Ataques de fuerza bruta en WordPress

Vaya par de semanitas llevamos señores, si mi blog no ha bloqueado 100 intentos de ataque, no ha bloqueado ninguno…

Y es que hay una nueva oleada de intentos de hackeo desde casi cualquier país del mundo, en estas dos últimas semanas he recibido ataques (en este blog y otros 2 que administro) desde nuestro país, EEUU, Francia, Alemania, Rusia, China, media Latino América… en fin, que se han venido arriba.

Todos los ataques tienen una peculiaridad, el usuario con el que han probado a acceder es: NoneNone.

Es sencillamente un intento de ataque por fuerza bruta.

Y aunque el ataque no funciona porque todo apunta a que el script tiene un error en su codificación (de ahí que utilice un usuario tan poco probable), me viene genial para escribir este post y adentrarnos un poco en el tema ‘Seguridad’.

¿Qué es un ataque por fuerza bruta?

Ya se lo que te estás imaginando ahora mismo, un hacker, con máscara de Anonymous incluida, dándole de leches a un ordenador, XD.

Nah, un ataque de fuerza bruta se hace a través de un script (un código informático) lanzando miles de combinaciones usuario-contraseña hasta dar con la combinación correcta.

¿Y eso funciona? Te preguntarás…

Pues depende de lo avispado que seas eligiendo usuario y contraseña, si tu usuario es admin y la contraseña también, en la primera combinación están dentro…

¿Recuerdas la película hackers de 1995? Ahí decían que las contraseñas más utilizadas eran amor, sexo y dios… Creo que en España somos más de 1234…

¿A que ahora entiendes por qué las contraseñas han de tener al menos 8 caracteres, combinar mayúsculas y minúsculas, incluir números y carácteres espciales?

La gente es muy simple, my friend…

Como curiosidad, hay un ataque de fuerza bruta que se llama ataque de diccionario y consiste en probar con todas las palabras de un diccionario, así ve inventándote palabras para tus contraseñas 😉

Pero vamos a lo que acontece ahora, el ataque al admin NoneNone.

Ataques de fuerza bruta NoneNone

He leído en la web de Wordfence que se ha detectado un aumento importante en ataques de fueza bruta, relleno de credenciales y ataques de diccionario al archivo xmlrcp.php de WordPress, superando los 150 millones de ataques, ahí es ná…

Seguro que en este momento te estás preguntando pero… NoneNone ¿no va a ser mucha casualidad?

Pues todo apunta a que es un fallo de programación y no es lo que se pretendía.

Lo bueno es que sencillamente nos ha puesto sobreaviso y ahora podemos investigar un poco más sobre este tipo de ataques de fuerza bruta y como prevenirlos.

¿Cómo evitar los ataques de fueza bruta en WordPress?

Lo primero y más recomendable es que utilices un plugin de seguridad como Wordfence, es un cortafuegos y escaner de malware, tiene una versión gratuita bastante completa y si quieres mayor seguridad puedes contratar la versión Premium.

Este plugin, todas las semanas te envía un informe por email con los intentos de intrusión, IP bloqueadas, con qué usuario han intentado conectarse y los archivos modificados en tu instalación de wordpress (normalmente porque tú mismo hayas actualizado algo).

Si contratas la versión premium, esta bloquea automáticamente cualquier solicitud desde IPs que ya hayan sido bloqueadas en la red…

Desde Wordfence puedes deshabilitar los intentos de autenticación a través de solicitudes xmlrpc.php, yendo a Wordfence->Login Security->Settings y haciendo clic en Disable XML-RPC authentication.

Eso sí, ten en cuenta, antes de hacer esto que algunos plugins también utilizan este archivo, como Jetpack y podrían dejar de funcionar bien.

Y bueno, hasta aquí la minilección de hoy 🙂