Hoy se está registrando un intento desproporcionado de intentos de acceso a sitios creados con WordPress que está provocando no pocos problemas a administradores de webs y sistemas.
El proceso está tratando de forzar accesos cómo administrador a través de la pantalla de login (wp-login.php) mediante scripts de ataque de fuerza bruta, con la intención de inyectar código script malicioso en el tema activo.
Si tienes activo el módulo de WordFence de bloqueo de IPs ante intentos masivos de acceso ya sabes de lo que estoy hablando porque habrás tenido, cómo yo, un día entretenido de avisos de IPs bloqueadas por este motivo, la mayoría desde Rusia o países de la antigua URSS.
Para evitar este tipo de ataques tenemos dos herramientas eficaces e inmediatas:
- Avisa a tu proveedor de alojamiento del problema y pide que te activen el módulo mod_security de Apache.
Para saber más sobre mod_security te recomiendo descargar la guía que hizo Samuel Aguilera, que indica las protecciones que ofrece y cómo saltárselas puntualmente, pero siempre sabiendo lo que haces. Encuentras el enlace al PDF al final del artículo enlazado. - Instala y activa el plugin Wordfence y comprueba que están activas las reglas de Firewall (por defecto no están activas), que podrían ser cómo en esta captura:
Nota: El valor de «If a human’s page views exceed» debes modificarlo de acuerdo al tráfico «normal» de tu sitio o bloquearás usuarios normales.
También comprueba que tienes bien configuradas las reglas de control de accesos, cómo en esta otra captura por lo menos:
Para asegurarte totalmente, si estás sufriendo un ataque inminente puedes cambiar el nivel de seguridad del plugin poniéndolo en el nivel 4, el de máxima seguridad:
Para todo lo demás, te recuerdo los consejos básicos para asegurar WordPress.
Gracias a Borja por avisar.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
Wordfence sera compatible con el otro plugin «Limit Login Attempts» por que ambos los veo muy similares y no creo que sea idea poner dos que hagan en esencia lo mismo.
Y si, he recibido bastantes avisos de bloqueos de ip.
Hombre, se pisan, pero también te vale el «limit»
vale.. tenia esa duda.. muchas gracias Fernando.
Yo estoy probando en una de las instalaciones menores, de esas que no son vitales pero que sí sufre intentos de ataque y de momento funcionan bien en paralelo.
Jajajaja esos Rusos sin nada mas que hacer! a mi ya una ves me tumbaron varios de mis sitios, lo bueno que fueron educados y solo me dejaron un mensaje diciendome «Tu sitio no esta protegido, por favor arregla esto» y despues me lo firmaron Hackeado por…. obviamente pude resubir mis sitios sin ningun problema pero vaya susto que se llevaron mis clientes!
Mira que majos, yo de ellos lo más que he recibido han sido scripts metidos a capón en el tema.
Bueno, rusos y no tan rusos, porque yo recibo intentos de entrar de alguno de Cáceres según veo por su IP.
si me dejaron sin web por 5 minutos malditos rusos
si en verdad e recivido varios ataques de ellos lo bueno es que es solo al theme, pero bueno espero con esta nueva seguridad que nos comentas ya solucionar eso
Fernando, activar el pluguin este ¿me puede dar problemas de acceso a mi a la web?
No, en absoluto, yo lo uso en todos mis sitios, y tengo unos cientos
yo utilizo http://wordpress.org/extend/plugins/limit-login-attempts/ 🙂
Pues a mi wordfence no me ha servido para nada. Desde hace un día que no puedo acceder al escritorio de wordpress de mis dos blogs 🙁
Intenta cambiarle la contraseña a tu FTP
Ahora entiendo la imposibilidad de acceder a mi blog con el constante mensaje de error al intentar contactar con la base de datos. A parte de eso nada más. Si ha sido producido por los ataques rusos sólo han conseguido eso, tumbar el blog por un día, entiendo pues que BulletProof Secutity Pro ha cumplido con su trabajo.
Yo recibí en uno de los sitios en cosa de media hora un total de 12 intentos seguidos de acceso, en todos ellos intentando entrar con diferentes nombres de usuario, como es obvio ninguno coincidía, demasiado comunes: admin, admin1, administrator, user, support, test, adm, aaa, manager, qwerty, root, sysadmin. El que me ha servido es el Limit, que además le tengo configurado para que el bloqueo sea de 9999 horas, es decir, más de un año de bloqueo a esa IP, total, no espero clientes de Turquía o Ucrania por ejemplo. Esto unido al captcha y al bloqueo de IP’s desde el cpanel pues me va salvando, pero creo que en futuras versiones de WP deberían mejorar este aspecto con una personalización en la instalación, en las estadísticas se ve muy bien que acceden directamente a ../wp-login.php
A mi hace tiempo me tumbaron unos 15 dominios en WordPress que estaban en el mismo servidor y lo hicieron unos chicos muy majos de Israel.
Por suerte pude rehacer las bbdd manualmente de forma rápida (en una tarde los clientes) y el día siguiente el resto de dominios propios, no era de los que hacia muchas copias de seguridad con lo que no podía restaurar nada.
Desde entonces instalé en el servidor una aplicación que encontré que se llama DenyHosts y desconozco si algo más.
