Hoy haremos un repaso de los plugins disponibles en WordPress para evitar los ataques de fuerza bruta.
En el artículo de la semana pasada comentamos los beneficios de utilizar un pre-login en nuestro sitio web para evitar ataques de fuerza bruta.
Si bien el pre-login es una utilidad muy interesante, es importante conocer los diferentes plugins WordPress para protegerse de ataques de fuerza bruta y sus características especiales.
CONTENIDOS DE LA ENTRADA
Evitar ataques de Fuerza bruta en WordPress por medio de plugins
Simple Login Lockdown
Este plugin detecta los repetidos intentos fallidos de acceso, y puede bloquear las IP´s según el límite de intentos que hayamos configurado. Es decir, si queremos que un usuario solamente pueda intentar acceder 3 veces, si no ha conseguido acceder correctamente al tercer intento, el plugin bloqueará su ip hasta que pase el tiempo que hayamos configurado.
También permite añadir el tiempo de bloqueo de las IP´s que han fallado previamente en el login.
WP Limit login attempts
Lo bueno es que es un plugin ligero, pero la opción free no es configurable. Las opciones solo son accesibles desde la versión Premium (de pago).
Estuvo desactualizado durante los 2 últimos años; hace poco lo actualizaron, añadiéndole opciones, pero si quieres configurarlas has de comprarlo. La versión free solo ofrece bloqueo de ip de 10 minutos.
Características: Básicamente, ofrece verificación por medio de captcha, limita el número de intentos de login bloqueando temporalmente la ip y redirige a la página de inicio cuando detecta un comportamiento anormal.
Wordfence
La verdad que Wordfence es un señor plugin. Muy completo, no solo sirve para detectar ataques de fuerza bruta, sino otros muchos tipos de ataque.
Lo único “malo” o algo negativo que podamos decir sobre este plugin es que consume bastantes recursos.
Pero es un gran plugin. Si estás siendo atacado y deseas saber qué está ocurriendo, y bloquear las amenazas atacantes, Wordfence hará el trabajo.
Características de Wordfence
– Permite hacer escaneos de los archivos de la web para detectar malware e infecciones (Scan).
– Ofrece datos en directo sobre el tráfico (Live Traffic).
– Permite bloquear IP´s.
– Permite bloquear países.
– Permite hacer whois de IP´s o dominios.
– Permite hacer auditorías de passwords.
– Permite añadir reglas de bloqueo avanzadas, teniendo en cuenta el nombre de host, un rango de IP´s, el user-agent o el referer.
Puntos fuertes de Wordfence
–> El Cortafuegos ofrece reglas muy completas para filtrar un amplio rango de ataques.
–> Las reglas avanzadas de bloqueo dan mucho juego.
Si hemos detectado un patrón en los ataques, con las reglas avanzadas podemos bloquear la amenaza perfectamente.
iThemes Security (anteriormente conocido como Better WP Security)
- Registra los movimientos de los usuarios (registra el login, la edición de contenidos y el logout).
- Permite habilitar autenticación en dos pasos.
- Escaneo de Malware.
- Permite programar la expiración de passwords, para así forzar a los usuarios a que elijan un nuevo password cada cierto tiempo.
- Permite hacer backups de la base de datos.
- Permite inhabilitar el acceso a WordPress en períodos programados.
- Permite ocultar el wp-login y el wp-admin.
- Incluye Google reCAPTCHA
Otros puntos interesantes de iThemes Security:
- Permite comprobar los permisos de archivos importantes de WordPress y ofrece sugerencias para corregirlos:
- Permite habilitar la protección contra Brute force.
- Podremos configurar el número máximo de intentos de login por host y por usuario, añadir un tiempo de bloqueo, y banear a los hosts que intenten acceder con el usuario “admin”.
Usar plugins para Autentificación en 2 Pasos
Two Factor Auth
Permite configurar la autenticación en dos pasos para los tipos de usuario que prefieras: administrador, autor, editor, suscriptor …
Este plugin evita que un atacante pueda acceder a tu sitio incluso después de haber llevado a cabo un ataque y haber conseguido tu usuario y contraseña.
Después de hacer login, envía un email al correo del usuario con un código único que has de introducir para poder acceder finalmente al sitio web.
CONCLUSIÓN
Bueno, pues este ha sido el pequeño análisis sobre algunos de los mejores plugins para evitar ataques de fuerza bruta en WordPress.
Si no has habilitado todavía ninguna medida de seguridad contra ataques Brute force, ya sea uno de estos plugins o un pre login, te recomiendo que vayas pensando en elegir una de las opciones.
–> En mi opinión el pre login realiza la misma función que los plugins pero la ventaja es que no consume recursos; pero si tuviera que elegir un plugin del estilo utilizaría Simple Login Lockdown, y para casos más graves, en webs que ya hayan sido atacadas y su seguridad comprometida, Two Factor Auth.
–> Por otra parte, Wordfence y iThemes Security son algo pesados pero muy útiles si te encuentras en el ojo del huracán, siendo bombardeado por bots malignos, o por ataques de fuerza bruta y otro tipo de ataques. Yo los usaría para detectar y bloquear las amenazas y posibles vulnerabilidades de la web en esos momentos de pánico en que te das cuenta de que algo no va bien…
Los ataques de fuerza bruta están a la orden del día y antes o después tu sitio web puede ser el objetivo de alguien. ¡Mejora ya la seguridad de tu WordPress y no esperes a tener verdaderos problemas!