¿Qué es un ataque de fuerza bruta y por qué tú no tienes de qué preocuparte? 🛡️

Que es un ataque de fuerza bruta y por que

¿Qué es exactamente un ataque de fuerza bruta en un sitio web? El nombre “fuerza bruta” solo evoca al villano de una película de acción cursi.

Para la mayoría de los sitios web, un ataque de fuerza bruta puede ser muy grave.

Índice

    ¿Qué es un ataque de fuerza bruta?

    Un ataque de fuerza bruta es exactamente lo que su nombre implica. No hay una lógica profunda involucrada en adivinar inicios de sesión o contraseñas, es solo un bot que comienza con un inicio de sesión de "A" y una contraseña de "A" y pacientemente probará cada combinación de letras y números hasta que encuentre un nombre. nombre de usuario y contraseña.

    Cuando comenzaron los ataques de fuerza bruta, eso fue todo. A lo largo de los años, se han vuelto más sofisticados, pero en esencia, es solo un bot.

    Hoy en día, hay botnets que hacen esto. Debido a que los ataques de fuerza bruta desde una sola computadora solían ser realmente fáciles de detectar y bloquear, ahora una red de cientos o miles de computadoras trabajan juntas para atacar un sitio web y adivinar su nombre de usuario o contraseña.

    Además, hoy en día existen "diccionarios de tablas" que son listas de contraseñas que ya se han utilizado o palabras que se pueden combinar para formar una contraseña.

    Una botnet puede intentar adivinar un nombre de usuario y una contraseña miles de veces por segundo. Su sitio web será tan seguro como su contraseña.

    Además de los diccionarios de tablas, los atacantes se han vuelto aún más inteligentes. A medida que se piratea un sitio y se extrae toda la información del usuario, los nombres de usuario y las contraseñas de ese sitio se agregan a los que se probarán. Saben que muchas personas no se molestan en crear diferentes nombres de usuario y contraseñas la mayor parte del tiempo, por lo que un nombre de usuario en un sitio probablemente sea el mismo en otro.

    ¿Cómo mitigar un ataque de fuerza bruta?

    Bueno, hay 2 respuestas a esta pregunta.

    Si su sitio no está alojado en SiteGround

    Si no está alojado en SiteGround, debe comenzar a buscar complementos de seguridad y configurar firewalls. Ya hemos hablado de esto en publicaciones anteriores.

    Usted necesitará:

    Instale un firewall de aplicaciones y configúrelo correctamente.

    Hay varios complementos buenos en el repositorio de complementos de WordPress que protegerán su sitio web de ataques de fuerza bruta y otros tipos de ataques. Los que están en el TOP 5 están altamente calificados, y aunque no recomiendo uno aquí, probablemente puedas encontrar uno que sea altamente recomendado e implementarlo. Todos los buenos tienen una tarifa mensual asociada, pero eso es lo que se necesita para asegurar su sitio.

    Requerir contraseñas seguras para todos los usuarios.

    Hemos hablado de contraseñas antes, pero vale la pena repetirlo. Las contraseñas seguras son su primera línea de defensa. Es posible que a sus usuarios no les guste, pero mantendrá su sitio web y sus datos seguros.

    Te puede Interesar  ¿qué es y para qué sirve este recurso en WordPress?

    Requerir verificación de dos pasos (2FA) para todos los inicios de sesión.

    La verificación en dos pasos reduce los ataques de fuerza bruta en un 100 % porque el inicio de sesión y la contraseña son solo 2/3 del procedimiento de inicio de sesión. Para el último tercio, debe tener el número de teléfono de la persona. Se acabó el juego para los ataques de fuerza bruta.

    Sin embargo, al igual que con las contraseñas seguras, los usuarios suelen odiar la verificación en dos pasos. Puede limitarlo a las cuentas de administrador, pero si un atacante ingresa a su sitio, está en riesgo. Entonces tienes la complicada tarea de decidir qué es lo más importante.

    Implemente una política de rotación de contraseñas que fuerce nuevas contraseñas al menos cada 90 días.

    Otra cosa que es efectiva para ayudar a prevenir ataques de fuerza bruta es exigirles que renueven sus contraseñas de vez en cuando. Lo malo es que esto es otra cosa que los usuarios tienden a odiar, por lo que si agregas un montón de pasos de seguridad que no les gustan, corres el riesgo de comenzar a perder usuarios. Así que hay que caminar por la cuerda floja.

    Consejo adicional: Fail2Ban.

    Aparte de todo lo anterior, mis herramientas favoritas son Fail2Ban y WP-Fail2Ban. Si se configura correctamente (y se necesita un desarrollador o administrador de red para configurarlo correctamente), esta combinación puede ser una herramienta muy poderosa para prevenir un ataque de fuerza bruta. Fail2Ban es de código abierto y gratuito, y el complemento WP Fail2Ban tiene una versión pro que parece valer la pena.

    No suelo recomendar complementos específicos, pero este es único. Tengo la versión gratuita instalada en todos mis blogs que no están alojados en SiteGround y funciona de maravilla. Estoy considerando seriamente actualizar a la versión pro.

    ADVERTENCIA: este complemento requiere que Fail2Ban esté instalado, configurado y funcionando correctamente en su servidor. Fail2Ban también tiene algunos requisitos. Este no es un complemento trivial para empezar. Si no eres desarrollador o no estás muy familiarizado con Linux, lo mejor es buscar ayuda.

    Si tu sitio está alojado en SiteGround

    Si su sitio está alojado en SiteGround, siga bebiendo su café. SiteGround ya tiene un conjunto completo de herramientas, incluida la inteligencia artificial para detectar ataques de fuerza bruta de botnet. Eso no significa que su sitio será 100% seguro, nadie puede obtener ese 100%. Sin embargo, esto significa que esta es una cosa menos de la que debes preocuparte.

    Conclusión

    Los ataques de fuerza bruta son bien conocidos y entendidos. Hay herramientas que puede instalar para mitigar el riesgo de que su sitio se vea comprometido. Dicho esto, lo mejor que puedes hacer es contratar un alojamiento como SiteGround, donde se encargan de mantener tu sitio seguro para que puedas dedicar tu tiempo a otras cosas en tu sitio que lo hacen aún mejor.

    Artículos Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir

    Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumiremos que estás de acuerdo. Más Información