Evitar Ataques de fuerza bruta en WordPress – Curso Hacking WordPress

Evitar Ataques de fuerza bruta en WordPress

Siguiendo con la dinámica habitual del curso de Hacking WordPress hoy vamos a ver como evitar ataques de fuerza bruta en WordPress.

Recapitulemos brevemente lo que estuvimos viendo en el último post:

  • Analizar y encontrar vulnerabilidades en temas y plugins.
  • Obtener nombres de usuarios de WordPress.
  • Realizar ataques por diccionario a un WordPress.

Bien, pues hoy aprenderemos a como solucionar estos dos últimos puntos.

Recuerda que también tienes este tutorial EN VIDEO!!!

Plugins de calidad

En lo personal y después de haber probado mucho sin duda me quedo con Wordfence ya que no solo me permite bloquear ataques de fuerza bruta sino que también evitará que se pueda obtener el nombre de usuario entre otras muchas funciones pese a que esta última la veremos mas en detalle realizada a mano ya que es una mejor opción, además, en su versión gratuita ya nos ofrece una gran cantidad de funciones y por si fuera poco también tenemos la opción de que nos notifique vía Email.

AVISO: Importante configurar un API key para vuestro Wordfence (obtener desde la web oficial).

Configuración Básica

Lo primero que haremos para configurar Wordfence será irnos a las opciones del plugin.

configurar opciones de wordfence para evitar ataques de fuerza bruta

configurar opciones de wordfence para evitar ataques de fuerza bruta

Y en esa página simplemente tendremos que bajar hasta casi el final de la web y editar los campos de Login Security Options y dejarlos por ejemplo de la siguiente manera:

configuraciones seguras de wordfence

configuraciones seguras de wordfence

Considero que no es necesario explicar muy a fondo las opciones, básicamente le hemos dicho que bloquee la IP de cualquier equipo que intente colocar una contraseña incorrecta 3 veces por 1 día entero y que las bloquee de quien intente re-establecer la contraseña 3 veces, a parte le hemos dicho que vuelva a contar el número de intentos cada 30 minutos y en cuadro de texto inferior le hemos dicho que bloquee automáticamente cualquier IP que intente acceder con cualquiera de esos 3 usuarios.

También le hemos desmarcado la tercera casilla puesto que es la que evita que se realice una obtención de los usuarios ya que este paso lo haremos de mejor manera a mano editando la base de datos, esto no es un tutorial expresamente sobre Wordfence por lo que os invito a instalarlo y explorar todas sus opciones por ustedes mismos.

Evitar que obtengan los nombres de los usuarios de WordPress

Para realizar esto necesitaremos tener acceso a la base de datos de nuestro WordPress ya sea con phpMyAdmin o con Adminer por ejemplo.

Las tablas se forman con un prefijo aleatorio o establecido por nosotros seguido del nombre de la tabla, en mi caso será “wp_” como prefijo y la tabla que tenemos que buscar es la tabla “users” que es donde almacena WordPress los nombres de cada usuario.

Tabla "wp_users" de la base de datos de WordPress

Tabla “wp_users” de la base de datos de WordPress

En este caso tendremos que modificar el campo “user_nicename” que en mi caso estos campos ya los tengo modificados para el usuario con id 1 pero podemos ver como son el mismo que el user_login en el resto de los usuarios que es el campo donde se almacena el nombre de usuario que utilizamos para acceder a nuestro WordPress y también tenemos el “display_name” que también lo cambiaremos.

Es importante que en el user_nicename utilicéis un formato de url ya que será el que se mostrará en la url de nuestro usuario y si este está mal nos dará un error en nuestro WordPress y en el campo “display_name” pondremos por ejemplo nuestro nombre o algo que queremos que aparezca en nuestra web que nos identifique (importante que no sea nuestro nombre de usuario).

Y bueno, con esto ya tendríamos completamente acabado la parte de evitar ataques de fuerza bruta en WordPress utilizando el plugin Wordfence para WordPress y como editar la base de datos de nuestro WordPress para que no puedan obtener nuestro nombre de usuario.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *