En estos tiempos que corren es inevitable que haya sitios web que reciban ataques de fuerza bruta a diario. La realidad es que los propietarios de una web construida con Joomla deben hacer frente a los hackers que intentan tomar el control de su site con fines para nada ilícitos. Estos hackers disponen de toda una red de ordenadores que pueden utilizar para coordinar ataques masivos de fuerza bruta contra cualquier página web, indiferentemente del gestor de contenidos que utilice.

En este artículo vamos a indicar algunas maneras de reducir la posibilidad de que “alguien” pueda obtener el acceso a tu site Joomla de forma ilegal mediante ataques de fuerza bruta.

Hosting Joomla SSD

En Hostinet puedes contratar el mejor Hosting Joomla SSD del mercado. Gracias a este alojamiento web con discos sólidos conseguirás sacarle todo el partido a tu CMS. Descubre nuestros planes Joomla para un solo dominio en la siguiente tabla:

Pero… primero…

¿Qué es un ataque de fuerza bruta?

Veamos que indica la Wikipedia sobre ello:

En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.

Dicho de otro modo, define al procedimiento por el cual a partir del conocimiento del algoritmo de cifrado empleado y de un par texto claro/texto cifrado, se realiza el cifrado (respectivamente, descifrado) de uno de los miembros del par con cada una de las posibles combinaciones de clave, hasta obtener el otro miembro del par. El esfuerzo requerido para que la búsqueda sea exitosa con probabilidad mejor que la par será 10 n − 1 {\displaystyle 10^{n}-1} operaciones, donde n {\displaystyle n} es la longitud de la clave (también conocido como el espacio de claves).

Otro factor determinante en el coste de realizar un ataque de fuerza bruta es el juego de caracteres que se pueden utilizar en la clave. Contraseñas que sólo utilicen dígitos numéricos serán más fáciles de descifrar que aquellas que incluyen otros caracteres como letras, así como las que están compuestas por menos caracteres serán también más fáciles de descifrar, la complejidad impuesta por la cantidad de caracteres en una contraseña es logarítmica.

Resumen corto

A modo resumen corto podemos indicar que es un ataque cuya finalidad es intenta conseguir todos los datos de administración de tu sitio web; para ello los hackers intentan varias combinaciones de nombres de usuarios y contraseñas, hasta que al final dan con la correcta. Es por ello por lo que tener una contraseña fuerte y segura cobra una relevancia muy importante en este aspecto. Olvídate de tener contraseñas estilo 123456.

El caso es que hay dos problemas principales como propietario de un site Joomla. Obviamente, no es bueno tener a gente husmeando en la administración de tu web con los derechos de súper administrador. Eso es un hecho. La otra cosa que debe preocuparte es el hecho de que tales ataques de fuerza bruta sobresaturan el servidor y puedes llegar a perjudicar a otros usuarios que compartan servidor contigo si estás en un hosting compartido o incluso conseguir que el servidor deje de funcionar correctamente.

Cómo protegerse de ataques de fuerza bruta

Hay varias cosas que pues hacer para poner las cosas un poco más difíciles a todos aquellos hackers que intenten ataques de fuera bruta contra tu site Joomla. Por ejemplo, puedes establecer un nombre de usuario más largo y una contraseña más compleja de lo habitual; utilizando tanto números como letras mayúsculas y signos.  Así como también puedes bloquear el acceso a tu web Joomla.

Nombre de usuario y contraseña fuertes

Seguro que lo has escuchado en numerosas ocasiones: “debes asegurarte de tener contraseñas fuertes y/o complejas” Eso sí, sin descuidar el nombre de usuario, ya que también es muy importante. Hay quienes se centran solo en la contraseña y dejan desprotegido el nombre de usuario. Hay que mantener fuertes tanto el nombre de usuario como la contraseña.

Por lo tanto, debes dejar atrás los malos hábitos de usar “admin” o un nombre de usuario similar, ya que, aunque parezca mentira ese nombre de usuario es el más usado por casi todos los webmasters que tienen una página web en Internet ¡nadie lo cambia! Y no es tan difícil poner otro completamente nuevo para mejorar considerablemente la seguridad de tu página web, ya sea con Joomla u otro CMS.

