En el mundo de los delitos cibernéticos, el ataque de fuerza bruta es una actividad que implica probar cientos o miles combinaciones de usuario y contraseña para tratar de ingresar a un sitio web.
El ataque de fuerza bruta es llevada acabo enérgicamente por los piratas informáticos que hacen uso de bots que han instalado maliciosamente en computadoras o en servidores propios o de terceros
Si no implementas ninguna medida de seguridad, probablemente no te des cuenta de cuan constantes son estos ataques.
En está publicación encontrarás lo que necesitas entender sobre los ataques de fuerza bruta y como limitarlos.
Table of Contents
- ¿Qué Motiva los Ataques de Fuerza Bruta?
- ¿Coḿo se Hacen los Ataques de Fuerza Bruta?
- ¿Son Exitosos los Ataques de Fuerza Bruta?
- Qué Alguien Piense en los Servidores?
- ¿Cómo Prevenir Ataques de Fuerza Bruta?
- #1 Longitud de la Contraseña
- #2 Complejidad de la Contraseña
- #3 Limitar el Número de Intentos de Acceso
- #4 Cambiar la Dirección de Login
- #5 Archivo XMLRPC.PHP
- #6 Bloquear Acceso por Dirección IP
- #7 Autenticación de Dos Factores
- #8 El Usuario de WordPress
- #9 Ten una Cuenta de Editor
- #10 Reglas de CortaFuegos de CloudFlare
- Conclusion: Capas de Seguridad
- Fuentes y otros
¿Qué Motiva los Ataques de Fuerza Bruta?
Detrás del ataque de fuerza bruta, el motivo del pirata informático es obtener acceso ilegal a un sitio web específico y utilizarlo para ejecutar otro tipo de ataque o robar datos valiosos o simplemente cerrar tu sitio.
También es posible que el atacante infecte el sitio objetivo con malware para objetivos a largo plazo sin dejar rastros visibles.
Y por últimos los sitios hackeados pueden ser usados para agregar enlaces para beneficiar el posicionamiento de sitios.
¿Coḿo se Hacen los Ataques de Fuerza Bruta?
Los ataques de fuerza bruta son automatizados por lo que estos pueden probar una gran cantidad de combinaciones de usuario y contraseñas en un minuto.
Si buscas en Internet encontrarás tutoriales para realizar ataques de fuerza bruta usando Python o algún programa especializado.
La lista de usuarios y contraseñas que se usa en los ataques se obtiene de sitios en Internet como Github.
Ataques de fuerza bruta más especializados pueden crear listas basadas en detalles del sitio o del dueño del sitio, pero ese no es el caso de los ataques que se realizan de forma indiscriminada.
¿Son Exitosos los Ataques de Fuerza Bruta?
Si usas una contraseña demasiado débil, puede ser que tu contraseña sea parte de una lista existente de contraseñas creada para ataques de fuerza bruta.
Estos son ejemplos de contraseñas que son parte de listas para ataques de fuerza bruta:
| #1 | Fergus56 |
| #2 | Ferrari9 |
| #3 | Amanda94 |
| #4 | Amelia01 |
Si usas contraseñas como las anteriores, se podría decir que los ataques de fuerza bruta funciona por que personas ignorantes administran sitios de WordPress.
Los ataques de fuerza bruta más sofisticados prueban miles de variantes basado en información del sitio o del dueño del sitio.
Si los administradores del sitio son personas religiosas, probablemente intenten probar versículos de la biblia o palabras relacionadas con temas de carácter religioso.
Según algunos sitios, el éxito de los ataques de fuerza bruta corresponden a menos de un 10% de las razones por las cuales sitios de WordPress son hackeados cada año.
Qué Alguien Piense en los Servidores?
Digamos que usas un gestor de contraseña por lo que te puedes dar el lujo de crear usuarios y contraseñas de este calibre:
| Usuario | A%ywstvVH4yw*wsssXnbi6j5@qoXtSNtCsNmZ#Ak |
| Contraseña | %K*XSr5EYiPK2!zQ54uoiLYcEX%#ko3j%tbwhJ#Z |
Si usas usuarios y contraseña de ese tipo, no hay nada que temer, sin embargo, debes considerar que varios hackers de manera simultanea puedes probar miles de combinaciones de usuario y contraseña en minutos.
Los ataques de fuerza bruta puede agotar los recursos de tu servidor y hacer que el sitio se caiga.
La caída deLos ataques de fuerza bruta golpean de manera directa el servidor ya que la verificación de los miles de combinaciones de usuarios y contraseñas requiere que WordPress haga consulta a la base de datos.
¿Cómo Prevenir Ataques de Fuerza Bruta?
Los ataques de fuerza bruta suceden todos los días por lo que estos son algunos buenos consejos para prevenir ataques de fuerza bruta:
#1 Longitud de la Contraseña
Uno de los grandes problemas de muchos sitios es la longitud de la contraseña, una contraseña relativamente corta es fácil de vulnerar.
Por ejemplo
Yo durante muchos años usé una contraseña relacionado con mi pasado religioso, mi contraseña era un versículo del Libro de Mormón.
La contraseña era “2nefi115″
El otro día revisé mi contraseña en un detector de fortaleza de contraseñas y descubrí que esa contraseña de ese tipo puede ser vulnerada en un minuto.
La misma versión de la contraseña, pero con una mayúscula (2Nefi115) podría tardar hasta dos horas para ser descifrada.
Esa definitivamente era una vergüenza de contraseña.
#2 Complejidad de la Contraseña
Además del mínimo de caracteres deben de prestarle atención a la complejidad de la contraseña.
Por ejemplo el mismo detector de contraseñas asegura que esta contraseña 2Nefi115$# tardaría 6 años en ser descifrada.
Esta contraseña tardaría 2Nefi115$#MC 34 años en descifrarse.
Asegúrate de usar un gestor de contraseñas como Bitwarden y así usar contraseñas que tomarían décadas en ser descifradas.
#3 Limitar el Número de Intentos de Acceso
Los ataque de fuerza pueden tardar horas por lo que una de las formas de prevenir ser víctima de estos ataques es limitar el número de intentos que una persona o bot puede realizar sin ser bloqueados
Esto lo puedes hacer por medio de muchos plugins tales como:
- All in one WP Security
- WordFence
- SecuPress
Si limitas el numero de intentos fallidos a 10, el ataque de fuerza no funcionará y los recursos de tu servidor serán preservados.
Nota: Si un ataque de fuerza bruta funciona con 10 intentos, es porque tu contraseña era Admin o Admin123
#4 Cambiar la Dirección de Login
También puedes hacer el trabajo de los hackers algo más difícil cambiando la dirección de login.
Cambiar la dirección de login de tu sitio es seguridad por oscuridad, por lo que esto debe complementar otras medidas y no ser simplemente la única.
La mayoría de los plugins de seguridad tienen esa función integrada.
Si usas Perfmatters, mi plugin de optimización de velocidad, tambien tienes acceso a esta opción.
#5 Archivo XMLRPC.PHP
Recuerda que los ataques de fuerza bruta no siempre son dirigidos a la página de acceso.
Los ataques tambien son realizados a un archivo de WordPress llamado XMLRPC
Si no usas este archivo, puedes deshabilitar el archivo XMLRPC agregando el siguiente code snippet en el archivo functions.php de tu child theme
add_filter( 'xmlrpc_enabled', '__return_false' );#6 Bloquear Acceso por Dirección IP
Una de las maneras de proteger tu sitio de WordPress es por medio de una pequeña modificación del archivo .HTACCESS donde bloqueas el acceso a tu dirección de login con excepción de tu dirección IP
<Files /wp-login>
order deny,allow
allow from IP1
allow from IP2
deny from all
</Files>Esto tambien lo puedes realizar por medio de plugins tales como All in One WP Security and Firewall.
Esta es una manera muy efectiva de detener ataques de fuerza bruta pero se convierten en un problema si la dirección IP que usas siempre cambia.
#7 Autenticación de Dos Factores
Otra de las maneras de proteger tu sitio es mediante la implementación de autenticación de dos factores.
Esto consiste básicamente en que tendrás que agregar un código dado por una aplicación como Authy or Google Authenticator para poder entrar a tu sitio despues de haber agregado el usuario y la contraseña correcta.
Si algún día la autenticación de dos factores te salva de un hackeo, se debe a dos razones:
- Tu contraseña es muy fácil.
- Tu contraseña compleja cayó en manos de un hacker.
WordFence permite la implementación de la autenticación de dos factores de manera gratuita.
#8 El Usuario de WordPress
Nunca uses “Admin” como usuario de WordPress ya que le estás facilitando el trabajo a los hackers.
Procura que tu nombre de usuarios sea difícil de descifrar al igual que la contraseña de tu sitio.
#9 Ten una Cuenta de Editor
Una de las medidas que puedes implementar es tener una cuenta de administrador que tenga un usuario y contraseña super complicada:
| Usuario | p*k9nN^!8^6D |
| Contraseña | 2SfCGp4$*zfX |
Si la cuenta de editor está cae en manos de un hacker, tendrás menos problemas porque la cuenta de editor cuenta con privilegios limitados.
#10 Reglas de CortaFuegos de CloudFlare
Una de las maneras más efectivas para detener ataques de fuerza bruta es por medio de las reglas de Firewall de CloudFlare.
Esta es mi manera de reducir los ataques de fuerza bruta a cero, porque el acceso a la página de acceso esta condicionado al cumplimiento de 3 0 4 criterios.
La protección de las paginas de acceso por medio de CloudFlare funcionan de maravilla si eres el único usuario del sitio.
Tambien puedes implementar CloudFlare Turnstile en la página de acceso como una capa de seguridad adicional
Conclusion: Capas de Seguridad
Los que realizan ataques de fuerza bruta suelen buscar el camino de menor resistencia.
Al implementar múltiples capas de seguridad, se dificulta su tarea, ya que incluso si logran superar una capa, aún tendrán que enfrentar otras barreras antes de acceder a la información o recursos deseados.
La implementación de varias medidas de seguridad hace que el ataque sea menos atractivo y más costoso en términos de tiempo y recursos para los atacantes.
Fuentes y otros
Estas son algunos de los artículos que ayudaron con esta publicación
- Securing WordPress Websites Against Brute Force Attacks
- How to: Prevent Brute Force Login Attacks on Your WordPress Installation
