Una de las maneras en que muchos hackers intentan entrar en los sitios web de WordPress es lanzando ataques de fuerza bruta. Estos ataques, como cualquier intento de hacking, se realizan con el fin de obtener acceso al sistema para que los hackers puedan eliminar contenido, añadir el suyo propio o hacer otras cosas siniestras. Un ataque de fuerza bruza es una de las formas más complicadas de obtener acceso a un sistema.
La idea básica detrás de este tipo de ataque es simple: el atacante (normalmente un sistema automatizado) prueba tantas contraseñas como sea posible hasta que encuentra una que funciona. Aunque pueda parecer que esto podría tardar mucho tiempo, en realidad es eficaz porque muchas personas no utilizan contraseñas robustas. Además de posiblemente comprometer tu sistema, estos ataques también ralentizan los tiempos de carga del sitio web e incluso pueden bloquearlo por completo debido a que el atacante suele utilizar hasta diez contraseñas cada pocos segundos.
¿Cómo puedes proteger tu sistema WordPress contra este tipo de ataques? Existen varias maneras. Uno de los métodos más habituales es renombrar el archivo wp-login.php. Se trata de la página de inicio de sesión predeterminada, y es donde los hackers atacarán. Se puede usar un plugin para hacerlo. Este plugin, Rename wp-login.php, está disponible en el sitio web de WordPress.
Una vez que este plugin esté instalado y activado, llevará a los usuarios a la sección de Permalinks en la página de Ajustes del panel de control de Administrador. Le dará a los usuarios la oportunidad de introducir una nueva URL de inicio de sesión. También hay otras opciones. La mayoría de expertos de WordPress también sugieren cambiar los Ajustes comunes de Predeterminado a Nombre de la entrada.
La URL de inicio de sesión puedes dejarla como login, aunque podrías cambiarla a algo que no sea tan común. Después, la URL completa de inicio de sesión será el nombre de tu sitio web/tu página de inicio de sesión. ¡Recuerda añadir a favoritos o anotar el nombre que le has dado a tu página de inicio de sesión para no olvidarlo! También tendrás que compartir esta nueva URL con cualquiera que necesite iniciar sesión en tu sitio web de WordPress.
Ahora los hackers verán un error de página no encontrada (404) cuando vayan a wp-login.php. Sin embargo, WordPress sigue dedicando recursos a cargar esta página. Otro truco es editar el archivo .htaccess. Añade el siguiente código al final del archivo:
<Files wp-login.php>
deny from all
</Files>
Esto devolverá un error 403 en lugar de un error 404. Se trata del error Forbidden (prohibido) – cualquiera que intente acceder a wp-login.php verá un mensaje diciendo que no tiene permiso para acceder a /wp-login.php. Cuando se da un error 403, WordPress no carga ningún recurso, así que no hay ninguna disminución de velocidad.
Hay algunos otros métodos para proteger WordPress contra los ataques de fuerza bruta, pero éste es uno de los más fáciles y rápidos de implementar. El hecho de que pueda impedir a los hackers el acceso a tu página de inicio de sesión (algo que también puede ofrecer protección contra otro tipo de ataques) es un agradable efecto colateral.