Desde hace poco, protejo el acceso a ciertos ficheros, por ejemplo el wp-login.php por htaccess i htpasswd. No tengo ni idea si esto ayuda en este tipos de ataque por fuerza bruta, pero un extra nunca está mal tenerlo, además es extremadamente sencillo y rapido de realizar.
Comentame como protejes el wp-login.php por htaccess i htpasswd?
saludos
Gracias! Instalé ayer el pluguin y parece bastante bueno. Al menos me permite bloquear ips y controlar bastante más el acceso.
Con respecto al WordFence y para que no consuma muchos recursos de memoria y principalmente para este caso de ataque por fuerza bruta, es efectivo tener solo activado el Firewall y no la opción de Scaneo Automatico? Gracias a todos y Fernando, excelente trabajo como siempre.
Hola amigos, que es lo que debo hacer no puedo administrar mi web que tiene wordpress, me sale este mensaje: «Wordpress administrator area access disabled
temporarily due to widespread brute force attacks.» Ayuda por favor.
Hola,
Yo no se si son los rusos o no pero desde hace unas horas al ir login me sale un feo «forbiden access»
hola una pregunta he cambiado mi contraseña en codigo mas largos, tendre problemas contra estos hacker? ademas uso la version 3.3
Cambia habitualmente las claves y mete algún «estorbo» cómo el Wordfence o el limit login attemps
he sufrido ayer mi sitio web off por 3 oportunidad en 5 minutos
he cambiado a mi usuarios todo su password?
en codigos grandes, pero uso el wordpress 3.3 tendre problemas con la version del limit login attemps?
o lo instalo normal?
¿Hay alguna actualización sobre este tema? nosotros tenemos un sitio web alojado en CDmon que usa buddypress + bbpress y nuestros usuarios buddypress siguen sin poder usar el sitio web con normalidad, la solución que da CDmon de comprobar el status en Spamhaus evidentemente solo es valida para un adminsitrador pero no podemos facilitar eso como solución a nuestros 2000 usuarios buddypress.
Alguna ayuda para este caso ? gracias
CDmon te puede desactivar el mod_security temporalmente, pero antes aplica normas de seguridad cómo estas. Habla con ellos, son bastante eficientes
Lo de que no exista un limitador de intentos de login de serie es vergonzoso. Recomiendo el Limit Login Attempts
buenas, he instalado wordfence, modifico en opciones y al pinchar «save changes» no hace nada… no guarda los cambios…
lo he probado en dos webs y en las dos me ocurre lo mismo…
a alguien le pasa lo mismo? como lo hago? tengo que pasarme a «premium»?
gracias
salud
uri
No me queda claro, las imagenes tienen los valores que debemos cambiar? o sólo es informativa? Lo digo porque en la primera imagen, la última opción dice «How long is an IP address blocked when it breaks a rule» Cuanto tiempo una IP estará bloqueada si rompe una regla y el valor que tiene es 5minutos……………….sólo 5 min.???
Pues yo tmb he tenido avisos de accesos de china y algún sito más, pero con el wordfence y el Limit login attemps de momento me han salvado.
Estoy encantado con estos dos plugin y eso que uso el modo gratuito.
Por cierto gracias, ya he configurado el firewall del wordfence, que lo tenia sin habilitar.
Un saludo.
Buen post!!! ¿Alguna vez has necesitado leer una información que se encuentra en otro idioma y no has podido hacerlo porque no lo manejas? ¡No te preocupes! Con un traductor idiomas a la mano podrás revisar cualquier noticia en cualquier idioma en determinado momento y lugar del mundo y lo mejor es que está al alcance de tus manos… ¡Para mayor información visita ésta página!
Hace tiempo leo AyudaWordpress desde Argentina, y eso mismo, me has ayudado mucho…. Gracias.
Hace 2 dias sufri un ataque en varios sitios dentro de un mismo host… Lo que ocurrio fue que cambiaron los nombres de los usuarios dentro de la DB, a todos los nombraron «admin», solo eso, no encontre que hayan modificado otra cosa…
Al restablecer los usuarios, al rato, volvian a cambiarse por «admin» y luego de varias luchas los cambiaron por «hackido» no mal no recuerdo…
Bueno, tuve que restaurar viejas copias y todo volvio a la normalidad…
¿sabes que pudo haber ocurrido?
Uso
Better WP Security para ocultar el login, etc…
y Wordfence Security simultaneamente
Recibi un lindo hackeo a mi wordpress, es como la 3 vez en varios años, con la diferencia que ahora tengo registros masivos de usuarios (obviamente spam bot) por lo que acabo de activar plugins de Capcha en el registro, ojalá resulte…
Y porfavor Fernando, te recomiendo un articulo sobre «que hacer antes, durante y despues de un hackeo en wordpress» ya que creo que somos muchos quienes hemos sufrido o vamos a sufrir alguna vez algun ataque malicioso….
Saludos desde Chile!!!
Yo opté en su día por el Best WP Secutity, que entre otras cosas permite cambiar la dirección de acceso al login para entrar en la administración, entre otras muchas opciones. A mi es el más me gusta y funciona, tras un ataque sufrido el verano pasado, con el he conseguido rechazar todos los ataques por fuerza bruta intentados desde entonces. Además de ir poco a poco aumentando la lista de IPs baneadas para otra serie de movimientos sospechosos.
Muchas gracias, estaba sufriendo un ataque en este momento, y me ha sido de mucha ayuda tu artículo, y lo mejor que estaba en un idioma que entendía.