In our modern times, more and more people like to wear homeSwiss replica watches. If you come to our site, we can offer you all kinds of Swiss replica watches such asReplica rolex watches Breitling watches, Hublot watches and Tag heuer watches. When you wear these delicate best imitation watches on our site, you can become outstanding in a crowd of people. No matter which kind of stylish watches you like, we will do our best to offer you all-sided service,Replica prada Handbags UKstore with all brands Hermes Handbags replica bags ,Replica gucci bags

Opciones de redoblada seguridad contra ataques de fuerza bruta

seguridad ataques wordpress

Los ataques de fuerza bruta en WordPress son pan de cada día. Se caracterizan por tratar de vulnerar el sitio desde la página de login. Por eso la cantidad de recomendaciones sobre asegurar tu sitio no sólo con una contraseña fuerte sino con algún recurso que permita bloquear por IP al bot atacante que puede llegar a hacer hasta 40 000 intentos por minuto.

Vamos a profundizar en este artículo cómo podríamos burlar esos ataques con distintas alternativas de las que no habíamos hablado antes.

Plugins como armamento

Existen numerosos plugins para luchar contra los ataques de fuerza bruta y para recordar algunos de estos son:

BruteProtect: De Automatic. Registra en tu servidor las IP de los ataquez para bloquearlos. Existe una clave API que puedes obtenerla regitrándote.

Login Security Solution: Limita el número de intentos de acceso.

Con el bloqueo de IPs uno puede pensar que será muy seguro. Pero lo que tomamos en cuenta es que hoy los ataques de fuerza bruta poseen bots capaces de realizar los intentos usando 90 000 direcciones IP diferentes.

¿Sorprendido?

Estos plugin parecen servir muy poco ante este dato ¿verdad? Nosotros pensamos que si.

Alternativas adicionales

Esconder la url de login

Prescindir de la clásica url /wp-login.php y crear una url de login personalizada. Recordemos que la url clásica es la puerta de entrada para los ataques. Si usas wp-login.php es casi como usar admin como nombre de usuario.

Como hacerlo:

1. Registrar nuestra query var personalizada utilizando un filtro de  query_vars , por ejemplo logme.
2. Elige el valor para acceder a la página de inicio de sesión, por ejemplo el valor es en.
3. Utilice un filtro template_include para cargar nuestra plantilla personalizada si cargamos la url.
4. Usar la función wp_login_form () para generar nuestro formulario de acceso.
5. Crear un nonce extra para hacer  de ésta la forma única.

Quedará algo así:

https://misitiowebwp.com/ ? logme = en

Esto puede presentar sus consideraciones. Tomar en cuenta que la página de login también es usada como página a mostrar cuando se cierre sesión o cuando se olvida la contraseña, por lo que tiene más funcionalidades de lo que se cree.

Lo único que queremos es cambiar la funcionalidad de login. Por lo que el método consiste en crear una url y no elmimanr la clásica que igualmente conservará las funciones de cierre de sesión, sesión expirada o contraseña olvidada.

Esto puede paralizar muchos ataques de fuerza bruta. ¿Más seguro? Por supuesto, pero hay más.

Url dinámica de login

Esta modalidad consiste en ofrecer una URL única para cada inicio de sesión. Esta Url puede expirar tras una sesión con lo cual no existe una dirección exacta de la página de login. Por eso se le llama dinámica ya que validez para una IP y un inicio de sesión.

El inconveniente de esto es que no se puede compartir la url con otra persona. Además el proceso puede incluir una solicitud de esta url por correo electrónico para iniciar sesión.

Sin duda una medida de extrema seguridad aunque para quienes estén acostumbrados al inicio de sesión convencional de WordPress va a parecer algo muy engorroso.

Para hacer esto:

1. Genera nonce usando wp_create_nonce () función.

2. Crea tu propio nonce personalizado utilizando la dirección IP, agente de usuario, etc usando  md5 () función de php.

3. Agrega este nonces a la URL.

4. Si nos visita esta url, validar los nonces. Si es válida, mostrará el formulario.

Si buscamos la página de login convencional nos mostrará una página de error.

error login wp

Conclusión:

Existen formas más complejas de incrementar la seguridad de nuestro sitio de WordPress. Éstas son algunas de ellas. Si eres de aquellos que apuestan por la extrema seguridad, esperamos que estos consejos te hayan servido.

¿Qué medidas de seguridad empleas en tu sitio de WordPress?

Curso Gratis de WP

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Abrir chat
Hosting 1 año $24.95
¿Podemos Ayudarte?