{"id":11360,"date":"2023-02-16T10:39:00","date_gmt":"2023-02-16T10:39:00","guid":{"rendered":"https:\/\/wcanvas.com\/?post_type=blogs&p=11360"},"modified":"2024-12-23T21:07:00","modified_gmt":"2024-12-23T21:07:00","slug":"ataques-fuerza-bruta-wordpress","status":"publish","type":"blogs","link":"https:\/\/wcanvas.com\/es\/blog\/ataques-fuerza-bruta-wordpress\/","title":{"rendered":"Ataques de fuerza bruta en WordPress: \u00bfc\u00f3mo proteger tu sitio de ellos?"},"content":{"rendered":"\n
Los ataques de fuerza bruta a WordPress son una de las amenazas de seguridad m\u00e1s comunes que los due\u00f1os de sitios web y administradores deben tener en cuenta. Los actores maliciosos como los hackers est\u00e1n constantemente al acecho de nuevas v\u00edctimas, y los sitios de WordPress son un objetivo frecuente debido a su popularidad.<\/p>\n\n\n\n
Este art\u00edculo explorar\u00e1 los ataques de fuerza bruta, uno de los m\u00e9todos de hacking m\u00e1s antiguos y comunes, que ha resistido la prueba del tiempo debido a su efectividad creciente. Determinaremos lo siguiente:<\/p>\n\n\n\n
\n
Qu\u00e9 es un ataque de fuerza bruta.<\/li>\n\n\n\n
Por qu\u00e9 los hackers realizan ataques de fuerza bruta.<\/li>\n\n\n\n
Tipos de ataques de fuerza bruta.<\/li>\n\n\n\n
Qu\u00e9 tan comunes son los ataques de fuerza bruta en el ecosistema de WordPress.<\/li>\n\n\n\n
Qu\u00e9 pod\u00e9s hacer para reducir las posibilidades de sufrir un ataque de fuerza bruta exitoso.<\/li>\n<\/ul>\n\n\n\n
Vamos a meternos en el tema.<\/p>\n\n\n\n
\u00bfQu\u00e9 son los ataques de fuerza bruta?<\/h2>\n\n\n\n<\/figure>\n\n\n\n
Los ataques de fuerza bruta, tambi\u00e9n conocidos como intentos de inicio de sesi\u00f3n por fuerza bruta, son ciberataques en los que el atacante intenta todas las combinaciones posibles de caracteres para descifrar contrase\u00f1as y otras credenciales de inicio de sesi\u00f3n, claves de encriptaci\u00f3n o p\u00e1ginas web ocultas para obtener acceso no autorizado a un sitio o alg\u00fan otro sistema inform\u00e1tico.<\/p>\n\n\n\n
Es uno de los ciberataques m\u00e1s antiguos y simples porque se basa simplemente en probar cadenas de caracteres hasta que una de ellas sea correcta. A pesar de esto, siguen siendo un m\u00e9todo de hacking popular del que los due\u00f1os y administradores de sitios web deben estar conscientes.<\/p>\n\n\n\n
\u00bfQu\u00e9 ganan los hackers con los ataques de fuerza bruta?<\/h2>\n\n\n\n
Existen m\u00faltiples razones por las que los hackers podr\u00edan realizar fuerza bruta en un sitio web. Algunas de las m\u00e1s comunes incluyen:<\/p>\n\n\n\n
\n
Robar datos personales que puedan vender despu\u00e9s.<\/li>\n\n\n\n
Acceder a un sitio para propagar malware, realizar ataques de SEO spam, configurar anuncios de los que puedan lucrar, redirigir tr\u00e1fico a sus propios dominios web o ejecutar un ataque de ransomware.<\/li>\n\n\n\n
Tomar control de un sitio por motivos puramente maliciosos.<\/li>\n\n\n\n
Sacar sitios web completamente de l\u00ednea.<\/li>\n\n\n\n
Infectar a los visitantes del sitio web con spyware para recopilar a\u00fan m\u00e1s datos que puedan vender despu\u00e9s.<\/li>\n<\/ul>\n\n\n\n
Tipos de ataques de fuerza bruta<\/h2>\n\n\n\n<\/figure>\n\n\n\n
En su forma m\u00e1s simple, los ataques de fuerza bruta se basan en ensayo y error para adivinar las credenciales de inicio de sesi\u00f3n correctas. Sin embargo, los hackers se han vuelto m\u00e1s sofisticados con el tiempo y han desarrollado m\u00e9todos m\u00e1s complejos de fuerza bruta, aunque todav\u00eda usen m\u00e9todos m\u00e1s simples cuando les conviene.<\/p>\n\n\n\n
Estos son los tipos m\u00e1s comunes de ataques de fuerza bruta.<\/p>\n\n\n\n
Ataques de fuerza bruta simples<\/h3>\n\n\n\n
Los ataques de fuerza bruta en su forma menos complicada. Los hackers intentan adivinar una contrase\u00f1a usando herramientas y scripts automatizados. Implica probar cada posible combinaci\u00f3n de caracteres hasta que uno sea correcto y los hackers accedan al backend de un sitio web.<\/p>\n\n\n\n
