Aumento de intentos de hackeo en mis sitios de Wordpress

  • Autor Autor Jose Miguel
  • Fecha de inicio Fecha de inicio
arnego2 dijo:
Estos intentos pasan en cada sitio, WordPress o no. Hasta en simples sitios en html tu ves los servelogs unos 100 intentos por mes intentando abrir un wp-admin donde no haya.
Hacer clic para expandir...
Si, aparte que son bots, también los plugins de seguridad inflan los intentos para que uno se alarme y compre sus servicios pro..
 
En los Ajustes de Limit Login Attempts deberías:

1. Limitar los reintentos permitidos a 1.

2. E incrementar los minutos y las horas de bloqueo.

Por otro lado, te recomiendo hacer una auditoría de seguridad con esta web:

sitecheck.sucuri.net

Sucuri Security

SiteCheck is a website security scanner that checks any site, link, or URL for malware, viruses, blacklist status, seo spam, or malicious code. Check your website safety for free with Sucuri Security.
sitecheck.sucuri.net sitecheck.sucuri.net

Y por último, te dejo un tutorial que hice precisamente para mantener una web segura:

forobeta.com

Tutorial: - Consejos para proteger tu Wordpress eficazmente

Buenas bet@s, A continuación voy a enumerar cómo protejo mis webs en Wordpress: 1. Instala un SSL como Let's Encrypt en tu hosting (la mayoría te lo ofrecen gratis) 2. Utiliza un plugin para redirigir todo a https: https://es.wordpress.org/plugins/really-simple-ssl/ Además este plugin...
forobeta.com forobeta.com

Espero que te sirva de ayuda.

Saludos
 
arnego2 dijo:
Estos intentos pasan en cada sitio, WordPress o no. Hasta en simples sitios en html tu ves los servelogs unos 100 intentos por mes intentando abrir un wp-admin donde no haya.
Hacer clic para expandir...

Es lo que venía a decir.

Yo tuve servidores en los que tenía hasta 300 intentos intentos para entrar al día a un wp-admin cuando ni siquiera tenía WordPress instalado.

Bloqueaba los rangos de IP y bajaba los ataques.
 
Me pregunto si será posible cambiar el enlace del panel de administración de WP.
 
Ya te lo habran dicho pero imagino que tendras otra url que no sea wp-admin para loguearte, no?
 
Cambia el user login de tal forma que sea distinto del user nicename.

Así aun y cuando te saquen el user nicename desde el author, se van a dar de narices.

Lo puedes hacer desde la base de datos editando el user.

De esa forma puedes crear una nueva capa de seguridad.
 
EspErpENto dijo:
Cambia el user login de tal forma que sea distinto del user nicename.

Así aun y cuando te saquen el user nicename desde el author, se van a dar de narices.

Lo puedes hacer desde la base de datos editando el user.

De esa forma puedes crear una nueva capa de seguridad.
Hacer clic para expandir...
Buena idea 😉
 
Florchi dijo:
Pero que usuarios usas?

Yo uso de usuario, un nombre que dificilmente adivinarian cual es.

Aunque es algo facil ese usuario, no es admin.
Hacer clic para expandir...
se puede obtener tu nombre de usuario con el api, /wp-json/wp/v2/users y si lo tienes desactivado se puede mediante fuerza bruta con el id por ejemplo ?author=1 >>>99 hasta dar con el nombre de usuario, cambiar el login no hace la diferencia pues mediante xmlrpc se hacen las cosas mas faciles, si baneas por flood se cambia la ip y sigue el ataque, si cambias todo lo anterior se continua por wp-cron....
 
bits4me dijo:
se puede obtener tu nombre de usuario con el api, /wp-json/wp/v2/users y si lo tienes desactivado se puede mediante fuerza bruta con el id por ejemplo ?author=1 >>>99 hasta dar con el nombre de usuario, cambiar el login no hace la diferencia pues mediante xmlrpc se hacen las cosas mas faciles, si baneas por flood se cambia la ip y sigue el ataque, si cambias todo lo anterior se continua por wp-cron....
Hacer clic para expandir...
Yo le pongo el nombre la pagina xd
 
Instala el plugin Fragmentos de código y añade lo siguiente para que solo el admin pueda ver la API:

