un plugin que agregaba un Delay al login (1 segundo), creando un gran delay para el bot. El intento tardo alrededor de 2 horas y media, con un promedio de 3 peticiones por segundo.

Así que mi recomendación es crear contraseñas fuertes, y monitorear frecuentemente, ya que me di cuenta por el alto consumo de recursos que tuvo mi VPS en ciertas horas, y prácticamente sería algo invisible (sin revisar logs) para una instalación en un shared hosting.

En que me afecta un ataque si tengo contraseñas fuertes? Un ataque de este tipo normalmente consume muchos recursos, ya que cada petición no pasa por ningún tipo de cache, sino directamente a WordPress, por lo que para algunos servidores o shared seria un problema durante el lapso.

No es el unico tema al respecto, pero siempre es bueno recordar.

Saludos. :encouragement:

Plaga · 5 Dic 2013

Gracias por la recomendación, antes usaba un plugin para evitar ese tipo de ataques, tendré que instalarlo nuevamente.
El que usas como se llama?

rockyman95 · 5 Dic 2013

Gracias por avisar!

scheval · 5 Dic 2013

Yo utilizo el Límitador de intentos de login. Sólo puede haber 3 intentos. Si estos son fallidos bloquea la IP por el tiempo que hayas asignado

inzolent · 5 Dic 2013

pero tu mismo puedes crear un captcha para evitar eso!! ya que esos bot escogen páginas al azar ... solo es una opinión

ramonjosegn · 5 Dic 2013

Yo siempre recomiendo 2 plugins excelentes
WordPress ? All In One WP Security & Firewall « WordPress Plugins
WordPress ? Wordfence Security « WordPress Plugins

shadowhck · 5 Dic 2013

inzolent dijo:
pero tu mismo puedes crear un captcha para evitar eso!! ya que esos bot escogen páginas al azar ... solo es una opinión

Los captchas no sirven mucho. Existen servicios en los que se les paga a personas por resolver captchas, y curiosamente me llega spam con captcha activado, aunque claro, no sería lo mismo sin captcha.

---------- Post agregado el 05-dic-2013 hora: 08:02 ----------

Plaga dijo:
Gracias por la recomendación, antes usaba un plugin para evitar ese tipo de ataques, tendré que instalarlo nuevamente.
El que usas como se llama?

Wordpress Login Delay

Aunque recomiendo usarlo junto con otros plugins para reforzar la seguridad. :encouragement:

jeanktb · 5 Dic 2013

ramonjosegn dijo:
Yo siempre recomiendo 2 plugins excelentes
WordPress ? All In One WP Security & Firewall « WordPress Plugins
WordPress ? Wordfence Security « WordPress Plugins

gracias amigo voy a probar con ellos y a shadowck por avisar

maximusk10 · 5 Dic 2013

Siempre es bueno tener plugins de seguridad pero no usar muchos porque ralentiza la página. A mi una vez tambien se intentaron meter a mi wp por fuerza bruta, y usé un plugin que baneaba la ip por cierto tiempo. No sé si sea suficiente, pero siempre es bueno tener una contraseña fuerte. Preferible que saturen el servidor a que se carguen tu cuenta.

skamasle · 5 Dic 2013

Lo otro es configurar bien el host o están en uno que tengan buena protección en el servidor web, mod_Security bien configurado etc.

O bien poner protección extra en htaccess para que pida login al entrar al wp-admin y wp-login.php

7:

Cicklow · 5 Dic 2013

Yo uso Rename wp-login.php y listo... eso oculta el login de WP y solo el que lo oculto sabe donde esta... ejemplo para acceder es:
www.sitio.com/wp-login.php y lo ocultas en por ejemplo: www.sitio.com/ferkfxjmske

entonces por mas qu entres a querer logearte jamas encontraran el login real...
he usado plugin de blokeo de login y demas y me han terminado bloqueando hasta a mi.... -.-'

