Bajo Ataque Usuarios De WordPress

Share

hackerSi tienes una página o un blog construido con la popular plataforma WordPress deja lo que estés haciendo y cambia tu contraseña ahora. Desde el martes pasado se está suscitando, a todo lo largo de la Internet, lo que se conoce como un “Brute Force Attack” contra los usuarios de WordPress.

Un “Brute Force Attack” consiste de intentos repetidos de violentar la contraseña del panel de control. En Picadillo hemos hablado de este tema anteriormente pero —como sabemos que la mayoría de la gente no hace caso— decidí tocarlo hoy nuevamente.

Las instalaciones nuevas de WordPress vienen con su correspondiente nombre de usuario y contraseña. Por convención el nombre de usuario es “admin” y la contraseña suele tener 9 dígitos que consisten de números, letras mayúsculas y minúsculas, como por ejemplo “nz4gRI4zP”.

Mucha gente cambia esa contraseña por una más fácil de recordar. ¡Eso es un error! Las contraseñas más fáciles de recordar también son más fáciles de violentar.

¿En qué consiste un “Brute Force Attack”? Un “Brute Force Attack” consiste en intentar distintas combinaciones de nombre de usuario y contraseña hasta que el “hacker” logra acceso a nuestra instalación de WordPress. Una vez logra acceso cambia el nombre de usuario y contraseña y de repente somos nosotros los que no podemos entrar.

Ah, y si te estás preguntando cuántas veces intentan entrar, es bueno que sepas que el ataque que comenzó el martes pasado hace cientos de intentos por segundo desde un botnet que consiste de más de 100,000 computadoras. Y una de las cosas que hace este botnet, cuando logra penetrar una instalación de WordPress, es instalar malware que hace que cualquier computadora que visite nuestro sitio se infecte y pase a formar parte del botnet.

Pero eso no es todo. Los constantes ataques hacen que el servidor se ponga lento, lo cual afecta a todas las páginas que se sirvan de la misma máquina. En muchos casos los proveedores de Internet no tienen otra opción que negarle el acceso a todos los paneles de control, lo cual impide que puedas entrar a tu propia página.

¿Cómo puedes protegerte?

En la mayoría de los casos lo mejor es cambiar tu nombre de usuario y contraseña. Y digo en la mayoría de los casos porque los sitios que yo he creado cuentan en realidad con dos contraseñas fuertes. ¿Por qué? Porque el nombre de usuario es una contraseña y la contraseña es otra. Déjame explicarte a lo que me refiero y cómo se hace.

como-cambiar-tu-contrasena-de-wordpress-1

hacker

Lo primero que tienes que hacer es ir al panel de control de WordPress (ver paso 1), escribir tu nombre de usuario y contraseña actual y darle “clic” al botón de “Log In”. Eso te va a llevar al escritorio principal de WordPress.

como-cambiar-tu-contrasena-de-wordpress-2

Paso 2

Una vez allí dale “clic” al menú de “users/add new” (ver paso 2). Eso te va a llevar a la ventana para crear nuevos usuarios (ver paso 3). WordPress permite que cambies tu contraseña pero no permite que le cambies el nombre de usuario a una cuenta existente. Por eso es que tenemos que crear una cuenta nueva.

como-cambiar-tu-contrasena-de-wordpress-3

Paso 3

Llena todos los campos como ves en la imagen del paso número 3. No olvides seleccionar el “role” de “Administrador”. Asegúrate de usar un nombre usuario fuerte y una contraseña fuerte. Cuando hablamos de “fuerte” nos referimos a que incluya letras minúsculas, mayúsculas, números y símbolos. En el caso de “nombre de usuario” WordPress sólo permite letras minúsculas, mayúsculas y números. Fíjate en el siguiente ejemplo:

Nombre de Usuario: REIAyR3js8bS7Qn14uLw

Contraseña: *BwQ%b2I5YPG6cep$”DfVv?Y7

IMPORTANTE: Guarda esta nueva combinación en un lugar seguro.

Obviamente, una combinación como esta es imposible de recordar. Pero es la única manera de asegurar que los “hackers” no adivinen nuestros parámetros de seguridad. Para resolver este problema yo utilizo la aplicación “1Password” de la compañía Agilebits. La consigues en https://agilebits.com/onepassword y está disponible para Macintosh, Windows, iPad, iPhone, iPod y Android.

