Instalé el complemento Sucuri Security en mi sitio de wordpress, y me informó que mi sitio web tiene 10 intentos fallidos de inicio de sesión con mi nombre de usuario registrado desde anoche hasta ahora.
Mi sitio web no tiene ningún problema ahora, pero ¿cuál es el significado de este ataque? ¿Qué debo hacer ahora?
Creo que es bastante común hoy en día (basado en mis registros de cientos de sitios) que los sitios web de Wordpress son atacados aleatoriamente. Supongo que todavía tiene la página de inicio de sesión en / wp-admin / y que su nombre de inicio de sesión aparece en algún lugar de sus publicaciones (autor) o usando la cuenta "admin".
Básicamente, lo que hacen algunos bots es obtener su ID de su sitio (o probar con 'admin') e intentar intentos de contraseñas fáciles (como los invertidos o muy comunes). No hacen fuerza bruta porque la intención no es cerrar su sitio web o gastar tantos recursos en un solo sitio web. Como puede ver, esos bots intentan acceder aleatoriamente a cualquier sitio web de wordpress con contraseñas débiles (no a su sitio específico). Tienen más posibilidades de hacerlo que forzando un solo sitio. De manera similar, los bots intentan adivinar sus herramientas de administración basadas en web de mysql, que se pueden ver en sus registros de errores como:
Para protegerme contra esos ataques, esto es lo que recomiendo:
En caso de que tenga acceso de administración a su servidor de alojamiento (en otras palabras, no está utilizando un servicio compartido), aquí hay otras recomendaciones (algunas se aplican solo a los servidores Linux):
Es posible que me falten muchas otras formas de protegerme, pero esas son las onces que uso en mis sitios (alrededor de 500) desde hace 5 años, y hasta ahora no hay incumplimiento (que yo sepa).
No estoy familiarizado con el complemento, pero parece que alguien conoce su nombre de usuario de inicio de sesión y podría haber estado tratando de adivinar su contraseña. No es realmente una fuerza bruta o esperaría ver más intentos fallidos en el registro.
Si fuera yo, instalaría una máquina virtual Linux (para evitar registradores clave), VPN en una red confiable (evitar el rastreo de la contraseña) y cambiaría el nombre de usuario y la contraseña del administrador en el sitio. Un nombre de usuario y contraseña realmente fuertes.
También puede buscar la dirección IP que estaba accediendo a esa página. La mayoría de los usuarios de Cpanel tendrán eso o podría estar usando el conjunto de herramientas de google para el análisis del tráfico.
He pensado que experimentaste un ataque de fuerza bruta pero afirmas que solo 10 intentos fallidos de inicio de sesión Sucuri El plugin te lo ha informado, por lo que no puede ser, al menos por el momento, ese tipo de ataques. Es más bien algo hecho manualmente (y más probablemente por alguien que te conoce, pero este es solo mi punto de vista personal con respecto a mi experiencia con él).
Respecto a este hecho, puedo aconsejarle solo desde esta perspectiva (ataque de fuerza no bruta), por lo que aquí puede hacer algo por el momento:
No sé qué versión de Wordpress está usando, pero las primeras versiones de WordPress predeterminadas admin como nombre de usuario , si este es el caso, entonces debe cámbielo para que sea más difícil adivinar.
Mejora la fortaleza y seguridad de tu contraseña. Para este caso, no quiero reproducir lo que ya se discute ampliamente en este sitio web en muchas publicaciones como esta ¿Qué tan confiable es un comprobador de seguridad de contraseña? , o aquí: Métricas de seguridad de la contraseña o esta ¿Por qué los hashes salados son más seguros para la contraseña? ¿almacenamiento?
Proteja su sitio web escribiendo ErrorDocument 401 default en su archivo .htaccess
Lea otras preguntas en las etiquetas wordpress