Proteger Joomla de Ataques de Fuerza Bruta

Proteger Joomla de Ataques Fuerza Bruta

En estos tiempos que corren es inevitable que haya sitios web que reciban ataques de fuerza bruta a diario. La realidad es que los propietarios de una web construida con Joomla deben hacer frente a los hackers que intentan tomar el control de su site con fines para nada ilícitos. Estos hackers disponen de toda una red de ordenadores que pueden utilizar para coordinar ataques masivos de fuerza bruta contra cualquier página web, indiferentemente del gestor de contenidos que utilice.

En este artículo vamos a indicar algunas maneras de reducir la posibilidad de que “alguien” pueda obtener el acceso a tu site Joomla de forma ilegal mediante ataques de fuerza bruta.

Hosting Joomla SSD

En Hostinet puedes contratar el mejor Hosting Joomla SSD del mercado. Gracias a este alojamiento web con discos sólidos conseguirás sacarle todo el partido a tu CMS. Descubre nuestros planes Joomla para un solo dominio en la siguiente tabla:

  • Hosting especializado en Joomla con discos SSDJoomla 5011´99 / mes
  • Hosting especializado en Joomla con discos SSDJoomla 55´99 / mes
  • Hosting especializado en Joomla con discos SSDJoomla 5011´99/mes
  • Hosting especializado en Joomla con discos SSDJoomla 55´99/mes
    • Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu Joomla
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu Joomla
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Joomla
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Sujeta al espacio total del alojamientoSujeta al espacio total del alojamientoSujeta al espacio total del alojamiento
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Supeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamiento
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Joomla
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
    • Copia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por Hostinet
    • Podrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento web
    • Nuevas altas. Contratación anual.

Pero… primero…

¿Qué es un ataque de fuerza bruta?

Veamos que indica la Wikipedia sobre ello:

En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.

Dicho de otro modo, define al procedimiento por el cual a partir del conocimiento del algoritmo de cifrado empleado y de un par texto claro/texto cifrado, se realiza el cifrado (respectivamente, descifrado) de uno de los miembros del par con cada una de las posibles combinaciones de clave, hasta obtener el otro miembro del par. El esfuerzo requerido para que la búsqueda sea exitosa con probabilidad mejor que la par será 10 n − 1 {\displaystyle 10^{n}-1} operaciones, donde n {\displaystyle n} es la longitud de la clave (también conocido como el espacio de claves).

Otro factor determinante en el coste de realizar un ataque de fuerza bruta es el juego de caracteres que se pueden utilizar en la clave. Contraseñas que sólo utilicen dígitos numéricos serán más fáciles de descifrar que aquellas que incluyen otros caracteres como letras, así como las que están compuestas por menos caracteres serán también más fáciles de descifrar, la complejidad impuesta por la cantidad de caracteres en una contraseña es logarítmica.

Resumen corto

A modo resumen corto podemos indicar que es un ataque cuya finalidad es intenta conseguir todos los datos de administración de tu sitio web; para ello los hackers intentan varias combinaciones de nombres de usuarios y contraseñas, hasta que al final dan con la correcta. Es por ello por lo que tener una contraseña fuerte y segura cobra una relevancia muy importante en este aspecto. Olvídate de tener contraseñas estilo 123456.

El caso es que hay dos problemas principales como propietario de un site Joomla. Obviamente, no es bueno tener a gente husmeando en la administración de tu web con los derechos de súper administrador. Eso es un hecho. La otra cosa que debe preocuparte es el hecho de que tales ataques de fuerza bruta sobresaturan el servidor y puedes llegar a perjudicar a otros usuarios que compartan servidor contigo si estás en un hosting compartido o incluso conseguir que el servidor deje de funcionar correctamente.

Cómo protegerse de ataques de fuerza bruta

Hay varias cosas que pues hacer para poner las cosas un poco más difíciles a todos aquellos hackers que intenten ataques de fuera bruta contra tu site Joomla. Por ejemplo, puedes establecer un nombre de usuario más largo y una contraseña más compleja de lo habitual; utilizando tanto números como letras mayúsculas y signos.  Así como también puedes bloquear el acceso a tu web Joomla.

Nombre de usuario y contraseña fuertes

nombre de usuario & password

Seguro que lo has escuchado en numerosas ocasiones: “debes asegurarte de tener contraseñas fuertes y/o complejas” Eso sí, sin descuidar el nombre de usuario, ya que también es muy importante. Hay quienes se centran solo en la contraseña y dejan desprotegido el nombre de usuario. Hay que mantener fuertes tanto el nombre de usuario como la contraseña.

Por lo tanto, debes dejar atrás los malos hábitos de usar “admin” o un nombre de usuario similar, ya que, aunque parezca mentira ese nombre de usuario es el más usado por casi todos los webmasters que tienen una página web en Internet ¡nadie lo cambia! Y no es tan difícil poner otro completamente nuevo para mejorar considerablemente la seguridad de tu página web, ya sea con Joomla u otro CMS.

En lo que respecta a la contraseña. Hay que olvidarse de contraseñas similares a 123456 o qweasd. Lo ideal es tener una contraseña fuerte y larga con al menos 20 caracteres alfanuméricos aleatorios en combinación con mayúsculas, minúsculas y algunos signos. Así como no utilizar esa contraseña para muchas cosas. En medida de lo posible lo mejor es que dispongas de una contraseña para cada cosa.

¿Al menos 20 caracteres? Seguro que estás pesando estos se han vuelto locos ¡son un montón de caracteres! ¿Cómo voy a recordar una contraseña tan larga? Muy sencillo: descargarte algún tipo de software de gestión de contraseñas gratuito o de pago, eso ya lo que tu prefieras. Te recomendamos 3: RoboForm, LastPass.com y 1Password sobre todo si usas Mac. No tienes por qué recordar una contraseña tan larga cuando hay programas que lo pueden hacer por ti.

A diario son hackeados miles de sitios web por tener como nombre de usuario “admin” y como contraseña “123456”. Ni siquiera hace falta un ataque de fuerza bruta para obtener estos datos, ya que son los favoritos por la gran mayoría. Lo cierto es que estas credenciales son muy, pero que muy sencillas. Sin embargo, el riesgo de que une extraño puede acceder con ellos como administrador a tu sitio es de un 99%.

Bloquear el acceso al sitio

Joomla Bloqueo

Otro método para evitar los atques de fuerza bruta es restringiendo el acceso al sitio o al servidor basado en el rango de IPs de los atacantes.

Hay un par de maneras de afrontar esto:

Extensión de Joomla -> AdminExile

AdminExile - Brute Force

En lo que respecta a extensiones para Joomla hay una muy buena que vio la luz con la versión 2.5 de Joomla. Se trata de la extensión AdminExile. Esta extensión te permite bloquear IPs después de una cierta cantidad de intentos fallidos al poner de forma incorrecta la contraseña, y puedes establecer por cuánto tiempo estará el bloqueo en vigor. Esta extensión ha demostrado ser muy eficaz, ya que he evitado miles de ataques muy desagradables para los webmaster con Joomla.

Bloqueo por .htaccess

En servidores LAMP (Linux, Apache, MySQL, PHP) como los que tenemos en Hostine se puede añadir direcciones IP al archivo .htaccess.

Recordemos que este archivo suele estar oculto. Para desocultarlo desde el administrador de archivos de cPanel, click arriba del todo en la rueda dentada de la derecha en “Configuración” y después click en el check box de “Mostrar archivos ocultos (dotfiles)”

Mostrar archivos ocultos (dotfiles)

Esto evitará que esas direcciones IP lleguen incluso a tu página de administrador de Joomla o a cualquier otra página de tu site.

Esta es una web-herramienta que te facilita la creación de la línea de código que necesitas introducir en tu archivo .htaccess, tan solo debes poner una IP por línea y darle al botón de “generate .htaccess file”:

http://www.htaccesstools.com/block-ips/

Código de ejemplo:

Order Deny,Allow
Deny from 191.191.19.191

Conclusión

Para acabar, recalcar que los ataques de fuerza bruta es algo con lo que se debe convivir a diario, sin embargo, como has podido comprobar en este artículo puedes poner medidas para ello y evitar que alguien tenga éxito en llevar a cabo uno de estos ataques contra tu site Joomla. Te recordamos que lo primero que debes hacer es aumentar la complejidad de tu contraseña de súper administrador de Joomla. 



Hosting Joomla SSD Cloud

En Hostinet puedes adquirir el mejor Hosting Joomla SSD Cloud del mercado. Gracias a este alojamiento web con discos sólidos conseguirás sacarles todo el partido a tus webs. Descubre nuestros planes Joomla para hospedar varios dominios diferentes, resolviendo cada uno de ellos con su propio Joomla independiente:

  • Hosting especializado en Joomla con discos SSDJoomla 5011´99 / mes
  • Hosting especializado en Joomla con discos SSDJoomla 55´99 / mes
  • Hosting especializado en Joomla con discos SSDJoomla 5011´99/mes
  • Hosting especializado en Joomla con discos SSDJoomla 55´99/mes
    • Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu Joomla
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu Joomla
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Joomla
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Sujeta al espacio total del alojamientoSujeta al espacio total del alojamientoSujeta al espacio total del alojamiento
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Supeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamiento
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Joomla
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
    • Copia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por Hostinet
    • Podrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento web
    • Nuevas altas. Contratación anual.