6 consejos para evitar los ataques de fuerza bruta en Wordpress

Muchas de las fuentes principales que hablan de Wordpress confirman que la mayoría de los ataques de fuerta bruta que se producen están dirigidos a sitios montados sobre el CMS de Wordpress y Joomla. Empresas de hosting como Hostgator y LiquidWeb entre otras informan continuamente de estos sucesos a sus clientes. Los hackers botnet contienen más de 90.000 direcciones IP diferentes, y se aprovechan  de los errores más comunes que algunos principiantes de Wordpress suelen cometer. Sí, la verdad es que esto puede ser un serio problema, así que vamos a mostrar que necesitamos hacer para disminuir las probabilidades de ser hackeado.

1. Deja de usar el nombre de usuario que viene por defecto «admin».

Es muy común que los usuarios principiantes utilicen nombres de usuario muy comunes o que vienen por defecto como admin, administrador, prueba….Recientemente las principales empresas de hosting nos advierten de que los nombres de usuario están siendo el punto de mira en estos momentos. Si tienes un nombre de usuario genérico (como admin) en un sitio de WordPress, entonces debemos cambiarlo ahora mismo.

2. Utiliza una contraseña segura.

Esto es algo que no podemos dejar pasar, y es utilizar una contraseña bastante fuerte. Estos ataques de fuerza bruta intentan orientar todas las contraseñas más comunes que los usuarios usan en sus sitios. Una contraseña segura contiene letras mayúsculas y minúsculas, números y símbolos. No uses la misma contraseña en más de una ubicación. Nunca es demasiado tarde para empezar a usar una solución de administración de contraseñas como 1Password o LastPass.

3. Haz regularmente copias de seguridad de archivos y base de datos.

La mejor seguridad que podemos tener para nuestro sitio web es disponer de una copia de seguridad de forma regular. Podemos hacer nuestras copias manualmente desde nuestro gestor de hosting, también existen plugins como veremos más adelante que pueden hacer este trabajo de forma automática.

Es importante hacer de forma periódica dichas copias, pues las empresas de hosting por regla general no suelen hacerlas.

4. Usa autenticación de dos factores.

Comience a utilizar autenticación de dos factores. De esta manera, incluso si alguien adivina tu contraseña, no podrá acceder a tu sitio porque no tienen la clave de seguridad. Recomendamos hacer esto lo antes posible donde el plugin Google Authenticator puede ser de ayuda.

5. Protege con una contraseña el WP-Admin y limita los intentos de conexión.

Siempre es recomendable limitar los intentos de conexión de los usuarios, aunque esto por sí solo no puede protegernos de todos los ataques, ya que un botnet contiene 90.000 IPs. Otra cosa que puedes hacer es proteger con contraseña el directorio wp-admin, donde es recomendable limitar el archivo wp-login.php a una dirección IP específica.

6. Comienza a usar el plugin Wordpress Security.

La mayoría de los ataque que sufre Wordpress son por motivos de vulnerabilidades producidos por los plugins, contraseñas débiles y software obsoleto. Uno de los plugins más populares es WP Sucurity donde entre muchas funciones oculta los sitios que son más propensos a estos ataques, manteniendo los lugares más sensibles como inicio de sesión, administración, etc, fuera de peligro.

Si no tenemos en cuenta estas precauciones es más fácil de lo que parece dejar nuestro sitio expuesto a inyecciones de código malicioso y ataques de cualquier tipo, y esto es algo que podemos evitar utilizando los consejos anteriormente mencionados.