Portada Wordpress Wordfence Bloquea Contraseñas Filtradas en WordPress
Wordfence Security es un plugin de seguridad para WordPress, quizás el más usado en estos momentos, instalado en más de un millón de instalaciones de WordPress.
Desde su reciente actualización 7.1.0, ha añadido una nueva característica a sus funciones que puede dar lugar a más de un quebradero de cabeza y un tanto polémica.
La nueva medida es bloquear las contraseñas de acceso a WordPress que se hayan visto comprometidas en alguna ocasión.
Más tarde explicaremos cómo están valorando esto desde Wordfence, pero si al intentar acceder a WordPress la contraseña habitual no funciona y se tiene instalado Wordfence, este puede ser el motivo.
Lo primero que vamos a hacer en este artículo, es ayudar a detectar si el motivo de que la contraseña de acceso habitual no funcione, es por la nueva medida de Wordfence.
Lo primero y más básico, si no se tiene instalado Wordfence, todo lo que se indique en este artículo, no será el motivo de no poder acceder a WordPres.
Saber si tenemos algún problema es muy sencillo, sólo debemos acceder a WordPress de la manera habitual, si la contraseña permite acceder, perfecto, si no permite el acceso, puede que el plugin la haya bloqueado.
Wordfence publicó en su blog esta nueva característica desde la versión 7.1.0. (artículo original aquí en inglés), algo que es habitual, destacar las nuevas funcionalidades del plugin en el blog.
En el artículo añadieron una captura de pantalla en la que se ve el mensaje se mostraría en el caso de que un administrador de WordPress intentara acceder con una contraseña que estuviera añadida a la lista negra, que sería algo así:
En esta captura se puede leer Insecure Password seguido de un texto en inglés en el que se explica por qué se ha bloqueado la contraseña.
Aunque no se sepa hablar inglés, la alerta muestra claramente dónde está el problema, la contraseña.
Pero hemos visto que no siempre se muestra este mensaje y eso es un problema, porque hemos visto un mensaje de alerta que hace referencia a las cookies:
Y lo que es peor, ninguna alerta, nada de nada:
Esto es un problema porque el usuario no sabe el motivo que le impide acceder a su WordPress y los mensajes que se entregan sólo causan más confusión.
Si las notificaciones por email está activas, se recibirá un email de advertencia en el que se comunica que la contraseña ha sido bloqueada por ser insegura, pero tarda unos minutos desde el primer intento de acceder al administrador de WordPress.
En el email se explica lo que ha pasado, en perfecto inglés, y algunos enlaces para cambiar la contraseña.
Ante una contraseña comprometida lo mejor es, siempre, cambiar la contraseña.
A muchos administradores de WordPress y a todos los usuarios en general, les cuesta cambiar las contraseñas de acceso ya que hay que volver a memorizarlas, cambiarlas de los accesos directos, etc…
Pero si la contraseña que se está usando para acceder está en manos de personas que se dedican a atacar sitios web, ya sean WordPress o no, sólo hay una opción lógica, cambiar la contraseña.
Cambiar la contraseña en WordPress en algo muy sencillo. Solo hay que pulsar en ¿Has perdido tu contraseña? en la página de acceso al administrador
Después añadir el nombre de usuario o el email de la cuenta de WordPress:
Y WordPress enviará un email con un enlace que tendremos que pulsar para que nos permita añadir una contraseña nueva:
WordPress nos dará una opción de contraseña segura muy difícil de recordar. Se puede añadir otra, pero se recomienda encarecidamente usar contraseña seguras.
En los tiempos que corren, usar contraseñas fáciles de recordar o poco seguras, puede acarrear serios problemas.
Otra opción sería desinstalar Wordfence, pero es una opción muy poco recomendable.
Que existe una filtración de contraseñas es una realidad, en diciembre de 2017 se filtraron 1.400 millones de contraseña sin contar las filtradas anteriormente. Las cifras son realmente alarmantes.
Se puede vivir pensando, -Yo no soy nadie importante y nadie quiere mi contraseña para entrar mi pequeño blog personal, pero eso es un error, a los atacantes les da igual si eres grande o pequeño, si tu sitio recibe miles de visitas o solo unas pocas a la semana, si tienen la oportunidad de acceder, lo harán.
Si Wordfence ha decidido realizar este cambio en su plugin es porque han detectado que los atacantes cada vez tiene más recursos para usar las credenciales filtradas y la única manera de garantizar la seguridad es bloqueando las contraseñas filtradas.
Son más de 1.400 millones, así que se han tomado una decisión algo drástica, pero efectiva.
Quizás una serie de avisos antes de bloquear la contraseña habría sido una opción menos radical, pero no es el caso y hay que aceptarlo o seguir usando contraseñas filtradas y comprometidas.
Lo que si deberían revisar y pronto, es el error en los avisos cuando se bloquea una contraseña, ya que pueden confundir mucho al usuario, ya molesto por tener que cambiar sus inseguras contraseñas.
Las contraseñas filtradas no apuntan directamente a la instalación de WordPress, son del tipo:
juan@MiDominio.info:1234 juan@gmail.com:123456
No saben si el nombre de usuario es el dominio u otro, tampoco saben a qué servicio se pueden pertenecer, pero realizan un verdadero trabajo de investigación para averiguarlo.
Por ejemplo, algo sencillo, van a MiDominio.info y comprueban si se usa WordPress. En caso afirmativo prueba con el usuario admin, que es que que añade WordPress por defecto, y la contraseña 1234.
También pueden probar otros nombres de usuario como tudominio o pequeñas variaciones, pero no realizan en clásico ataque de fuerza bruta que les bloquearía casi al instante.
También parece que están buscando juan@gmail.com y que dominios ha registrado esa cuenta de email. Si aparece alguno, van al domino y repiten la operación anterior.
Todo parece poco efectivo, pero si contamos que son millones de cuentas, pueden encontrar cientos de miles de resultados positivos.
Si una contraseña ha sido filtrada y Wordfence te pide el cambio hay que pensar algo muy importante… ¿He usado la misma contraseña en otros servicios?.
Si la respuesta es afirmativa, lo mejor que se puede hacer es cambiar esa contraseña lo antes posible.
En este artículo nos hemos centrado en WordPress, pero nadie puede impedir que otros atacantes usen las contraseñas filtradas para intentar acceder a cuentas de email, bancos o cualquier otro tipo de servicio.
En el caso de WordPress, los clientes de Hostinet cuentan con un extra de seguridad.
Si bien no podemos impedir que un atacante entre en una instalación de WordPress si tiene acceso a la contraseña, si que podemos mitigar los daños que puedan causar.
Nuestro sistema busca en todos los alojamientos web cualquier tipo de malware que un atacante pueda haber insertado.
Si se detecta, se aísla, se protege el sitio web con una contraseña para que no pueden causar más daños y se avisa al cliente para que pueda eliminar la amenaza, como si fuera un antivirus instalado en cualquier ordenador personal.
Además, disponemos de una gran variedad de hosting WordPress SSD con todas las características necesarias para disfrutar de un hosting de confianza y soporte técnico especializado por teléfono y correo electrónico.
Estas son alguna de las propuestas de hosting WordPress:
Síguenos en nuestras redes sociales: Facebook y Twitter @hostinet