Este ataque funciona mejor para contrase\u00f1as m\u00e1s d\u00e9biles y cortas que no combinan letras min\u00fasculas y may\u00fasculas, n\u00fameros y caracteres especiales. Las contrase\u00f1as simples podr\u00edan ser descifradas en una fracci\u00f3n de segundo. En cambio, las largas y detalladas podr\u00edan tomar miles de a\u00f1os.<\/p>\n\n\n\n
Pero record\u00e1 que la potencia de c\u00f3mputo aumenta con el tiempo. Descifrar contrase\u00f1as m\u00e1s largas por fuerza bruta simple ser\u00e1 m\u00e1s f\u00e1cil en los pr\u00f3ximos a\u00f1os y d\u00e9cadas debido a que las computadoras podr\u00e1n revisar m\u00e1s contrase\u00f1as m\u00e1s r\u00e1pido. Esto lleva a la necesidad de contrase\u00f1as a\u00fan m\u00e1s fuertes a medida que pasa el tiempo.<\/p>\n\n\n\n
Ataques de diccionario<\/h3>\n\n\n\n
Este tipo de ataques de fuerza bruta dependen de un \u201cdiccionario\u201d, un conjunto de palabras o frases comunes que probablemente tengan \u00e9xito en descifrar credenciales de inicio de sesi\u00f3n, a menudo combinadas con n\u00fameros. Inicialmente, los ataques de diccionario utilizaban extensas colecciones de palabras relativamente aleatorias. Hoy en d\u00eda, los hackers a menudo usan conjuntos de contrase\u00f1as filtradas para construir sus diccionarios.<\/p>\n\n\n\n
Al enfocarse en un usuario espec\u00edfico, los hackers pueden escudri\u00f1ar sus blogs, cuentas de redes sociales, etc., buscando posibles frases y palabras para usar seg\u00fan los pasatiempos y otros detalles personales. Otro m\u00e9todo com\u00fan de ataque de diccionario es pasar por contrase\u00f1as posibles y sustituir letras y n\u00fameros por otros caracteres, como cambiar \u201ca\u201d por \u201c@\u201d.<\/p>\n\n\n\n
Los ataques de diccionario consumen mucho tiempo y son menos efectivos que m\u00e9todos m\u00e1s sofisticados.<\/p>\n\n\n\n
Ataques de fuerza bruta inversos<\/h3>\n\n\n\n
Los ataques de fuerza bruta inversos, tambi\u00e9n conocidos como “rociamiento de credenciales”, usan la t\u00e1ctica opuesta a otros ataques de fuerza bruta: los hackers comienzan con una contrase\u00f1a e intentan encontrar un nombre de usuario que coincida.<\/p>\n\n\n\n
A menudo, la contrase\u00f1a proviene de una brecha de seguridad de una entidad espec\u00edfica, como un banco o empresa privada. Armados con contrase\u00f1as filtradas, los hackers revisan miles o millones de nombres de usuario o n\u00fameros de cuenta (a menudo provenientes de bases de datos filtradas) hasta encontrar uno que coincida con una contrase\u00f1a y acceder al sistema.<\/p>\n\n\n\n
Ataques de fuerza bruta h\u00edbridos<\/h3>\n\n\n\n
Es la combinaci\u00f3n de dos tipos de ataques de fuerza bruta. A menudo, es un ataque de diccionario combinado con un ataque de fuerza bruta simple.<\/p>\n\n\n\n
Muchas contrase\u00f1as consisten en una palabra com\u00fan seguida por una serie de n\u00fameros, a menudo cuatro. Partiendo de un diccionario de t\u00e9rminos potenciales, el atacante los combina con n\u00fameros comunes o significativos (como el a\u00f1o de nacimiento del objetivo).<\/p>\n\n\n\n
A veces, los atacantes tambi\u00e9n sustituir\u00e1n letras en la palabra por n\u00fameros y caracteres especiales, como convertir \u201cpassword1234\u201d en \u201cpa$$w0rd1234\u201d. Este m\u00e9todo es generalmente m\u00e1s efectivo que un ataque de diccionario o de fuerza bruta por s\u00ed solo.<\/p>\n\n\n\n
Ataques de relleno o reutilizaci\u00f3n de credenciales<\/h3>\n\n\n\n
Estos son ataques de fuerza bruta donde los hackers usan contrase\u00f1as conocidas y filtradas de hacks pasados en varias plataformas (Gmail, Facebook, Twitter, etc.), con la esperanza de que la v\u00edctima haya reutilizado contrase\u00f1as para al menos algunas de ellas.<\/p>\n\n\n\n
Este ataque se basa en usuarios que carecen de conciencia sobre medidas de seguridad y utilizan la misma contrase\u00f1a para m\u00faltiples cuentas. El relleno de credenciales es una de las formas m\u00e1s comunes de que los sitios de WordPress sean vulnerados.<\/p>\n\n\n\n
\u00bfQu\u00e9 tan comunes son los ataques de fuerza bruta contra sitios WordPress?<\/h2>\n\n\n\n<\/figure>\n\n\n\n
Los ataques de fuerza bruta son una t\u00e1ctica com\u00fan para irrumpir en sitios web de WordPress y cualquier CMS en general. En particular, el relleno o reutilizaci\u00f3n de credenciales se est\u00e1 convirtiendo en un riesgo m\u00e1s prevalente.<\/p>\n\n\n\n
Seg\u00fan el informe \u201cEstado de la Seguridad de WordPress 2022\u201d de Wordfence, la reutilizaci\u00f3n de credenciales se est\u00e1 convirtiendo en un riesgo m\u00e1s significativo a medida que los hackers acumulan m\u00e1s contrase\u00f1as filtradas cada a\u00f1o. Esto lleva a una creciente acumulaci\u00f3n de credenciales potencialmente reutilizables. Las cuentas de WordPress no mantenidas son especialmente vulnerables a este tipo de ataque.<\/p>\n\n\n\n
Record\u00e1 que va m\u00e1s all\u00e1 de tus credenciales de administrador cuando inici\u00e1s sesi\u00f3n en el panel de control del backend del sitio web. Supongamos que ten\u00e9s cuentas de cPanel o phpMyAdmin que comparten contrase\u00f1as con tu nombre de usuario de acceso de administrador. En ese caso, los hackers podr\u00edan encontrar una manera de acceder a todo tu backend mediante la reutilizaci\u00f3n de credenciales.<\/p>\n\n\n\n
Usar contrase\u00f1as \u00fanicas y fuertes para cada cuenta es una de las mejores formas de proteger tu sitio de WordPress contra la reutilizaci\u00f3n de credenciales.<\/p>\n\n\n\n
\u00bfC\u00f3mo prevenir ataques de fuerza bruta en WordPress?<\/h2>\n\n\n\n<\/figure>\n\n\n\n
Ahora exploremos los m\u00e9todos que pod\u00e9s usar para proteger tu sitio de WordPress de los ataques de fuerza bruta.<\/p>\n\n\n\n
Usar contrase\u00f1as fuertes<\/h3>\n\n\n\n
No es ninguna sorpresa que tener contrase\u00f1as fuertes es una de las medidas m\u00e1s importantes que pod\u00e9s tomar para reducir el riesgo de sufrir ataques de fuerza bruta exitosos. Cuanto m\u00e1s compleja sea tu contrase\u00f1a, m\u00e1s dif\u00edcil ser\u00e1 descifrarla.<\/p>\n\n\n\n
Algunas de las medidas que pod\u00e9s tomar para mantener contrase\u00f1as m\u00e1s fuertes en todas las cuentas incluyen lo siguiente:<\/p>\n\n\n\n
\n
Usar contrase\u00f1as largas (12-20 caracteres) y complejas que combinen letras may\u00fasculas y min\u00fasculas, n\u00fameros y caracteres especiales, como \u201c*\u201d y \u201c\/.\u201d<\/li>\n\n\n\n
Crear reglas para las palabras utilizadas en las contrase\u00f1as. Por ejemplo, pod\u00e9s exigir que las palabras sean truncadas a la mitad o que se eliminen las vocales (\u201choney\u201d se convierte en \u201chny\u201d) para evitar combinar letras predecibles.<\/li>\n\n\n\n
Evitar palabras comunes y cotidianas y patrones predecibles, como una palabra com\u00fan seguida de cuatro n\u00fameros.<\/li>\n\n\n\n
No usar \u201ca\u201d o \u201c1\u201d como el primer car\u00e1cter de la contrase\u00f1a.<\/li>\n\n\n\n
Usar contrase\u00f1as \u00fanicas para todas las cuentas asociadas con tu sitio de WordPress.<\/li>\n\n\n\n
Considerar el uso de un gestor de contrase\u00f1as para mantener todas estas contrase\u00f1as complejas y \u00fanicas.<\/li>\n\n\n\n
![\"Pantalla](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/WordPress-brute-force-attacks_-how-to-protect-your-site-from-them_-I-1-1024x743.jpg\")
<\/figure>\n\n\n\n![\"Candado](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/WordPress-brute-force-attacks_-how-to-protect-your-site-from-them_-II-1-1024x743.jpg\")
<\/figure>\n\n\n\n![\"Hombre](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/WordPress-brute-force-attacks_-how-to-protect-your-site-from-them_-III-1-1024x743.jpg\")
<\/figure>\n\n\n\n![\"Secci\u00f3n](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/WordPress-brute-force-attacks_-how-to-protect-your-site-from-them_-IV-1-1-1024x743.jpg\")
<\/figure>\n\n\n\n