En este post queremos recomendarte un plugin WordPress que consideramos muy útil para evitar situaciones embarazosas ante posibles ataques de los denominados de fuerza bruta. Es muy sencillo de configurar y, además, podrá aumentar el rendimiento y velocidad de tu sitio web. ¡Esperamos que te resulte bastante interesante para tu sitio web creado con WordPress!
Qué es un ataque de fuerza bruta
Una de las situaciones más problemáticas en todo sistema informático es que el atacante consiga el usuario y la contraseña para autenticarse en un sitio. El atacante puede conseguir estos datos de autenticación de diversas maneras. Una típica es que se haya expuesto, por un problema de seguridad, los datos de login en una plataforma y que el atacante los use directamente. Esto ocurre de vez en cuando y existen diversos casos sonados de sitios muy populares, incluso el problema se agrava porque hay usuarios que usan siempre las mismas claves, con lo que el atacante podría usar esa misma clave expuesta en diversos sitios web.
Pero, sin necesidad que ocurra un problema de seguridad, un atacante puede intentar acceder a un sistema de autenticación simplemente probando un usuario y contraseña, a ver si suena la flauta y por una casualidad de aquellas da con la combinación perfecta, que le permita autenticarse. El atacante comenzará probando con usuarios genéricos como «admin» y claves que las personas suelen usar como «123456», «sol», «lunes» y cosas así.
Lógicamente, si esa prueba y ensayo de combinaciones usuario y clave se realiza miles de veces, mediante un sistema informático que haga todas las combinaciones imaginables, es más fácil que el atacante consiga su deseado premio. A este tipo de ataque es al que se denomina «de fuerza bruta». Es uno de los ataques más sencillos de realizar y por tanto más frecuentes, en los que solamente se necesita un programa informático que se dedique a probar todas las combinaciones de manera automática, hasta que encuentre una que le sirva.
Cómo evitar los ataques de fuerza bruta
Cualquier sistema informático debería tener algún tipo de protección ante los ataques de fuerza bruta. Tan sencillo es este tipo de ataque como su solución. Básicamente, evitarlo consiste en crear un sistema que contabilice los intentos de login fallidos y que, cuando se producen repetidas veces seguidas, simplemente se ponga al ordenador que lo intenta (la IP desde donde se realizaron los fallos de login) en una lista negra. De este modo, cualquier intento posterior de un usuario de la lista negra, se rechazará sin siquiera comprobar si la clave que intenta usar es válida o no.
WordPress no tiene activado de manera predeterminada un sistema que bloquee los ataques de fuerza bruta y es ahí donde entra en juego el plugin que os queremos recomendar.
Conociendo el plugin Limit Login Attempts Reloaded
Este plugin funciona de manera sencilla y práctica para repeler los ataques de fuerza bruta, en WordPress en general. Así que también te servirá para sitios de comercio electrónico con WooCommerce, por ejemplo.
El plugin simplemente limita el número de intentos de login que una IP puede realizar, dejando al administrador del sitio WordPress configuraciones diversas como el tiempo de bloqueo de la IP, cómo debe avisar a los administradores de que ciertas IP están siendo bloqueadas, los mensajes que deben suministrarse al usuario cuando falla su intento de login, etc.
Por supuesto, también permite la monitorización del sistema de login y la gestión de los intentos de login bloqueados. Además, es compatible con otros plugin dedicados a la seguridad de WordPress.
El plugin es gratuito y nos permitirá un nivel mayor de protección sin realizar ningún desembolso. Además, también aumentará el rendimiento de los sitios, ya que libera al sistema de realizar el completo proceso de login ante IPs que han sido bloqueadas, por lo que no nos inundarán el sitio de WordPress con solicitudes de login infinitas. Su parte premium permite usar la nube para la gestión de los bloqueos, para beneficiarse de otras utilidades como la verificación de IPs problemáticas detectadas a nivel general.
Instalar el plugin Limit Login Attempts Reloaded
El plugin lo podemos instalar como cualquier otro, desde la administración de WordPress. Una vez instalado y activado no tenemos que hacer nada en especial para comenzar a estar protegidos.
Además ahora, si entras en la sección de administración del plugin, podrás encontrar un informe de intentos de acceso. Seguramente te sorprenderá la cantidad de intentos de login que se producen diariamente y en el histórico global.
También sería recomendable entrar en la sección de «settings», donde podremos configurar el comportamiento del sistema de protección de fuerza bruta.
Aquí es donde puedes regular el número de intentos, el email donde te deben informar de las IPs bloqueadas, el tiempo de desbloqueo automático de una IP y muchas otras cosas.
En fin, resulta de un plugin para WordPress muy recomendable que no queríamos dejar pasar. Puedes encontrar más información en la página del plugin Limit Login Attempts Reloaded. Asimismo, puedes descubre algunos de los plugins de WordPress que puedes necesitar para tu proyecto online, como es el caso de: