Ataques de fuerza bruta en WordPress: ¿cómo proteger tu sitio de ellos?

Los ataques de fuerza bruta a WordPress son una de las amenazas de seguridad más comunes que los dueños de sitios web y administradores deben tener en cuenta. Los actores maliciosos como los hackers están constantemente al acecho de nuevas víctimas, y los sitios de WordPress son un objetivo frecuente debido a su popularidad.

Este artículo explorará los ataques de fuerza bruta, uno de los métodos de hacking más antiguos y comunes, que ha resistido la prueba del tiempo debido a su efectividad creciente. Determinaremos lo siguiente:

• Qué es un ataque de fuerza bruta.
• Por qué los hackers realizan ataques de fuerza bruta.
• Tipos de ataques de fuerza bruta.
• Qué tan comunes son los ataques de fuerza bruta en el ecosistema de WordPress.
• Qué podés hacer para reducir las posibilidades de sufrir un ataque de fuerza bruta exitoso.

Vamos a meternos en el tema.

¿Qué son los ataques de fuerza bruta?

Los ataques de fuerza bruta, también conocidos como intentos de inicio de sesión por fuerza bruta, son ciberataques en los que el atacante intenta todas las combinaciones posibles de caracteres para descifrar contraseñas y otras credenciales de inicio de sesión, claves de encriptación o páginas web ocultas para obtener acceso no autorizado a un sitio o algún otro sistema informático.

Es uno de los ciberataques más antiguos y simples porque se basa simplemente en probar cadenas de caracteres hasta que una de ellas sea correcta. A pesar de esto, siguen siendo un método de hacking popular del que los dueños y administradores de sitios web deben estar conscientes.

¿Qué ganan los hackers con los ataques de fuerza bruta?

Existen múltiples razones por las que los hackers podrían realizar fuerza bruta en un sitio web. Algunas de las más comunes incluyen:

• Robar datos personales que puedan vender después.
• Acceder a un sitio para propagar malware, realizar ataques de SEO spam, configurar anuncios de los que puedan lucrar, redirigir tráfico a sus propios dominios web o ejecutar un ataque de ransomware.
• Tomar control de un sitio por motivos puramente maliciosos.
• Sacar sitios web completamente de línea.
• Infectar a los visitantes del sitio web con spyware para recopilar aún más datos que puedan vender después.

Tipos de ataques de fuerza bruta

En su forma más simple, los ataques de fuerza bruta se basan en ensayo y error para adivinar las credenciales de inicio de sesión correctas. Sin embargo, los hackers se han vuelto más sofisticados con el tiempo y han desarrollado métodos más complejos de fuerza bruta, aunque todavía usen métodos más simples cuando les conviene.

Estos son los tipos más comunes de ataques de fuerza bruta.

Ataques de fuerza bruta simples

Los ataques de fuerza bruta en su forma menos complicada. Los hackers intentan adivinar una contraseña usando herramientas y scripts automatizados. Implica probar cada posible combinación de caracteres hasta que uno sea correcto y los hackers accedan al backend de un sitio web.

Este ataque funciona mejor para contraseñas más débiles y cortas que no combinan letras minúsculas y mayúsculas, números y caracteres especiales. Las contraseñas simples podrían ser descifradas en una fracción de segundo. En cambio, las largas y detalladas podrían tomar miles de años.

Pero recordá que la potencia de cómputo aumenta con el tiempo. Descifrar contraseñas más largas por fuerza bruta simple será más fácil en los próximos años y décadas debido a que las computadoras podrán revisar más contraseñas más rápido. Esto lleva a la necesidad de contraseñas aún más fuertes a medida que pasa el tiempo.

Ataques de diccionario

Este tipo de ataques de fuerza bruta dependen de un “diccionario”, un conjunto de palabras o frases comunes que probablemente tengan éxito en descifrar credenciales de inicio de sesión, a menudo combinadas con números. Inicialmente, los ataques de diccionario utilizaban extensas colecciones de palabras relativamente aleatorias. Hoy en día, los hackers a menudo usan conjuntos de contraseñas filtradas para construir sus diccionarios.