Cómo dice su nombre esta aplicación memoriza todas las combinaciones de “nombre de usuario” y “contraseña” de los distintos sitios que normalmente visitas en la Internet y las inserta donde haga falta con sólo recordar una contraseña central. Ah, y por si te lo estabas preguntando, utiliza seguridad de nivel militar.

Una vez crees tu nueva cuenta vas a llegar a una ventana como la que está en el paso 4.

Lo próximo va a ser salir de WordPress y volver a entrar utilizando la nueva combinación de “nombre de usuario” y “contraseña” que acabas de crear. Esto te va a permitir borrar la cuenta que tenías anteriormente.

Una vez llegues al escritorio de WordPress dale “clic” al enlace “users/all users” (ver paso 4).

como-cambiar-tu-contrasena-de-wordpress-4

Paso 4

Una vez allí coloca tu cursor en las esquina inferior derecha de tu cuenta anterior y va a aparecer un comando en rojo que lee “Delete” (ver paso 5).

como-cambiar-tu-contrasena-de-wordpress-5

Paso 5

 

Dale “clic” y te va a aparecer una ventana como la que ves en el paso 6.

como-cambiar-tu-contrasena-de-wordpress-6

Paso 6

Asegúrate de seleccionar donde lee “atribute all posts to” y seleccionar la cuenta que acabas de crear. Así todas las entradas existentes en tu instalación de WordPress se atribuirán a la nueva cuenta. Luego de eso dale “clic” al botón de “Confirm Deletion”.

Y ya está. Ahora tu instalación de WordPress contará con una combinación de “nombre de usuario” y “contraseña” impenetrables.

Según los expertos una contraseña de 8 dígitos que contenga letras minúsculas y mayúsculas, números y símbolos es prácticamente impenetrable. Ahora imagina una de 25. Y en el ejemplo que acabamos de terminar realmente tienes dos contraseñas, porque el nombre de usuario actúa como una primera línea de defensa.

Finalmente, hay un plugin que le instalo a todas mis instalaciones de WordPress que se llama “Login-Lock”. Este plugin actúa de la siguiente manera. Tú estableces el máximo de intentos permitidos durante una hora desde tu panel de control. Yo lo tengo puesto en “5”. De ahí en adelante, si cualquiera tiene más de 5 intentos fallidos durante una hora, el programa bloquea su dirección de IP por un periodo predeterminado. Ese periodo yo lo tengo puesto en “30 días”.

Es decir que cualquiera que trate de entrar sin éxito a mi instalación de WordPress más de 5 veces durante espacio de una hora va a quedar bloqueado por un mes entero.

Ciertamente WordPress es la plataforma número uno hoy en día en la Internet. Por lo tanto es también uno de los blancos favoritos de los hackers. La mayoría de las personas no conocen nada de lo que acabo de explicar en esta entrada. Por eso son presa fácil.

Si tienes una instalación de WordPress asegúrate de protegerla. Y si lo que sugiero en esta entrada te parece demasiado complicado, llámame para una consulta al 787-750-0000.

©2013, Orlando Mergal
_________________
El autor es Socio Fundador de Accurate Communications, Licenciado en Relaciones Públicas (R-500), Autor de más de media docena de Publicaciones de Autoayuda, Productor de Contenido Digital y Experto en Comunicación Corporativa.?Inf. 787-750-0000

logo-linkedIn

Enlace para bookmark : Enlace permanente.

Un comentario

  1. Le agradezco enormemente su artículo. Es muy revelador y me deja relativamente tranquilo una vez he seguido al pie de la letra sus recomendaciones respecto al usuario y contraseña. Llevan atacando mi blog desde hace casi un año e implementé “Limit Login Attempts” tras sufrir una infección que me lo arruinó completamente. Google la consideró “web atacante” y me las vi y me las desee para que la quitaran de la lista negra. El plugin lo configuré para que con un máximo de dos intentos se bloquee la IP atacante y desde entonces ha disminuido considerablemente el número de intentos, aunque siguen en sus trece. Las IP’s -que me envía el propio plugin por correo electrónico- provienen de diferentes países, pero básicamente de Rusia y USA.

No se admiten más comentarios