Evitar ataques de fuerza bruta a WordPress con Limit Login Attempts

Categorias: Plugins

 Evitar ataques de fuerza bruta a WordPress con Limit Login Attempts

Actualización 03/12/2018

El plugin Limit Login Attempts lleva 7 años sin actualizarse, por lo que ya no es una opción válida para instalar en WordPress.

Cuando un plugin deja de recibir actualizaciones de manera habitual, significa que los desarrolladores del plugin ya han abandonado el proyecto, por lo que cualquier fallo de seguridad que pueda aparecer no será solucionado.

Por lo general, hay que dejar de usar plugins que no se actualicen de manera habitual y buscar una alternativa para no tener problemas de seguridad en nuestro WordPress.

La alternativa natural sería el plugin Loginizer, el plugin más popular en WordPress para solucionar este tipo de problemas.

Loginizer Security Plugin WordPress

Loginizer es un plugin de WordPress gratuito y muy sencillo de usar que soluciona en un momento cualquier intento de ataque por fuerza bruta que intente acceder a la administración de nuestro WordPress.

Es posible buscarlo e instalarlo desde la propia sección de plugins de nuestro WordPress o descargarlo desde aquí si preferimos su instalación manual.

Al instalarlo, veremos un nuevo menú en el administrador de WordPress llamado Loginizer Security.

loginizer menu WordPress

En el plugin no disponemos de varias multitud de opciones como otros plugins encargados de reforzar la seguridad de WordPress, de hecho solo tenemos:

  • – Escritorio
    Donde encontraremos información sobre nuestra instalación de WordPress y sus archivos.
  • – Brute Force
    Desde donde podemos configurar el plugin y su forma de actuar frente a un posible ataque.
  • – Go Pro
    Por si queremos hacernos con la opción PRO de pago del plugin, con más opciones en caso de que se necesiten, aunque por lo general no será así.

Para configurar el plugin Loginizer iremos directamente a la opción Brute Force.

Está todo en inglés, pero es muy sencillo de configurar y te vamos a comentar para que sirve cada una de las opciones.

Brute Force Settings

En este apartado encontraremos todas las opciones necesarias para configurar el plugin, como verás no hay mucho que configurar.

  • – Max Retries
    Aquí indicaremos el número máximo de intentos que permitiremos antes del bloqueo. Por defecto está configurado como 3. Si alguien intenta acceder más de 3 veces con un dato erróneo será bloqueado.
  • – Lockout Time
    Aquí podemos configurar el tiempo que se bloqueara al usuario. Por defecto 15 minutos.
  • – Max Lockouts
    Esto es el número máximo de bloqueos antes de un bloqueo mayor. Por ejemplo, si no cambiamos la configuración original, un usuario falla 3 veces al intentar acceder y se le bloquearía por 15 minutos. Pasado este tiempo podría volver a intentarlo otras 3 veces, pero se repite el proceso y vuelve a bloquearse cierto número de veces (5 por defecto), se le bloquearía de una forma más permanente.
  • – Extend Lockout
    El tiempo que bloquearemos al usuario si ha fallado el límite máximo que hayamos establecido en Max Lockouts.
  • – Reset Retries
    El tiempo en el que queramos que reseteen todos los intentos de acceder.
  • – Email Notification
    Si queremos que nos envíe un email cada vez que se bloquee a alguien, aquí podemos poner el límite. 0 es nunca. Si ponemos 5 nos avisará cuando haya bloqueado a 5 veces.

loginizer opciones fuerza bruta WordPress

Los siguientes dos apartados están muy relacionados, una es la Blacklist IP y la otra la Whitelist IP.

Su uso es muy sencillo, en la Blacklist IP podemos añadir una dirección IP para bloquearla siempre, independientemente de si ha fallado al loguearse o no.

Esto está bien si detectamos que una dirección IP está intentando colarse de una manera recurrente.

Lamentablemente, los atacantes suelen usar distintas direcciones IP cada poco tiempo, así que es posible que con el tiempo no sea muy efectivo, pero siempre está bien darnos esta opción.

Después tenemos la Whitelist IP que hace justo lo contrario que la opción Blaklist IP, es decir que cualquier dirección IP que añadamos en la opción Whitelist IP, nunca será bloqueada, por ejemplo, nuestra propia dirección IP.

También podemos añadir rango de direcciones IP, pero si no estamos familiarizados con esto, será mejor no jugar mucho para no bloquear IP’s inocentes.

loginizer blacklist whitelist ip WordPress

Por último tenemos el apartado Error Messages, desde donde podemos personalizar los mensajes que se mostrarán al bloquear algún usuario.

Por defecto vienen en inglés pero si queremos, dejar claro porque los estamos bloqueando, aquí podemos hacerlo.

loginizer mensajes error WordPress

Como puedes ver, la configuración del plugin Loginizer es muy sencilla de realizar y por este motivo es uno de los más usados en WordPress para evitar los ataques de fuerza bruta.

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!

A partir de aquí, artículo desactualizado.

Cuando intentamos loguearnos en el dashboard/escritorio del WordPress de nuestro Hosting accediendo vía /wp-admin, tenemos que introducir nuestro usuario y una contraseña. Si nos equivocamos podemos volver a teclearla sin problemas el número de veces que queramos, y esto es un problema de seguridad. Es bien sabido que la mayoría de los usuarios administradores de WordPress se llaman «admin». ¿El tuyo también? No te tires de los pelos aún, vamos a aprender a evitar ataques de fuerza bruta al login de WordPress utilizando un sencillo plugin.

Existen varias formas de atacar nuestro WordPress y una de ellas es por fuerza bruta. Este método consiste en introducir un usuario y una contraseña un montón de veces hasta dar con la contraseña correcta. Para ello se utlizan programas que lanzan contraseñas cada menos de un segundo, por lo que al día pueden realizarse decenas de miles de intentos de acceso. En algún momento darán con la clave correcta.

Es por eso que si ponemos un límite de intentos para acceder a nuestra sección de administración nos curamos en salud y evitamos este tipo de ataques. Para ello vamos a utilizar el plugin Limit Login Attempt.

Este plugin, a pesar de llevar dos años sin actualizarse, sigue funcionando de maravilla. En las revisiones del propio plugin varios usuarios comentan que les ha funcionado sin problemas para la versión 4.1.1, así que puedes instalarlo sin miedo. Lo hacemos desde la sección Plugins > Añadir Nuevo. Tiene esta pinta:

Una vez instalado este plugin wordpress en nuestro Hosting, lo activamos y se nos creará la opción Ajustes > Limit Login Attempts. Accedemos a ella.

En este panel podemos configurar las opciones del plugin. Es extremadamente simple.

Una vez alguien intente acceder según los intentos que hayamos situado, en la parte inferior de este panel de administración se nos mostrará la IP desde la que se ha intentado acceder.

Para terminar, recomendamos cambiar el nombre del usuario administrador «admin» y utilizar uno personalizado para evitar grandes males.