WordPress ? Rename wp-login.php « WordPress Plugins

nahuelvazquez6 · 6 Dic 2013

A tener en cuenta, no tenia idea de que fuera tan inseguro. Gracias y un saludo

nicorto · 6 Dic 2013

tengo varios sitios que no actualizo mucho y veía que se intentaban logear a cada 2x3 y creo que eso me generaba un consumo innecesario, lo que hice fue borrar el wp-login

ramonjosegn · 6 Dic 2013

maximusk10 dijo:
Siempre es bueno tener plugins de seguridad pero no usar muchos porque ralentiza la página. A mi una vez tambien se intentaron meter a mi wp por fuerza bruta, y usé un plugin que baneaba la ip por cierto tiempo. No sé si sea suficiente, pero siempre es bueno tener una contraseña fuerte. Preferible que saturen el servidor a que se carguen tu cuenta.

El plugin WordPress ? All In One WP Security & Firewall « WordPress Plugins automáticamente bloquea las Ips de posibles atacantes o de intentos fallidos en el login

Andres128 · 6 Dic 2013

cicklow dijo:
Yo uso Rename wp-login.php y listo... eso oculta el login de WP y solo el que lo oculto sabe donde esta... ejemplo para acceder es:
www.sitio.com/wp-login.php y lo ocultas en por ejemplo: www.sitio.com/ferkfxjmske

entonces por mas qu entres a querer logearte jamas encontraran el login real...
he usado plugin de blokeo de login y demas y me han terminado bloqueando hasta a mi.... -.-'

WordPress ? Rename wp-login.php « WordPress Plugins

jejeje a mi también me paso una vez me bloqueo por mas de 24 horas xD

Gracias por la recomendación!

Caymans · 6 Dic 2013

Lo que más recomiendo es el plugin "Login lockdown", nosotros ponemos la cantidad de veces que podemos equivocarnos y si lo hacemos, por 1 hora nos bloquea la IP!

Yo personalmente lo tengo en 3 intentos y que me bloquee 1 hora si me equivoco, una vez lo probé poniendo datos incorrectos y funcionó perfectamente!

Lo recomiendo

ramonjosegn · 6 Dic 2013

Caymans dijo:
Lo que más recomiendo es el plugin "Login lockdown", nosotros ponemos la cantidad de veces que podemos equivocarnos y si lo hacemos, por 1 hora nos bloquea la IP!

Yo personalmente lo tengo en 3 intentos y que me bloquee 1 hora si me equivoco, una vez lo probé poniendo datos incorrectos y funcionó perfectamente!

Lo recomiendo

El plugin WordPress ? All In One WP Security & Firewall « WordPress Plugins
dispone de esa opción y muchas más, creo que Wordfence también...

oiramsomel · 6 Dic 2013

Yo no tengo nada de protección, sólo dependo de mi contraseña que es muy fuerte, pero ahora voy a instalar un plugin por si acaso.

Caymans · 6 Dic 2013

ramonjosegn dijo:
El plugin WordPress ? All In One WP Security & Firewall « WordPress Plugins
dispone de esa opción y muchas más, creo que Wordfence también...

Es cierto, cuando en su momento buscaba un plugin que haga lo que comenté (aprox medio año atras) también me encontré con el que mencionas, el tema es que a veces es mejor un plugin simple, que no requiera tantas actualizaciones y tampoco ocupe muchos recursos! Este es simple, pones bien los datos y entras, los pones mal 3 veces y te banea 1 hora, no hace más nada pero no consume más nada!

EsLoQueHiHa · 6 Dic 2013

Os acabo de leer, he instalado el plugin all in one wp security y activado el lockout en el login cuando intentan acceder con un usuario que no existe (no tengo el usuario admin en ningún blog).

En menos de una hora me han llegado dos avisos por email. Lo curioso es que han sido a dos blogs nuevos con muy poca actividad.

En Recomiéndame una serie me ha llegado este

Username: mamichula
IP Address: 94.76.152.101

IP Range: 94.76.152.*

y en Recomiéndame una peli este otro

Username: username
IP Address: 108.162.221.26

IP Range: 108.162.221.*

Ninguno de los dos tiene los registros abiertos y además tienen poquita actividad, entre 10 y 20 visitas al día. No me quiero ni imaginar lo que pasaría si llegan a acceder a las webs grandes :topsy_turvy: