Portada Wordpress Plugins Evitar ataques de fuerza bruta a WordPress con Limit Login Attempts
El plugin Limit Login Attempts lleva 7 años sin actualizarse, por lo que ya no es una opción válida para instalar en WordPress.
Cuando un plugin deja de recibir actualizaciones de manera habitual, significa que los desarrolladores del plugin ya han abandonado el proyecto, por lo que cualquier fallo de seguridad que pueda aparecer no será solucionado.
Por lo general, hay que dejar de usar plugins que no se actualicen de manera habitual y buscar una alternativa para no tener problemas de seguridad en nuestro WordPress.
La alternativa natural sería el plugin Loginizer, el plugin más popular en WordPress para solucionar este tipo de problemas.
Loginizer es un plugin de WordPress gratuito y muy sencillo de usar que soluciona en un momento cualquier intento de ataque por fuerza bruta que intente acceder a la administración de nuestro WordPress.
Es posible buscarlo e instalarlo desde la propia sección de plugins de nuestro WordPress o descargarlo desde aquí si preferimos su instalación manual.
Al instalarlo, veremos un nuevo menú en el administrador de WordPress llamado Loginizer Security.
En el plugin no disponemos de varias multitud de opciones como otros plugins encargados de reforzar la seguridad de WordPress, de hecho solo tenemos:
Para configurar el plugin Loginizer iremos directamente a la opción Brute Force.
Está todo en inglés, pero es muy sencillo de configurar y te vamos a comentar para que sirve cada una de las opciones.
En este apartado encontraremos todas las opciones necesarias para configurar el plugin, como verás no hay mucho que configurar.
Los siguientes dos apartados están muy relacionados, una es la Blacklist IP y la otra la Whitelist IP.
Su uso es muy sencillo, en la Blacklist IP podemos añadir una dirección IP para bloquearla siempre, independientemente de si ha fallado al loguearse o no.
Esto está bien si detectamos que una dirección IP está intentando colarse de una manera recurrente.
Lamentablemente, los atacantes suelen usar distintas direcciones IP cada poco tiempo, así que es posible que con el tiempo no sea muy efectivo, pero siempre está bien darnos esta opción.
Después tenemos la Whitelist IP que hace justo lo contrario que la opción Blaklist IP, es decir que cualquier dirección IP que añadamos en la opción Whitelist IP, nunca será bloqueada, por ejemplo, nuestra propia dirección IP.
También podemos añadir rango de direcciones IP, pero si no estamos familiarizados con esto, será mejor no jugar mucho para no bloquear IP’s inocentes.
Por último tenemos el apartado Error Messages, desde donde podemos personalizar los mensajes que se mostrarán al bloquear algún usuario.
Por defecto vienen en inglés pero si queremos, dejar claro porque los estamos bloqueando, aquí podemos hacerlo.
Como puedes ver, la configuración del plugin Loginizer es muy sencilla de realizar y por este motivo es uno de los más usados en WordPress para evitar los ataques de fuerza bruta.
Cuando intentamos loguearnos en el dashboard/escritorio del WordPress de nuestro Hosting accediendo vía /wp-admin, tenemos que introducir nuestro usuario y una contraseña. Si nos equivocamos podemos volver a teclearla sin problemas el número de veces que queramos, y esto es un problema de seguridad. Es bien sabido que la mayoría de los usuarios administradores de WordPress se llaman «admin». ¿El tuyo también? No te tires de los pelos aún, vamos a aprender a evitar ataques de fuerza bruta al login de WordPress utilizando un sencillo plugin.
Existen varias formas de atacar nuestro WordPress y una de ellas es por fuerza bruta. Este método consiste en introducir un usuario y una contraseña un montón de veces hasta dar con la contraseña correcta. Para ello se utlizan programas que lanzan contraseñas cada menos de un segundo, por lo que al día pueden realizarse decenas de miles de intentos de acceso. En algún momento darán con la clave correcta.
Es por eso que si ponemos un límite de intentos para acceder a nuestra sección de administración nos curamos en salud y evitamos este tipo de ataques. Para ello vamos a utilizar el plugin Limit Login Attempt.
Este plugin, a pesar de llevar dos años sin actualizarse, sigue funcionando de maravilla. En las revisiones del propio plugin varios usuarios comentan que les ha funcionado sin problemas para la versión 4.1.1, así que puedes instalarlo sin miedo. Lo hacemos desde la sección Plugins > Añadir Nuevo. Tiene esta pinta:
Una vez instalado este plugin wordpress en nuestro Hosting, lo activamos y se nos creará la opción Ajustes > Limit Login Attempts. Accedemos a ella.
En este panel podemos configurar las opciones del plugin. Es extremadamente simple.
Una vez alguien intente acceder según los intentos que hayamos situado, en la parte inferior de este panel de administración se nos mostrará la IP desde la que se ha intentado acceder.
Para terminar, recomendamos cambiar el nombre del usuario administrador «admin» y utilizar uno personalizado para evitar grandes males.