En lo que respecta a la contraseña. Hay que olvidarse de contraseñas similares a 123456 o qweasd. Lo ideal es tener una contraseña fuerte y larga con al menos 20 caracteres alfanuméricos aleatorios en combinación con mayúsculas, minúsculas y algunos signos. Así como no utilizar esa contraseña para muchas cosas. En medida de lo posible lo mejor es que dispongas de una contraseña para cada cosa.

¿Al menos 20 caracteres? Seguro que estás pesando estos se han vuelto locos ¡son un montón de caracteres! ¿Cómo voy a recordar una contraseña tan larga? Muy sencillo: descargarte algún tipo de software de gestión de contraseñas gratuito o de pago, eso ya lo que tu prefieras. Te recomendamos 3: RoboForm, LastPass.com y 1Password sobre todo si usas Mac. No tienes por qué recordar una contraseña tan larga cuando hay programas que lo pueden hacer por ti.

A diario son hackeados miles de sitios web por tener como nombre de usuario “admin” y como contraseña “123456”. Ni siquiera hace falta un ataque de fuerza bruta para obtener estos datos, ya que son los favoritos por la gran mayoría. Lo cierto es que estas credenciales son muy, pero que muy sencillas. Sin embargo, el riesgo de que une extraño puede acceder con ellos como administrador a tu sitio es de un 99%.

Bloquear el acceso al sitio

Otro método para evitar los atques de fuerza bruta es restringiendo el acceso al sitio o al servidor basado en el rango de IPs de los atacantes.

Hay un par de maneras de afrontar esto:

• Usar una extensión de Joomla -> AdminExile
• Utilizar un bloqueo por .htaccess

Extensión de Joomla -> AdminExile

En lo que respecta a extensiones para Joomla hay una muy buena que vio la luz con la versión 2.5 de Joomla. Se trata de la extensión AdminExile. Esta extensión te permite bloquear IPs después de una cierta cantidad de intentos fallidos al poner de forma incorrecta la contraseña, y puedes establecer por cuánto tiempo estará el bloqueo en vigor. Esta extensión ha demostrado ser muy eficaz, ya que he evitado miles de ataques muy desagradables para los webmaster con Joomla.

• AdminExile en profundidad AQUÍ

Bloqueo por .htaccess

En servidores LAMP (Linux, Apache, MySQL, PHP) como los que tenemos en Hostine se puede añadir direcciones IP al archivo .htaccess.

Recordemos que este archivo suele estar oculto. Para desocultarlo desde el administrador de archivos de cPanel, click arriba del todo en la rueda dentada de la derecha en “Configuración” y después click en el check box de “Mostrar archivos ocultos (dotfiles)”

Esto evitará que esas direcciones IP lleguen incluso a tu página de administrador de Joomla o a cualquier otra página de tu site.

Esta es una web-herramienta que te facilita la creación de la línea de código que necesitas introducir en tu archivo .htaccess, tan solo debes poner una IP por línea y darle al botón de “generate .htaccess file”:

http://www.htaccesstools.com/block-ips/

Código de ejemplo:

Order Deny,Allow
Deny from 191.191.19.191

Conclusión

Para acabar, recalcar que los ataques de fuerza bruta es algo con lo que se debe convivir a diario, sin embargo, como has podido comprobar en este artículo puedes poner medidas para ello y evitar que alguien tenga éxito en llevar a cabo uno de estos ataques contra tu site Joomla. Te recordamos que lo primero que debes hacer es aumentar la complejidad de tu contraseña de súper administrador de Joomla. 

Hosting Joomla SSD Cloud

En Hostinet puedes adquirir el mejor Hosting Joomla SSD Cloud del mercado. Gracias a este alojamiento web con discos sólidos conseguirás sacarles todo el partido a tus webs. Descubre nuestros planes Joomla para hospedar varios dominios diferentes, resolviendo cada uno de ellos con su propio Joomla independiente: