JetPack introduce protección contra ataques de fuerza bruta

La versión más reciente del mega-super-ultra-acojo plugin JetPack ha introducido algunas novedades, de las que la más relevante es un nuevo módulo – el número 36 – que ofrece protección contra ataques de fuerza bruta a la pantalla de acceso de WordPress.

En realidad la idea original era lanzar un plugin en solitario para esta utilidad pero han aplazado su publicación para incorporar su funcionalidad básica a JetPack, seguramente siguiendo la máxima de que si no actualizas tu software es que estás muerto, o vete a saber.

El plugin pretende ser la adaptación a WordPress del servicio BruteProtect que adquirió Automattic hace tiempo, pero de momento ni se asoma a las posibilidades de ese, otrora, maravilloso servicio, que dicho sea de paso aún puedes descargar en el repositorio oficial de WordPress.

BruteProtect

El caso es que desde ya, si has actualizado a la última versión de JetPack, la 3.4, dispondrás del módulo denominado Protect, que básicamente bloquea intentos masivos de acceso a la pantalla de registro y login de WordPress, con el valor añadido de que el plugin comparte información de todos los sitios donde está instalado para proteger a los usuarios de IPs detectadas en cualquier otra instalación de la “red”, lógicamente alojada en los servidores de Automattic. Si detecta un número elevado de intentos de acceso en poco tiempo bloquea la IP del supuesto atacante.

Si has pensado que no ofrece nada que ya no exista has acertado.

Existen buenos y prácticos plugins que ofrecen bloqueo de ataques de fuerza bruta contra el acceso a WordPress, como Limit login attemps, y si quieres un servicio exacto como el que ofrece el módulo Protect de JetPack, con conexión a una red de seguridad que aproveche el conocimiento compartido, lo tienes en WordFence, el cual dicho sea de paso te protege de muchísimas cosas más.

El  hecho del conocimiento compartido, del uso de bases de datos conectadas, es una buena idea, utilizada por fantásticos plugins como WangGuard o el mismo WordFence, pues es vital para bloquear ataques masivos, que nunca o casi nunca son solo contra un sitio, y siempre es bueno que la red aprenda.

Lo que no me convence del nuevo módulo de JetPack es la nula configuración posible del mismo, nada que ver con plugins de seguridad especializados, pues lo único que ofrece en su página de ajustes es la posibilidad de poner IPs en lista blanca, para que el plugin no te bloquee a ti mismo, que no está mal, pero es claramente insuficiente.

ajustes protect jetpack wordpress

Lo mínimo en este tipo de plugins de seguridad es permitir al usuario decidir cuántos intentos de acceso en cuánto tiempo pueden ser considerados un ataque, y no tenemos esa opción en Protect, ni ninguna otra de personalización y control por parte del usuario.

Plugins como los antes citados ofrecen una gestión realmente profesional, y exhaustiva, de la seguridad frente a ataques de fuerza bruta, y en cuestiones de seguridad no hay que dejar nada al azar, creo yo ¿no?

En fin, que la idea está bien, pero de nuevo parece haber primado el carácter comercial frente al servicio al usuario por parte de Automattic, al ofrecer un producto incompleto, aplazando el completo y en principio idea original.

¿Más cosas de la versión 3.4 de JetPack? Bastantes. Una muy llamativa es el nuevo botón Dar impulso, que activa de golpe los módulos Gestionar, Carrusel, Photon, Entradas relacionadas, Inicio de Sesión Único de Jetpack y unos cuantos más (sin especificar), además de los que ya se activan por defecto. Vamos, que me encanta (sic).

Es tentador, sí, pero como viene siendo habitual olvidan dar información al usuario de lo que realmente supone activar esos módulos, y las puertas de conexión que abre entre tu web y WordPress.com. Vamos, en la línea habitual de las últimas lindezas de Automattic.

Por lo demás, la actualización incorpora 43 cambios y 11 soluciones a fallos desde la versión anterior.

Por cierto, que a las pocas horas de salir la versión 3.4 de JetPack tuvieron que sacar una actualización, la 3.4.1, porque había fallos que provocaban multitud de errores fatales en los sitios donde se instaló la versión anterior.

Nada, queda abierto el debate ¿vas a activar/instalar el nuevo módulo? ¿te parece bien la política del plugin todo-en-uno de JetPack? ¿cueces o enriqueces?

AVISO: esta publicación es de hace dos años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

Valora este artículo para mejorar la calidad del blog ...

Al hacer una valoración se recoge una cookie con la IP de tu dispositivo

FlojitoNo está malEstá bienMe ha servidoFantástico (8 votos, promedio: 5,00 de 5)
Cargando…

Autor: Fernando Tellado

Fernando Tellado, apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y de una perrita Beagle, Bilbaíno de nacimiento, Español de corazón y ciudadano de donde me quieran. Autor del libro WordPress - La tela de la araña. Mi blog personal es Navegando con red, donde he crecido como escritor en la red y ofrezco mis visiones acerca de la Web 2.0 y la blogosfera.

Comparte esta entrada en
468 ad

Pin It on Pinterest