Hace poco hubo un ataque masivo a WordPress. Una vez pasado, se diría que no hay peligro, pero si se miran los logs del servidor, en muchos casos se comprobará que los ataques a WordPress persisten. Sin ir más lejos, hoy desde las 9 de la mañana hasta las 7.30 de la tarde la IP 176.57.216.198 ubicada en Rusia ha intentado acceder al panel de administración de esta web nada más y nada menos que 15.685 veces. ¡Se dice rápido!
Estos intentos de hackers nos perjudican en dos sentidos:
Ponen en peligro nuestro sitio web en WordPress si no tenemos tomadas medidas de seguridad extremas.
Ralentizan el tiempo de carga por un exceso de peticiones de una misma página en un corto período de tiempo.
Esto no es un caso puntual, en lo que va de semana he tenido varios ataques, aunque debo decir que la cifra de hoy ha superado todo los records. Una IP de Ucrania lo intentó más de 2.100 veces en tres horas, pero después desistió. Se ve que los rusos son más persistentes, porque si no les bloqueo la IP aún estarían allí dale que te pego. Me pregunto cuál es el objetivo de estos ataques.
A todo esto, debo reconocer que no me dedico a mirar a diario los logs del servidor, suficiente trabajo tengo. Detecté el problema a raíz de comprobar que en determinados momentos la web tardaba mucho en cargarse a pesar de estar optimizada. Fue entonces cuando lo vi. Lo he solucionado con dos plugins premium de WordPress, uno de ellos lo he configurado de manera que me informa si alguien intenta acceder al directorio /wp-login.php.
Veo muchos clientes que usan contraseñas super fáciles de hackear. ¡La contraseña debe ser a prueba de bombas! Y el nombre de usuario no debe ser admin ni el nombre de la página. Mi contraseña contiene más de 25 caracteres entre letras mayúsculas y minúsculas, números y signos especiales sin ningún sentido. ¡El trabajo ha sido mío para memorizarla! Pero si alguien es capaz de descifrarla, le pueden dar el premio nobel al hacking. Y como seguro que hay alguien capaz de programar una máquina que lo haga, he utilizado un plugin que redirige a la página de error si se intenta acceder al panel de administración de WordPress. Ahora tengo mi propia URL de login, URL que también he habido de memorizar por temas de seguridad.
PLUGINS PARA LA SEGURIDAD DE WORDPRESS
La verdad es que ante esta problemática me puse manos a la obra a ver qué podía hacer. Mis conocimientos de servidores son bastante básicos y no estoy ahora para liarme la manta a la cabeza con administración de servidores Linux y temas de seguridad de WordPress. Así que para mí la opción más rápida, fácil y eficiente ha sido comprarme dos plugins que hicieran el trabajo por mí. Soy de la opinión que debemos canalizar la energía hacia aquello que se nos da bien y no dispersarnos con cincuenta mil otras tareas que otros van a saber hacer mejor que nosotros.
Este plugin lo que hace es un análisis exhaustivo de la instalación de WordPress desde el panel de adminsitración. Para acceder a él, simplemente se va a Herramientas > Security Ninja. Le damos a ejecutar al test, y tal y como se ve en la imagen, se marca de color verde lo que está bien y de color rojo lo que se ha de cambiar, pues implica un riesgo a la seguridad de WordPress. Cada uno de los puntos en rojo lleva una explicación adjunta en que se explica (en inglés) que es lo que se ha de hacer para corregir el problema. Hay cosas muy fáciles de cambiar, como por ejemplo borrar un archivo del servidor, y otras más complejas, como modificar el prefijo de la base de datos.
Así, Security Ninja lo que hace es más de 31 tests para comprobar la seguridad de la instalación de WordPress.
Este plugin lleva más de 625 ventas en dos meses y tiene una puntuación de los usuarios de 4.60 sobre 5, lo que no está nada mal. Debo reconocer que a mí al principio me llevó a confusión, porque creía que debía hacer los cambios yo a nivel manual, cuando es mucho más fácil y los hace el propio plugin. ¿En qué consiste exactamente? Básicamente oculta que se trata de un sitio web en WordPress. Si miras el código fuente de esta página, verás que la URL a la carpeta del tema no es /wp-content/themes, sino /template. Hace exactamente lo mismo con todos los directorios de WordPress.
Se puede configurar para que te envíe un correo electrónico cada vez que alguien intente acceder al panel de administración. Así, si hay un ataque, te llegarán muchos correos a la vez con la misma IP y lo único que deberás hacer es bloquear la IP desde el panel de administración del servidor. Observé un único fallo, y es que enrobots.txt sí que se ve que es WordPress, pero como modifica la URL de acceso al panel de administración, no es un problema importante.
BETTER WP SECURITY (GRATIS)
Excelente plugin 100% gratuito que trae muchísimas funcionalidades, desde bloquear una IP tras varios intentos de acceso y poner así fin a los ataques de fuerza bruta, a reescribir el prefijo de las tablas de WordPress para hacerlo mucho más seguro. Además te indica en diferentes colores lo que pone en peligro tu WordPress y si haces clic, te ayuda a solucionarlo. Muy bueno.
Nota: Este plugin no es compatible con los otros dos, por lo que sólo lo recomiendo en caso de que no se quieran invertir los 30 dólares que cuestan los otros dos. Yo personalmente me quedo con los plugins premium, pero esto ya es cuestión de preferencias y gustos personales.
PARA ACABAR…
Seamos honestos, a nadie nos gusta ver que atacan nuestro servidor, en sí pone de muy mal humor. Sigo preguntándome cuál es la finalidad de estos ataques. Estoy mucho más tranquila desde que tengo estos dos plugins instalados, pues hacen mucho más robusta la instalación de WordPress de esta web. ¿Has sufrido alguna vez este tipo de ataques? ¿Qué motivación crees que hay? Deja un comentario.
Fuente: enlace
Fuente: enlace
No hay comentarios:
Publicar un comentario