Portada Wordpress Loginizer Brute Forze para WordPress- Configuración Agresiva Contra Ataques de Fuerza Bruta
Uno de los mayores problemas en WordPress son los llamados ataques de fuerza bruta. Ya no por lo efectivos que puedan ser, si no por el consumo de recursos y el incordio que suponen. Con un plugin como «Loginizer Brute Forze» configurado de forma agresiva, puedes controlar este tipo de ataques prácticamente del todo.
Cuando te haces cargo de la administración de un WordPress, tienes que ser consciente que vas a recibir ataques para hacerse con el control de tu sitio web.
Da igual lo mucho o poco importante que sea tu web, ya que los atacantes no se basan es eso, simplemente se trata de un bot que busca en todos los dominios la página de login y empieza a probar accesos.
Este tipo de ataques se les conoce como «Ataques de Fuerza Bruta» y la verdad es que no son nada efectivos, pero son muy sencillos de realizar, así que son muy comunes.
Sólo tiene éxito si estás usando una contraseña de acceso nada segura, esto quiere decir una palabra que exista de verdad en cualquier diccionario.
Lo que hacen estos ataques de fuerza bruta es probar contraseñas de acceso a un ritmo endiablado.
Por ejemplo, el nombre de usuario administrador por defecto en WordPress es «admin», así que el script sólo tiene que «probar suerte» con el nombre de usuario predeterminado y empezar a probar palabras como contraseña, incluso poniendo alguna mayúscula.
Como te podrás imaginar y como hemos comentado, efectivo no es, pero no deja de ser un incordio, porque cada una de esas peticiones de login incorrectas, afecta al rendimiento de nuestro hosting.
Por suerte, es algo bastante sencillo de evitar en WordPress, ya que disponemos de varias opciones en forma de plugin para evitar todo esto.
Hay uno de estos plugins que le gusta especialmente a los usuarios de WordPress y se llama Loginizer Brute Forze, por su sencillez de uso y porque la versión gratuita del plugin sirve para nuestro propósitos.
Ya estuvimos viendo cómo funcionaba en este artículo, para un uso predeterminado, pero esta vez vamos a ir un paso más allá y lo vamos a configurar de una forma mucho más agresiva, para cortar de raíz los intentos de ataques de fuerza bruta.
Bueno, ante de nada comentarte la configuración por defecto del plugin Loginizer es más que suficiente en la mayoría de los casos, pero haciendo un prueba en un WordPress de prueba me llevé una sorpresa.
El plugin puede guardar unas horas de registro de incidencias, esto quiere decir que nos informa del número de bloqueos que realiza.
Al revisar el informe al día siguiente vi que el número de bloqueos que mostraba era totalmente desproporcionado con lo que yo podía intuir para un blog de estas características.
Hojas y hojas de bloqueos de IP’s que parecía no tener fin y lo peor era que muchas de las Ip’s eran las mismas, la cuales, una vez pasado el tiempo estipulado del bloqueo, se liberaban y volvían a intentarlo, esto día tras día….
Al principio pensé que podía bloquear estas IP’s a nivel de servidor, pero eran muchas, así que decidí configurar el plugin de forma muy agresiva, para que estos estúpidos bots dejaran de molestarme.
Como he comentado antes, el plugin tiene una versión gratuita que puedes descargar desde aquí o buscarlo en el repositorio de plugins de WordPress, como prefieras.
El caso es que una vez esté activado, verás un nuevo menú en tu WordPress llamado Loginizer Security.
En menú sólo cuenta de dos opciones:
– Escritorio
– Brute Force
Nos vamos a centrar en Brute Force para ver su configuración. Sólo aclarar que una vez has activado el plugin, la protección contra estos ataques ya está activada.
La configuración por defecto es la que podéis ver en la siguiente imagen. Más abajo la explico:
Como he comentado, esta configuración es bastante equilibrada y puedes probar par ver qué tal te va.
Sólo tienes que dejarla y ver al día siguiente el informe que encontrarás en esta misma sección, un poco más arriba.
Si todo es correcto, sólo tendrás unos pocos casos de intentos de login incorrectos, pero quizás te sorprenda la cantidad de bloqueos que descubres y lo peor es que hasta que no has instalado el plugin no tenías ni idea de la cantidad de ataques diarios que estabas sufriendo en tu WordPress.
En las pruebas que realice, vi que muchas de las direcciones IP que llegaban al bloqueo de 24 horas, volvían a ser bloqueadas una y otra vez, lo que indicaba que el tiempo no era un problema para el bot.
Una vez había detectado la página de login, lo intentaría una y otra vez, aunque el resultado fuera negativo una y otra vez.
Así cambié la configuración del plugin Loginizer para cargarme los molestos bots o al menos ralentizar su incómoda actividad.
La configuración que puse fue la siguiente:
Quizás te parezca demasiado agresivo, pero esto es un detalle del informa de un día cualquiera:
Como puedes comprobar, todas las IP’s bloqueadas ha llegado al bloqueo de las 600 horas, cuando ha pasado el primer bloqueo de 10 horas.
No todas lo hacen pero si muchas de ellas, lo que significa que el sitio está bajo un ataque continuo, aunque ya depende de cada uno valorar si es una configuración muy agresiva o no.
También depende micho de si tienes usuario en tu WordPress o no, ya que no querrás bloquear a un usuario al segundo intento, pero puedes llagar a un equilibrio con una configuración personalizada por ti.
En cualquier caso siempre puedes usar la configuración por defecto de Loginizer y revisar el informe… quizás te sorprenda.