Desde esta mañana está teniendo lugar el mayor ataque de fuerza bruta contra instalaciones de WordPress que se conoce hasta la fecha.
Según informan en Wordfence.com el ataque es masivo, y en un mapa de su web se puede revisar en tiempo real el tráfico que está generando, así como los lugares de origen y destino de los ataques. En verde tienes el tráfico normal y en rojo los ataques bloqueados que, como puedes ver, provienen en su mayoría de Rusia, China y Taiwan.
Los ataques están orientados a forzar accesos de usuario de manera masiva, mediante máquinas de software automatizadas.
Si tienes instalado el plugin de WordFence lo mejor es que, en la sección de ajustes denominada «Other options» actives la casilla «Participate in the real-time Wordfence security network«. De este modo si un sitio WordPress que usa WordPress es atacado y activas esa opción se bloquea a ese atacante en todo el resto de sitios que estén usando Wordfence.
Por supuesto, sube el nivel de seguridad ante ataques masivos, el nivel 4 del plugin Wordfence, que es el adecuado a ataques en curso.
Por supuesto, difunde este aviso a todos tus conocidos y amigos, abajo tienes botones para moverlo por las redes sociales y que llegue a la mayor cantidad de gente posible.
Venga, ánimo, siguiendo los consejos de seguridad en WordPress no deberías tener problemas.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
Lo que no nos mata… ¡nos hace más fuertes!
buen aviso..
estaban atacando un sitio mio y me extrañaba del por que, por suerte tengo todas las defensas arriba asi que suerte con el hackeo.
Y como hacemos los que no tenemos el plugin?
¿instalarlo?
excelente respuesta ajaja
Sí lo noté, ayer me avisó Wordfence de una IP fastidiosa que intentaba colarse como administrador. La bloqueó, configuré un número de intentos menor y asunto resuelto. La opción de real-time Wordfence security network ya la tenía activada.
Muchas gracias Fernando, ¿y te parece mejor este plugin o el de Wordpress Firewall 2?
Ni mejor ni peor, más completo si
Muchas gracias Fernando, a ver si lo pruebo.
¿Y si tengo WP Security tengo que hacer algo?
Ve a la sección de Login y limita los intentos de acceso
Gracias!
Muchos intentos de acceso desde este sitio:
Korea, Republic of attempted a failed login using an invalid username «admin».
IP: 211.110.140.70 [unblock]
17 minutes ago
Nunca uso el nombre admin en mis instalaciones de WP, tiene el ataque por fuerza bruta impacto sobre otros nombres de usuario administradores?
¿Escribes con el usuario que es admin? ya tienen tu usuario.
¿Tu usuario administrador tiene el ID 1? ya tienen tu usuario.
Y así podría seguir,
Pues el ataque sigue, no paran de intentarlo, lo que no sé es por qué desde el servidor donde los tengo alojados no toman medidas para evitar tantos intentos, yo creo que sería lo más sencillo, con denegar el acceso a determinados países de una forma temporal acabarían por cansarse. Aunque la cosa puede que no sea tan sencilla. Mañana veré si hay alguna página afectada pero de momento aguantan sin problemas.
si usas cpanel 11 puedes bloquear la ip
El problema es que son muchas IPs, pero si, se lo puedes pedir.
Tengo IP`s bloqueadas con Cpanell desde hace tiempo, pero lo ideal sería que los responsables de los servidores donde pagamos el alojamiento tomen medidas ante ataques masivos como este, sin tener que estar nosotros pendientes. Yo creo que les interesa, me imagino que sí podrán.
Pedro,
lamento informarte de que nosotros no somos tus becarias.
Si quisieras hacer lo de bloquear las IPs tu,tenemos un sofa y varias cocacolas.Puede que te demos una palmadita en la espalda si sigues pensando ideas tan geniales como esa.
Atentamente el equipo de redcoruna.
Gracias por una respuesta técnica tan ilustrativa. Yo creo que como expertos en este tema mejor sería decir que es imposible, que costaría dinero dedicar una persona a esa tarea, etc, pero responder así a un cliente vuestro demuestra muchas cosas. Yo puedo estar equivocado porque no conozco bien el trabajo de un ISP, pero siempre suelo hablar con respeto y educación.
Hola Pedro,
No se sí ese es realmente de Redcoruna o no, pero lo que tengo muy claro es que no hace falta que una persona en un ISP esté bloqueando las IPs.
Desde hace muchos años, existe un «aparato» que se llama Sonda.
Lo que hace la sonda es simplemente detectar los ataques sean del tipo que sean.
En un caso así, la ponen en modo pánico y pocos se colarán, por no decir ninguno.
Hablo con conocimiento de causa, soy el desarrollador de WangGuard, y si no fuera por las Sondas, WangGuard estaría más caída por ataques que online. No tengo contratada una persona las 24h del día controlando todos los ataques que sufro, la Sonda se encarga de todo.
Cualquier ISP medianamente serio, tiene una Sonda y la configuran según las necesidades del momento.
Saludos
Gracias. Yo soy cliente, por lo que no conozco bien el funcionamiento de los servidores, por eso apuntaba a hacer algo de eso. Me alegro que existan programas que hagan esa labor. Lo dicho, gracias por la información que creo que sería interesante conocer a la hora de contratar un alojamiento. Un saludo. P.D.: Puede que no sea Redcoruña quien dijo ese comentario, me he puesto en contacto con ellos para que lo aclaren, a ver qué dicen.
Pedro (de RedCoruña), me parece una salida de tiesto monumental ese comentario. Hay veces que se está mejor callado que poniéndose borde con un usuario.
Hay muchas maneras de decir las cosas y has elegido la peor, faltando al respeto.
Ya somos mayorcitos, además que yo no mencioné esa empresa para nada, hablaba en general. Hasta ahora estaba contentos con ellos, me han atendido bien varias veces y les he recomendado, pero estoy mirando otros alojamientos porque casualmente me caduca el plan de alojamiento que tengo contratado en unas 3 semanas, es decir, tengo la opción de renovar o no dependiendo de cómo lo vea.
Haciendo de abogado del diablo te diría que es muy complicado. Bien es cierto que pueden bloquear IPs usando comodines (wildcards) pero en este tipo de ataques habría que bloquear a medio planeta y te harían un destrozo igualmente.
Puedes empezar por bloquear tu mismo IPs mediante htaccess (también con wildcards), cerrar el registro unos días, esas pequeñas cosas que todo WordPressero apañado sabe 😉
Gracias Fernando por una respuesta razonada. Ya comenté que usaba Cpanell para bloquear IP, algo muy sencillo de hacer. Solo pensaba en esa otra posibilidad para atender mejor a sus clientes y evitar consumo de recursos cuando hacen ataques masivos quizás llegando al extremo de convertirse en DDOS. También se puede hacer el bloqueo de IP desde el propio Wordfence según he visto.
Si recuerdas el anterior ataque masivo de este tipo las dos empresas de hosting con las que trabajo habitualmente hicieron justo lo que dices: bloquear IPs temporalmente para evitar problemas a sus clientes. Cuando se quiere se puede.
Bloquear IPs de forma manual es un disparate ante un ataque masivo, también lo es usar wildcards o filtrar paises (los ataques generalmente utilizan PCs infectadas en todo el mundo).
La forma razonable de hacerlo es bloquear una IP de forma temporal cuando genera muchos requests simultáneos (comportamiento no normal, salvo para un crawler de un buscador).
Para eso se puede usar simplemente un script anti-DDOS si nuestro servidor web es un Linux, aquí les dejo un artículo que escribí yo mismo:
Saludos!
Eso sugería yo tocayo, parece que alguien ha entendido mal algo.
Si entendí bien, pero debía responderle a Pedro más que a tí, en realidad mi comentario era para sumar algo de información, no para discutir. Esto no depende del hosting, ni del ISP, ni es algo que pueda resolverse desde WP con un plugin (al menos de la mejor manera, más eficiente).
Si ven con ese script es muy simple, evalua las conexiones TCP y bloque las IPs que tienen más de X requests consecutivos, ese umbral, como el tiempo que van a estar bloquedas es configurable. Al igual que una lista «blanca» donde podemos incluirnos nosotros y los IPs de los crawlers de búsqueda para que no termine bloqueando a los que no queremos.
Es el método más simple, hace el trabajo por nosotros una vez que esta configurado adecuadamente. Como contra es que debemos disponer de un servidor VPS o real dedicado para poder implementarlo. Saludos!
Gracias por avisar,
¿Estás en nómina de wordfence?
Yo no ¿y tu?
Han avisado ellos, uso el plugin, porque me parece el mejor por experiencia, y propongo medidas para parar el ataque, también con otros plugins si lees el resto de comentarios.
Hola, corregidme si me equivoco, pero con un nombre de usuario y una contraseña robusta, no resulta imposible que accedan con un ataque por fuerza bruta?
(Con robusto me refiero a usuario y contraseña con letras, números y símbolos)
Si es fuerte fuerte si claro, pero es mejor bloquear los intentos, así no siguen y te petan el blog intentándolo.
Ya decía yo que recibía tantos intentos desde hace una semana y nunca recibí un aviso de intento…
¿Los plugins WP Better Security y WordFence Security son compatibles o excluyentes?
Un saludo
Interfieren uno con otro, es como tener instalados dos antivirus en el ordenador
Gracias por la respuesta. Veré entonces si lo cambio o aumento la seguridad en WP Better Security que ya tengo instalado.
Un saludo
Muchas gracias por el dato, me acabo de dar cuenta de que mi blog ha sufrido un ataque. Una pregunta ¿es necesario instalar el ‘limit login attempts’ teniendo el apartado ‘Login Security Options’ en wordfence?
Un saludo y gracias de nuevo…
No, viene a hacer lo mismo. Casi todos los plugins de seguridad tienen una funcionalidad para limitar los intentos de login
Gracias por el aviso, Fernando.
La verdad es que no sé si antes de realizar los ajustes que recomiendas tenía tantos intentos de login (no los monitorizaba), pero desde que lo he hecho tengo más de 50 intentos.
Además de un plugin de seguridad, es muy importante tener una buena contraseña. Cuantas más barreras, mejor.
De nuevo, muchas gracias.
Hola! Yo he recibido dos ataques estos días, y en el primero intento de login dieron con el nombre de usuario, no se como. Mientras que en el segundo pusieron admin.
Tengo instalado WP Security bloqueando los login y cloudfare, aunque hoy tengo el server todo caído, no se si será coincidencia o si ha pasado algo…
Buenas Noches y gracias por adelantado.
hace 4 días tuve problemas para acceder a mi site realizado en wordpress.
El hosting es acens, y tras notificar la incidencia me dijeron que ante un ataque , ellos bloquean el acceso al wp-login.php automaticamente.
Me dijeron que entrara por ftp y cambiara los permisos, lo cual funciona ….pero es que debo escribirlo constantemente ya que a los minutos se borra….y debo volvera cceder por FTP y cambiar de nuevo los permisos de wp-login..Lo realizamos entre varios amigos y ha distintos horarios, y es una molestia tener que entrar primero al ftp, si deseamos hacer un cambio
En acens me dicen que de esta forma se protegen los sites en wordpress.
Pero si deseo acceder al site primero debo usar el http://ftp…y tampoco saben decirme hasta cuanto tiempo el fichero wp-login estara sin permisos.
(USAMOS UN SCRIPT AUTOMATICO QUE QUITA LOS PERMISOS;PERO DESGRACIADAMENTE NO LOS VUELVE A ESCRIBIR)
Disculpen , pero mis conocimientos son minimos, y no se como solucionarlo
Gracias de nuevo
Jose
wordfence es una medida para web que estan siendo atacadas en el momento, mas no conviene dejarla instalada, ya que genera mucha carga en la base de datos y creo muchisima informacion en la db
Debería digo yo una forma sencilla de impedir ataques, por ejemplo yo he tratado eliminando wp-login.PHP pero al rato siguen igual enviando logins pero ya desconozco a donde van dirigidos.