Al enfocarse en un usuario específico, los hackers pueden escudriñar sus blogs, cuentas de redes sociales, etc., buscando posibles frases y palabras para usar según los pasatiempos y otros detalles personales. Otro método común de ataque de diccionario es pasar por contraseñas posibles y sustituir letras y números por otros caracteres, como cambiar “a” por “@”.

Los ataques de diccionario consumen mucho tiempo y son menos efectivos que métodos más sofisticados.

Ataques de fuerza bruta inversos

Los ataques de fuerza bruta inversos, también conocidos como “rociamiento de credenciales”, usan la táctica opuesta a otros ataques de fuerza bruta: los hackers comienzan con una contraseña e intentan encontrar un nombre de usuario que coincida.

A menudo, la contraseña proviene de una brecha de seguridad de una entidad específica, como un banco o empresa privada. Armados con contraseñas filtradas, los hackers revisan miles o millones de nombres de usuario o números de cuenta (a menudo provenientes de bases de datos filtradas) hasta encontrar uno que coincida con una contraseña y acceder al sistema.

Ataques de fuerza bruta híbridos

Es la combinación de dos tipos de ataques de fuerza bruta. A menudo, es un ataque de diccionario combinado con un ataque de fuerza bruta simple.

Muchas contraseñas consisten en una palabra común seguida por una serie de números, a menudo cuatro. Partiendo de un diccionario de términos potenciales, el atacante los combina con números comunes o significativos (como el año de nacimiento del objetivo).

A veces, los atacantes también sustituirán letras en la palabra por números y caracteres especiales, como convertir “password1234” en “pa$$w0rd1234”. Este método es generalmente más efectivo que un ataque de diccionario o de fuerza bruta por sí solo.

Ataques de relleno o reutilización de credenciales

Estos son ataques de fuerza bruta donde los hackers usan contraseñas conocidas y filtradas de hacks pasados en varias plataformas (Gmail, Facebook, Twitter, etc.), con la esperanza de que la víctima haya reutilizado contraseñas para al menos algunas de ellas.

Este ataque se basa en usuarios que carecen de conciencia sobre medidas de seguridad y utilizan la misma contraseña para múltiples cuentas. El relleno de credenciales es una de las formas más comunes de que los sitios de WordPress sean vulnerados.

¿Qué tan comunes son los ataques de fuerza bruta contra sitios WordPress?

Los ataques de fuerza bruta son una táctica común para irrumpir en sitios web de WordPress y cualquier CMS en general. En particular, el relleno o reutilización de credenciales se está convirtiendo en un riesgo más prevalente.

Según el informe “Estado de la Seguridad de WordPress 2022” de Wordfence, la reutilización de credenciales se está convirtiendo en un riesgo más significativo a medida que los hackers acumulan más contraseñas filtradas cada año. Esto lleva a una creciente acumulación de credenciales potencialmente reutilizables. Las cuentas de WordPress no mantenidas son especialmente vulnerables a este tipo de ataque.

Recordá que va más allá de tus credenciales de administrador cuando iniciás sesión en el panel de control del backend del sitio web. Supongamos que tenés cuentas de cPanel o phpMyAdmin que comparten contraseñas con tu nombre de usuario de acceso de administrador. En ese caso, los hackers podrían encontrar una manera de acceder a todo tu backend mediante la reutilización de credenciales.

Usar contraseñas únicas y fuertes para cada cuenta es una de las mejores formas de proteger tu sitio de WordPress contra la reutilización de credenciales.

¿Cómo prevenir ataques de fuerza bruta en WordPress?

Ahora exploremos los métodos que podés usar para proteger tu sitio de WordPress de los ataques de fuerza bruta.

Usar contraseñas fuertes

No es ninguna sorpresa que tener contraseñas fuertes es una de las medidas más importantes que podés tomar para reducir el riesgo de sufrir ataques de fuerza bruta exitosos. Cuanto más compleja sea tu contraseña, más difícil será descifrarla.

Algunas de las medidas que podés tomar para mantener contraseñas más fuertes en todas las cuentas incluyen lo siguiente:

• Usar contraseñas largas (12-20 caracteres) y complejas que combinen letras mayúsculas y minúsculas, números y caracteres especiales, como “*” y “/.”
• Crear reglas para las palabras utilizadas en las contraseñas. Por ejemplo, podés exigir que las palabras sean truncadas a la mitad o que se eliminen las vocales (“honey” se convierte en “hny”) para evitar combinar letras predecibles.
• Evitar palabras comunes y cotidianas y patrones predecibles, como una palabra común seguida de cuatro números.
• No usar “a” o “1” como el primer carácter de la contraseña.
• Usar contraseñas únicas para todas las cuentas asociadas con tu sitio de WordPress.
• Considerar el uso de un gestor de contraseñas para mantener todas estas contraseñas complejas y únicas.
• Verificar si tus cuentas han sido vulneradas con sitios web como Have I Been Pwned?

Para contexto adicional, podés usar sitios web como Password Monster para probar cuán difícil es descifrar una contraseña. Probemos contraseñas crecientemente complejas y veamos cómo aumenta exponencialmente el tiempo para descifrarlas.

• password: descifrada en menos de 1 segundo.
• password1234: descifrada en menos de 1 segundo.
• password_1234: descifrada en menos de 1 segundo.
• PassWord__1234: descifrada en 66 segundos.
• P4$sW0Rd598T8: descifrada en 9 horas.
• P4$sW0Rd_/*12&9!: descifrada en 14 mil años.
• >zF+r85l?=459: descifrada en 353 millones de años.

En última instancia, todas las contraseñas son descifrables con suficiente tiempo y potencia de cómputo. Sin embargo, podés hacer que el proceso de descifrarlas tome más tiempo si usás contraseñas fuertes y únicas en todas las cuentas.

Establecer un límite para los intentos fallidos de inicio de sesión

Por defecto, WordPress permite intentos de inicio de sesión fallidos infinitos. Un hacker puede seguir intentando descifrar tus contraseñas hasta tener éxito. Explorá plugins que impidan temporalmente que direcciones IP intenten acceder a tu panel de administración si fallan un número determinado de veces seguidas (como 3, 5 o 10 veces).

Los intentos limitados y el tiempo de espera reducirán las probabilidades de un ataque de fuerza bruta exitoso.

Agregar autenticación multifactorial (MFA)

La autenticación multifactorial es una forma de control de acceso que solo permite el acceso después de que el usuario haya proporcionado dos o más pruebas diferentes de identidad. La primera prueba de identidad es la combinación de contraseña y nombre de usuario.

La segunda prueba varía. Puede ser una segunda contraseña que cambia periódicamente, un código de verificación enviado a tu dirección de correo electrónico o cualquier otra forma de verificación.

Usar pruebas CAPTCHA

Los captchas son desafíos visuales o aritméticos que son fáciles de resolver para los humanos pero muy difíciles para los bots como los que se usan frecuentemente en ataques de fuerza bruta automatizados de inicio de sesión.

Explorá plugins que agreguen pruebas CAPTCHA a tu página de inicio de sesión de administración.

Impartir conciencia sobre ciberseguridad entre los miembros de tu equipo

Si tu sitio web tiene múltiples usuarios que inician sesión diariamente, sería beneficioso educar a cada miembro del equipo sobre los riesgos generalizados de los ataques de fuerza bruta y otras amenazas comunes a la seguridad en el ecosistema de WordPress.

Creá, comprá o encontrá un curso de concienciación sobre ciberseguridad que proporcione ejemplos de la vida real para que los miembros de tu equipo sepan cómo son los riesgos de seguridad en la práctica.

Conclusión

Los ataques de fuerza bruta son unos de los métodos de hacking más antiguos y efectivos para vulnerar sitios de WordPress. En su forma más simple (probando combinaciones aleatorias de caracteres), no son particularmente efectivos contra contraseñas fuertes.

Pero a medida que las técnicas avanzan y los hackers acumulan contraseñas filtradas de brechas de seguridad pasadas, se han convertido en un riesgo de seguridad más generalizado, obligando a los propietarios de sitios de WordPress a tomar medidas.

Para minimizar las posibilidades de una brecha por un ataque de fuerza bruta, la mejor medida que podés tomar es usar contraseñas fuertes y únicas en todas las cuentas asociadas con tu sitio de WordPress.