Wordfence Bloquea Contraseñas Filtradas en WordPress

Categorias: Wordpress

Wordfence Bloquea Contraseñas Filtradas en WordPress

Wordfence Security es un plugin de seguridad para WordPress, quizás el más usado en estos momentos, instalado en más de un millón de instalaciones de WordPress.

Desde su reciente actualización 7.1.0, ha añadido una nueva característica a sus funciones que puede dar lugar a más de un quebradero de cabeza y un tanto polémica.

La nueva medida es bloquear las contraseñas de acceso a WordPress que se hayan visto comprometidas en alguna ocasión.

Más tarde explicaremos cómo están valorando esto desde Wordfence, pero si al intentar acceder a WordPress la contraseña habitual no funciona y se tiene instalado Wordfence, este puede ser el motivo.


La Contraseña de WordPress ha Dejado de Funcionar

Lo primero que vamos a hacer en este artículo, es ayudar a detectar si el motivo de que la contraseña de acceso habitual no funcione, es por la nueva medida de Wordfence.

Lo primero y más básico, si no se tiene instalado Wordfence, todo lo que se indique en este artículo, no será el motivo de no poder acceder a WordPres.

Saber si tenemos algún problema es muy sencillo, sólo debemos acceder a WordPress de la manera habitual, si la contraseña permite acceder, perfecto, si no permite el acceso, puede que el plugin la haya bloqueado.

Wordfence publicó en su blog esta nueva característica desde la versión 7.1.0. (artículo original aquí en inglés), algo que es habitual, destacar las nuevas funcionalidades del plugin en el blog.

En el artículo añadieron una captura de pantalla en la que se ve el mensaje se mostraría en el caso de que un administrador de WordPress intentara acceder con una contraseña que estuviera añadida a la lista negra, que sería algo así:

contraseña administrador WordPress bloqueada wordfence

En esta captura se puede leer Insecure Password seguido de un texto en inglés en el que se explica por qué se ha bloqueado la contraseña.

Aunque no se sepa hablar inglés, la alerta muestra claramente dónde está el problema, la contraseña.

Pero hemos visto que no siempre se muestra este mensaje y eso es un problema, porque hemos visto un mensaje de alerta que hace referencia a las cookies:

contrasena acceso WordPress bloqueada wordfence cookies

Y lo que es peor, ninguna alerta, nada de nada:

contrasena acceso WordPress bloqueada wordfence nada

Esto es un problema porque el usuario no sabe el motivo que le impide acceder a su WordPress y los mensajes que se entregan sólo causan más confusión.

Si las notificaciones por email está activas, se recibirá un email de advertencia en el que se comunica que la contraseña ha sido bloqueada por ser insegura, pero tarda unos minutos desde el primer intento de acceder al administrador de WordPress.

email advertencia contrasena administrador WordPress bloqueadainsegura wordfence

En el email se explica lo que ha pasado, en perfecto inglés, y algunos enlaces para cambiar la contraseña.


¿Solución? Cambiar la Contraseña

Ante una contraseña comprometida lo mejor es, siempre, cambiar la contraseña.

A muchos administradores de WordPress y a todos los usuarios en general, les cuesta cambiar las contraseñas de acceso ya que hay que volver a memorizarlas, cambiarlas de los accesos directos, etc…

Pero si la contraseña que se está usando para acceder está en manos de personas que se dedican a atacar sitios web, ya sean WordPress o no, sólo hay una opción lógica, cambiar la contraseña.

Cambiar la contraseña en WordPress en algo muy sencillo. Solo hay que pulsar en ¿Has perdido tu contraseña? en la página de acceso al administrador

cambiar contrasena bloqueada por Wordfence  wordpress

Después añadir el nombre de usuario o el email de la cuenta de WordPress:

obtener contrasena nueva wordpress Wordfence

Y WordPress enviará un email con un enlace que tendremos que pulsar para que nos permita añadir una contraseña nueva:

anadir nueva contrasena wordpress

WordPress nos dará una opción de contraseña segura muy difícil de recordar. Se puede añadir otra, pero se recomienda encarecidamente usar contraseña seguras.

En los tiempos que corren, usar contraseñas fáciles de recordar o poco seguras, puede acarrear serios problemas.

