Una lección de fuerza bruta ataca


WordPress es el sistema de gestión de los contenidos más populares en la web a través de su interfaz fácil de usar y comunidad accesible. Desafortunadamente esto también hace WordPress un objetivo popular para los intentos de hack. Y mientras que el núcleo de WordPress, sí es muy seguro y bien codificados, codificación excelente en el mundo no lo protegerá si está utilizando una contraseña no segura.

en 34SP.com usar el plugin de WordPress Sucuri popular para evaluar ciertos datos sobre los ataques por fuerza bruta, el objetivo es educar e informar a nuestros usuarios en los métodos bruto forzar uso de ataques para intentar romper la contraseña de admin, y también sabes cómo puede mantener su sitio seguro y lo que en 34SP.com para asegurar que su sitio es tan seguro como sea posible.

los ataques de fuerza bruta son básicamente el proceso de tratar de adivinar una contraseña varias veces en una fila. Por ejemplo, usted podría ir a cualquier sitio web, encontrar su página de inicio de sesión y de adivinar un nombre de usuario y contraseña hasta que se puede conectar. Generalmente los hackers utilizará bots y scripts automatizados para adivinar nombres de usuarios y contraseñas para cientos de veces en pocos minutos.

imaginar como si tuvieras tu propio club (Web site). Y todos trataron de conseguir su club. Decirles a ellos “debe conocer la contraseña secreta para entrar! Entonces son entonces quedan afuera, gritando de contraseñas durante horas y horas hasta que se las arreglan para conseguir el par derecho. Es esencialmente la obra de ataques de fuerza bruta como.

nuestro estudio sobre los ataques de fuerza bruta

para mostrar cómo podemos hacer esto, utilizamos el plugin de WordPress Sucuri popular para obtener datos de un sitio Web de prueba. Este plugin te ofrece algunas de las muchas características de seguridad, una de ellas es que puede configurar el plugin para mantener un registro de los nombres de usuario y contraseñas hacking han tratado de utilizar para entrar en su sitio.

solo habilitarla al probar esta característica.

en este ejemplo, el sitio tenía un nombre de usuario de “Symonek” y una contraseña muy segura utilizando nuestra herramienta de generador de contraseñas.

luego esperó y observó el llenado del registro en la parte superior. A partir de ahí hemos visto que los piratas de los populares nombres de usuario intentó utilizar eran los siguientes:

  1. Admin (esto solía ser el nombre de usuario WordPress)
  2. administrador
  3. 111111
  4. Symonek (el nombre de usuario correcto) cuenta

, no se preocupe demasiado en el nombre de usuario correcto próximo – es fácil obtener un nombre de usuario de mensajes y el contenido del sitio Web , pero vamos a ver cómo puede mantener su nombre de usuario más segura más abajo en este post. Si robots inteligentes han roto nuestro nombre de usuario, pero al menos tenemos una contraseña segura! Los bots no puede romper la contraseña, aquí están las cinco contraseñas más populares que utilizaban:

  1. contraseña

  2. Password123
  3. letmein
  4. Dragon
  5. 123456

Curiosamente, publicar contenido con dragones en el blog, nosotros lo hemos probado en. Puede ser una coincidencia, pero tal vez los robots eran contenidos web gateando haciendo algunos ‘supuestos’. Afortunadamente nuestra contraseña segura no tiene nada que ver con el contenido de la página! Pero partiendo de esta pequeña selección de nuestros datos de prueba, podrá ver rápidamente los bots hack un sitio WordPress muy rápidamente con el nombre de usuario ‘Admin’ y contraseña ‘123456’.

en 34SP.com, por desgracia vemos algunos clientes tienen su contraseña no segura en peligro, y a menudo preguntan “¿por qué ellos?”. Así, sólo para reiterar – no es nada personal. El bot habrán encontrado un sitio al azar, tenía el aire de la URL de conexión es estándar en la mayoría de las configuraciones de WordPress, entonces utiliza una lista en línea para intentar romper su manera a su sitio.

Cómo puede proteger contra ataques de fuerza bruta

  • habilitar la autenticación de dos factores. Básicamente lo que genera un código de tiempo cada vez que se conecte, generalmente a una app SMS o por teléfono, pero también a veces por correo electrónico, necesitará también entrar al iniciar sesión en. «Google Authenticator» es un ejemplo de un plugin que lo haga por usted.
  • crear un largo, fuerte contraseña compuesta de varias palabras, y si si las contraseñas largas mal memoria utilizando un gestor de contraseñas para mantener la pista de contraseñas diferentes te utiliza.
  • uso plugins, WordPress tiene un montón de plugins de seguridad para ataques de fuerza bruta. Incluyendo ‘limitar los intentos de inicio de sesión’ se bloqueará una dirección IP después de 5 intentos de inicio de sesión incorrecto. Esto limita la cantidad de pruebas que el delantero llega a su contraseña.
    • también se puede si tienes acceso root pueden configurar la seguridad como módulo Fail2Ban o mod_security para cuidar de la seguridad para usted.
  • no utilizan un nombre común como ‘admin’ en WordPress – crear algo único. Puede ser algo su propio nombre a algo completamente al azar. WordPress también permite configurar un nombre de usuario y un nombre de ‘Mostrar’ – luego de su nombre de usuario no debe ser públicamente visible en el frente de su sitio Web.

¿Cómo 34SP.com para hacer frente a estos ataques?

  • no nos dejó en sus propios para hacer frente a estos ataques. Nuestro WordPress había gestionado plataforma de alojamiento de la caja con Fail2Ban – un módulo de seguridad que busca direcciones IP a su sitio. Se activamente monitorear cualquier actividad inusual y bloquear direcciones IP en consecuencia. Fail2Ban es proteger contra los ataques de fuerza más básica también está configurado para abordar una variedad de métodos comunes de ataque popular WordPress.
  • para más seguridad, nunca necesitará saber su contraseña en nuestro hosting gestionado wordpress, simplemente se puede conectar a través de su 34SP.com de control Panel.
  • backup – tu hosting WordPress también viene con copias de seguridad diarias. Como hemos dicho anteriormente; toda la seguridad en el mundo no protegerá a su sitio, si tiene una contraseña realmente precaria. Así que en el caso poco probable donde encontrar que tu sitio se vea comprometido, ofrecemos a guardar copias de seguridad y corre lo más rápido posible. Si usted toma sus propias copias de seguridad (que también es recomendable) nuestro equipo de soporte estará encantado de usar sus copias de seguridad para restaurar así.

en Resumen, ataques de fuerza bruta son comunes en cualquier otro sitio de internet. Pero es fácil hacer mientras que usted está consciente de la seguridad. Es probable que, incluso sin ninguna seguridad de servidor adicional, siempre y cuando tu contraseña es muy seguro y se utiliza para la autenticación de dos factores – nunca será víctima de un ataque de fuerza bruta. Nos en 34SP.com cuidado de la seguridad del servidor para usted en nuestro hosting WordPress, sólo asegúrese de que usted vuelve a nosotros con una buena contraseña segura!

34SP.com ofertas gestionado WordPress hosting de hasta tres sitios web desde sólo £14,95 al mes – si quieres conocer más visitan este enlace para una especificación completa, o no dudes en llamar a nuestro equipo de ventas que te cuente más sobre este tema por teléfono.

Deja un comentario