<?php

add_filter( 'rest_authentication_errors', function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! is_user_logged_in() ) {
return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) );
}
if ( ! current_user_can( 'administrator' ) ) {
return new WP_Error( 'rest_not_admin', 'You are not an administrator.', array( 'status' => 401 ) );
}
return $result;
});
 
bits4me dijo:
se puede obtener tu nombre de usuario con el api, /wp-json/wp/v2/users y si lo tienes desactivado se puede mediante fuerza bruta con el id por ejemplo ?author=1 >>>99 hasta dar con el nombre de usuario, cambiar el login no hace la diferencia pues mediante xmlrpc se hacen las cosas mas faciles, si baneas por flood se cambia la ip y sigue el ataque, si cambias todo lo anterior se continua por wp-cron....
Hacer clic para expandir...
A ver, evitar los ataques es imposible, ello se debe a que la cuota del mercado de WP es muy alta.

Lo único que se puede hacer es agregar capas y capas de seguridad.

La idea de agregar el mayor número de capas de seguridad es precisamente que el atacante entienda que las cosas no van a ser tan fáciles para él.

Supongamos que se emperra en continuar el ataque y que sabe tanto el user como la url de login.

¿Qué haría?

Usar el plugin Admin Block Country para banear el acceso a wp-admin por país, luego en con el plugin Limit Login Attempts Reloaded pondría unas restricciones potentisimas, por ejemplo, solo dos intentos y aumentar de forma exagerada el número de horas entre intento e intento.

Ya verías como desiste de continuar con el ataque.

La filosofía debe ser procurar agregar el mayor número de capas de seguridad para que el atacante se marche en busca de presas más fáciles.
 
EspErpENto dijo:
A ver, evitar los ataques es imposible, ello se debe a que la cuota del mercado de WP es muy alta.

Lo único que se puede hacer es agregar capas y capas de seguridad.

La idea de agregar el mayor número de capas de seguridad es precisamente que el atacante entienda que las cosas no van a ser tan fáciles para él.

Supongamos que se emperra en continuar el ataque y que sabe tanto el user como la url de login.

¿Qué haría?

Usar el plugin Admin Block Country para banear el acceso a wp-admin por país, luego en con el plugin Limit Login Attempts Reloaded pondría unas restricciones potentisimas, por ejemplo, solo dos intentos y aumentar de forma exagerada el número de horas entre intento e intento.

Ya verías como desiste de continuar con el ataque.

La filosofía debe ser procurar agregar el mayor número de capas de seguridad para que el atacante se marche en busca de presas más fáciles.
Hacer clic para expandir...
Los de verdad no buscan conectarse a tu admin, es más ni averiguan el usuario, lo único que se requiere es inyectar código para tener tener control de tu web y de ser posible de las Webs que tengas en la cuenta, no hay plugin que te ayude, todo debe ser a medida.
 
bits4me dijo:
Los de verdad no buscan conectarse a tu admin, es más ni averiguan el usuario, lo único que se requiere es inyectar código para tener tener control de tu web y de ser posible de las Webs que tengas en la cuenta, no hay plugin que te ayude, todo debe ser a medida.
Hacer clic para expandir...
La inyección de código solo se logra cuando hay "agujeros".

Agujeros que provienen, por lo general de themes o plugins nulled.

Otros provienen por falta de mantenimiento en la web y no se actualiza, ni el core de WP, ni los plugins ni el theme.

También hay que tener cuidado con el ordenador.

Estar pendiente de la web y evitar el uso de Nulled, es complicado que te inyecten código.
 
Me paso ayer justamente, también fue atacada una de mis web, pero en este caso alguien logró crear un usuario con permisos de administrador, estaba dormido y me di cuenta 2 horas después del suceso...

Aún no tengo idea de como lo hizo, o como logró crear un user con permisos de administrador, la única forma que veo es que pudieron acceder a mi usuario y crearlo directamente.

Lo mas extraño del asunto es que revisé exhaustivamente mi wordpress y no vi nada extraño, no instalo nada ni modifico nada, o lo escondió tan bien que solo esta esperando el momento indicado para activar el hackeo.
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

C
Cómo proteger mi página de intentos de hackeo en WordPress
Respuestas
14
Visitas
623
Ederson
Ederson
Atrás
Arriba