Otra opción sería desinstalar Wordfence, pero es una opción muy poco recomendable.


Contraseñas Filtradas y la Decisión de Wordfence

Que existe una filtración de contraseñas es una realidad, en diciembre de 2017 se filtraron 1.400 millones de contraseña sin contar las filtradas anteriormente. Las cifras son realmente alarmantes.

Se puede vivir pensando, -Yo no soy nadie importante y nadie quiere mi contraseña para entrar mi pequeño blog personal, pero eso es un error, a los atacantes les da igual si eres grande o pequeño, si tu sitio recibe miles de visitas o solo unas pocas a la semana, si tienen la oportunidad de acceder, lo harán.

Si Wordfence ha decidido realizar este cambio en su plugin es porque han detectado que los atacantes cada vez tiene más recursos para usar las credenciales filtradas y la única manera de garantizar la seguridad es bloqueando las contraseñas filtradas.

Son más de 1.400 millones, así que se han tomado una decisión algo drástica, pero efectiva.

Quizás una serie de avisos antes de bloquear la contraseña habría sido una opción menos radical, pero no es el caso y hay que aceptarlo o seguir usando contraseñas filtradas y comprometidas.

Lo que si deberían revisar y pronto, es el error en los avisos cuando se bloquea una contraseña, ya que pueden confundir mucho al usuario, ya molesto por tener que cambiar sus inseguras contraseñas.

Las contraseñas filtradas no apuntan directamente a la instalación de WordPress, son del tipo:

juan@MiDominio.info:1234
juan@gmail.com:123456

No saben si el nombre de usuario es el dominio u otro, tampoco saben a qué servicio se pueden pertenecer, pero realizan un verdadero trabajo de investigación para averiguarlo.

Por ejemplo, algo sencillo, van a MiDominio.info y comprueban si se usa WordPress. En caso afirmativo prueba con el usuario admin, que es que que añade WordPress por defecto, y la contraseña 1234.

También pueden probar otros nombres de usuario como tudominio o pequeñas variaciones, pero no realizan en clásico ataque de fuerza bruta que les bloquearía casi al instante.

También parece que están buscando juan@gmail.com y que dominios ha registrado esa cuenta de email. Si aparece alguno, van al domino y repiten la operación anterior.

Todo parece poco efectivo, pero si contamos que son millones de cuentas, pueden encontrar cientos de miles de resultados positivos.

Cosas a tener en Cuenta

Si una contraseña ha sido filtrada y Wordfence te pide el cambio hay que pensar algo muy importante… ¿He usado la misma contraseña en otros servicios?.

Si la respuesta es afirmativa, lo mejor que se puede hacer es cambiar esa contraseña lo antes posible.

En este artículo nos hemos centrado en WordPress, pero nadie puede impedir que otros atacantes usen las contraseñas filtradas para intentar acceder a cuentas de email, bancos o cualquier otro tipo de servicio.

En el caso de WordPress, los clientes de Hostinet cuentan con un extra de seguridad.

Si bien no podemos impedir que un atacante entre en una instalación de WordPress si tiene acceso a la contraseña, si que podemos mitigar los daños que puedan causar.

Nuestro sistema busca en todos los alojamientos web cualquier tipo de malware que un atacante pueda haber insertado.

Si se detecta, se aísla, se protege el sitio web con una contraseña para que no pueden causar más daños y se avisa al cliente para que pueda eliminar la amenaza, como si fuera un antivirus instalado en cualquier ordenador personal.

Además, disponemos de una gran variedad de hosting WordPress SSD con todas las características necesarias para disfrutar de un hosting de confianza y soporte técnico especializado por teléfono y correo electrónico.

Estas son alguna de las propuestas de hosting WordPress:

  • Hosting especializado en WordPress con discos SSDWordPress 55´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 107´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 5011´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 7513´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 55´99/mes
  • Hosting especializado en WordPress con discos SSDWordPress 107´99/mes
  • Hosting especializado en WordPress con discos SSDWordPress 5011´99/mes
  • Hosting especializado en WordPress con discos SSDWordPress 7513´99/mes
    • Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Supeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamiento
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
    • Copia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por Hostinet
    • Podrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento web
    • Precio para nuevas altas. Contratación anual.

Síguenos en nuestras redes sociales: Facebook y Twitter @hostinet