Para realizar un ataque de fuerza bruta lo primero que tiene que saber el atacante es una de las partes del pack usuario+contraseña. Una vez se sabe una de las partes, normalmente suele ser el usuario, el atacante se dispone a probar miles de contraseñas para intentar dar con la correcta y acceder al sistema.
Con la creciente popularidad de WordPress, este tipo de ataques también ha crecido mucho y es raro el día que no salga alguna actualización de un plugin, tema, etc. para evitar fallos de seguridad detectados.
Muchos de nosotros pensamos que con evitar utilizar los nombres de usuarios genéricos (admin, administrator, root, etc.) ya tenemos mucho ganado ya que es muy difícil acertar también con el nombre de usuario. Pues bien, en WordPress hay una forma muy sencilla de dar con el usuario aunque no estemos utilizando el genérico.
Si ponemos en la barra de direcciones la url de la página de wordpress que queremos consultar y añadimos la variable de usuario:
[errorlist]
- www.tupaginawordpress.com/?author=1 Nos dará como resultado una url tipo:
- www.tupaginawordpress.com/author/usuario
[/errorlist]
Con algo tan simple un atacante podría saber nuestro usuario y ponerse manos a la obra para realizar el ataque de fuerza bruta.
¿Como puedo proteger mi usuario y evitar que aparezca en la url?
Para evitar que aparezca el nombre de nuestro usuario en la url, debemos cambiar el campo nicename de nuestra base de datos en la tabla users.
[checklist]
-
- www.tupaginawordpress.com/?author=1 Nos dará como resultado una url tipo:
- www.tupaginawordpress.com/author/valordelcamponicename
[/checklist]
Otra forma de evitar estos ataques es limitando el numero de accesos fallidos a nuestra web. Esto lo podemos hacer desde infinidad de plugins. Personalmente recomiendo Wordfence que ofrece muchas opciones de seguridad para nuestro WordPress y nos permite realizar scaners para detectar posibles vulnerabilidades.
En el caso de la protección del usuario tenemos estas opciones:
Photo credit: fundacionacceso