Evitar fuerza bruta en WordPress

on

Tras conocer este fin de semana, el empleo de un ataque distribuido de fuerza bruta contra los paneles de administración de las plataformas de WordPress, os quiero dejar alguna recomendación.

Antes de continuar, recuerda siempre utilizar password complejas y con un número suficiente de caracteres, que no facilite la tarea al “pirata”.

Para evitar que jueguen a adivinar tu usuario/password, impide el acceso, o al menos trata de restringirlo al máximo.

Un “remedio casero” es renombrar el fichero wp-login.php y banear a todo aquel que intente acceder al panel de control, ni siquiera tendrá que introducir un usuario equivocado…

[Mon Apr 15 17:02:24 2013] [error] [client 209.85. . ] script ‘/var/www/omarbv/wp-login.php’ not found or unable to stat

Eso si, cada vez que se quiera publicar nuevo contenido, habrá que restaurar el nombre original, pero evitas que crawlers y demás scanners intenten acceder a tu login, y se generará el siguiente error.

Empleando Fail2Ban, lo que haremos será bloquear a esas IPs que intentan una y otra vez conectar al panel, creando un filtro especifico para ello.

En el caso de que no podamos restringir el acceso, porque hay varios usuarios que se conectan habitualmente para publicar o queremos hacerlo mucho más elegante, existe el plugin WP fail2ban, que junto a Fail2Ban instalado en nuestro servidor podrá bloquear a aquellos que introducen la contraseña erróneamente el número de veces que indiquemos.

Y como siempre, está la opción de crear un .htaccess, para acceder desde una sola dirección IP, añadir un promt de usuario/contraseña.

One thought on “Evitar fuerza bruta en WordPress

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

code