{"id":34065,"date":"2020-03-31T09:44:23","date_gmt":"2020-03-31T07:44:23","guid":{"rendered":"https:\/\/www.hostinet.com\/formacion\/?p=34065"},"modified":"2020-03-31T10:59:37","modified_gmt":"2020-03-31T08:59:37","slug":"loginizer-brute-forze-para-wordpress-configuracion-agresiva-contra-ataques-de-fuerza-bruta","status":"publish","type":"post","link":"https:\/\/www.hostinet.com\/formacion\/wordpress\/loginizer-brute-forze-para-wordpress-configuracion-agresiva-contra-ataques-de-fuerza-bruta\/","title":{"rendered":"Loginizer Brute Forze para WordPress- Configuraci\u00f3n Agresiva Contra Ataques de Fuerza Bruta"},"content":{"rendered":"
<\/div>

\"Loginizer<\/p>\n

Uno de los mayores problemas en WordPress son los llamados ataques de fuerza bruta. Ya no por lo efectivos que puedan ser, si no por el consumo de recursos y el incordio que suponen. Con un plugin como \u00abLoginizer Brute Forze\u00bb configurado de forma agresiva, puedes controlar este tipo de ataques pr\u00e1cticamente del todo<\/strong>.<\/p>\n

Cuando te haces cargo de la administraci\u00f3n de un WordPress<\/strong>, tienes que ser consciente que vas a recibir ataques<\/strong> para hacerse con el control de tu sitio web.<\/p>\n

Da igual lo mucho o poco importante que sea tu web<\/strong>, ya que los atacantes no se basan es eso, simplemente se trata de un bot<\/em><\/strong> que busca en todos los dominios la p\u00e1gina de login y empieza a probar accesos<\/strong>.<\/p>\n

Este tipo de ataques se les conoce como \u00abAtaques de Fuerza Bruta\u00bb<\/strong> y la verdad es que no son nada efectivos, pero son muy sencillos de realizar, as\u00ed que son muy comunes.<\/p>\n

S\u00f3lo tiene \u00e9xito si est\u00e1s usando una contrase\u00f1a de acceso nada segura<\/strong>, esto quiere decir una palabra que exista de verdad en cualquier diccionario.<\/p>\n

Lo que hacen estos ataques de fuerza bruta es probar contrase\u00f1as de acceso a un ritmo endiablado.<\/p>\n

Por ejemplo, el nombre de usuario administrador por defecto en WordPress es \u00abadmin\u00bb<\/em>, as\u00ed que el script s\u00f3lo tiene que \u00abprobar suerte\u00bb<\/em> con el nombre de usuario predeterminado y empezar a probar palabras como contrase\u00f1a<\/strong>, incluso poniendo alguna may\u00fascula.<\/p>\n

Como te podr\u00e1s imaginar y como hemos comentado, efectivo no es, pero no deja de ser un incordio, porque cada una de esas peticiones de login incorrectas, afecta al rendimiento de nuestro hosting<\/strong>.<\/p>\n

Por suerte, es algo bastante sencillo de evitar en WordPress<\/strong>, ya que disponemos de varias opciones en forma de plugin para evitar todo esto.<\/p>\n

Hay uno de estos plugins que le gusta especialmente a los usuarios de WordPress y se llama Loginizer Brute Forze<\/strong>, por su sencillez de uso y porque la versi\u00f3n gratuita del plugin sirve para nuestro prop\u00f3sitos.<\/p>\n

Ya estuvimos viendo c\u00f3mo funcionaba en este art\u00edculo<\/a>, para un uso predeterminado, pero esta vez vamos a ir un paso m\u00e1s all\u00e1 y lo vamos a configurar de una forma mucho m\u00e1s agresiva, para cortar de ra\u00edz los intentos de ataques de fuerza bruta<\/strong>.<\/p>\n

\n

\"Hosting<\/a><\/p>\n

\n

 <\/p>\n

Loginizer – Configuraci\u00f3n Agresiva contra Ataques de Fuerza Bruta<\/h2>\n

Bueno, ante de nada comentarte la configuraci\u00f3n por defecto<\/strong> del plugin Loginizer es m\u00e1s que suficiente en la mayor\u00eda de los casos<\/strong>, pero haciendo un prueba en un WordPress de prueba me llev\u00e9 una sorpresa.<\/p>\n

El plugin puede guardar unas horas de registro de incidencias, esto quiere decir que nos informa del n\u00famero de bloqueos que realiza<\/strong>.<\/p>\n

Al revisar el informe al d\u00eda siguiente vi que el n\u00famero de bloqueos que mostraba era totalmente desproporcionado<\/strong> con lo que yo pod\u00eda intuir para un blog de estas caracter\u00edsticas.<\/p>\n

Hojas y hojas de bloqueos de IP’s que parec\u00eda no tener fin y lo peor era que muchas de las Ip’s eran las mismas<\/strong>, la cuales, una vez pasado el tiempo estipulado del bloqueo<\/strong>, se liberaban y volv\u00edan a intentarl<\/strong>o, esto d\u00eda tras d\u00eda….<\/p>\n

Al principio pens\u00e9 que pod\u00eda bloquear estas IP’s a nivel de servidor, pero eran muchas, as\u00ed que decid\u00ed configurar el plugin de forma muy agresiva, para que estos est\u00fapidos bots<\/em> dejaran de molestarme<\/strong>.<\/p>\n

Como he comentado antes, el plugin tiene una versi\u00f3n gratuita que puedes descargar desde aqu\u00ed<\/a><\/em> o buscarlo en el repositorio de plugins de WordPress, como prefieras.<\/p>\n

El caso es que una vez est\u00e9 activado, ver\u00e1s un nuevo men\u00fa en tu WordPress llamado Loginizer Security<\/strong>.<\/p>\n

\"loginizer-plugin-menu<\/p>\n

En men\u00fa s\u00f3lo cuenta de dos opciones:<\/p>\n

– Escritorio<\/strong><\/p>\n

– Brute Force<\/strong><\/p>\n

Nos vamos a centrar en Brute Force<\/strong> para ver su configuraci\u00f3n. S\u00f3lo aclarar que una vez has activado el plugin, la protecci\u00f3n contra estos ataques ya est\u00e1 activada.<\/p>\n

La configuraci\u00f3n por defecto es la que pod\u00e9is ver en la siguiente imagen. M\u00e1s abajo la explico:<\/p>\n

\"loginizer<\/p>\n