Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Copa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Ataques de fuerza bruta a WordPress y lo que hay que hacer al respecto

Varias fuentes importantes han confirmado que se están produciendo ataques masivos de fuerza bruta contra sitios WordPress y Joomla en estos momentos. HostGator, InMotion Hosting, LiquidWeb, y muchos otros han informado a sus clientes acerca de este problema / conflicto / incidencia. La red de hackers contiene más de 90.000 IPs diferentes, y se están aprovechando de los principiantes de WordPress que están cometiendo algunos errores muy comunes. Sí, todo esto suena aterrador, así que aquí está lo que hay que hacer para disminuir sus posibilidades de ser hackeado.

1. Deja de usar el nombre de usuario de administrador

A menudo los principiantes utilizan nombres de usuario muy comunes como admin, administrator, test, root, etc. Nuestros amigos de Sucuri informaron que esos nombres de usuario están siendo fuertemente atacados en este momento. Si tienes un nombre de usuario genérico de WordPress como administrador, entonces deberías cambiarlo ahora mismo.

Tenemos un tutorial fácil de seguir que le mostrará cómo cambiar su nombre de usuario en WordPress.

2. Utilice una contraseña segura

Por favor, utilice una contraseña muy segura. Estos ataques de fuerza bruta intentan apuntar a todas las contraseñas más comunes que usa la gente. Una contraseña segura contiene letras mayúsculas y minúsculas, números y símbolos. No utilices la misma contraseña en más de un sitio. Nunca es tarde para empezar a utilizar una solución de gestión de contraseñas como 1Password o LastPass.

3. Mantén buenas copias de seguridad

La mejor seguridad que puedes tener para tu sitio web es una buena solución de copias de seguridad. Nosotros usamos VaultPress que es un servicio mensual. Sin embargo, si no te gusta pagar mensualmente, entonces te recomendamos que obtengas BackupBuddy.

Por favor, mantenga buenas copias de seguridad de su sitio porque la mayoría de las empresas de alojamiento no lo hacen.

4. Utilice la autenticación de dos factores

Empieza a utilizar la identificación de dos factores. De esta forma, aunque alguien adivine tu contraseña, no podrá acceder a tu sitio porque no tiene el código de seguridad. Te recomendamos encarecidamente que lo hagas ahora mismo.

5. Proteger WP-Admin con contraseña y limitar los intentos de acceder / acceso

Siempre recomendamos a nuestros usuarios limitar los intentos de acceder / acceso. Sin embargo, esto por sí solo no puede proteger todos los ataques porque esta botnet contiene 90.000 IPs. Otra cosa que puedes hacer es proteger con contraseña tu directorio WP-admin. También puede limitar su archivo wp-login.php a una IP específica.

6. Empieza a usar Sucuri

Si usted no está usando Sucuri, entonces le recomendamos que empiece a usar Sucuri. Siempre están en la cima de las cosas, y no hay nadie más en quien confiaríamos más cuando se trata de nuestra seguridad en WordPress. Vea 5 razones por las que usamos Sucuri.

No estamos seguros de cuál es el objetivo final de estos ataques, pero sea lo que sea no nos gustaría ver a nuestros usuarios ser víctimas de esto. Por favor, mantengan sus sitios actualizados y sigan todos los consejos anteriores.

Descargo: Nuestro contenido está apoyado por los lectores. Esto significa que si hace clic en algunos de nuestros enlaces, podemos ganar una comisión. Vea cómo se financia WPBeginner , por qué es importante, y cómo puede apoyarnos. Aquí está nuestro proceso editorial .

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

El último kit de herramientas de WordPress

Obtenga acceso GRATUITO a nuestro kit de herramientas - una colección de productos y recursos relacionados con WordPress que todo profesional debería tener!

Reader Interactions

14 comentariosDeja una respuesta

  1. Syed Balkhi

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Janet

    I am working at securing sites for my clients, and need to password-protect their wp-admin folder. I am having a problem and hope someone can help. When I go to cPanel to pw-protect that folder, I get an error about Frontpage Extensions being installed, which prevents pw-protecting. When I go to uninstalled the extensions, I get this message:

    Warning: Installing or uninstalling FrontPage extensions will result in the loss of all “.htaccess” files. Any changes you have made to your “.htaccess” files will be lost.

    If I made a .htacess backup as instructed on this page https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ , would that be enough?

    Thanks for your help and all your VERY helpful information!

      • Janet

        Thank you! I ended up having some problems with the .htacess, but our web host fixed everything for us. Thanks so much for the help!

  3. Sarah B R

    Hello,
    I followed your guidelines for two steps authentication and it worked fine the first time a few days ago.
    I wanted to log in today and went to the app on my phone and the wordpress account I had added is nowhere to be found. So now I can’t log in.
    Thanks for the help.

    • Editorial Staff

      That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in :)

      Administrador

  4. Edwin Lynch

    I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam :)

  5. Ratnesh

    Login lock down is the best plugin to secure Wordpresss blog by brute force attack

  6. Robert Connor

    Some good advice my site admin panel is getting bombarded daily with login attemps!

  7. Jane

    How do you know when you’ve been Brute-Force attacked? My client has been having issues with his WP site recently, so I’m wondering if this has to do with it.

  8. Jennifer

    I have a site that is currently getting hit with a brute force attack. It is RELENTLESS. The site uses SUCURI (thank goodness!) and they have already done one clean-up for us.

    Thank you, Syed & team, for all of the great information. I just added the two factor authentication and will put the rest of your suggestions in place ASAP.

  9. Esther

    Thank you for the link to the free video, I just started my WP site yesterday, after running a Blogger site, and it is, kicking, my, butt! I am fairly tech savvy, so I have no idea what my problem is, only that I have one! lol

  10. Keith Davis

    Hi guys
    Read the article over on the Sucuri website – I’m with those guys and I use a few other security measures.

    Just given you a callout on #WordPress

  11. Scott Hack

    Would love to see a limit to logins added to core for 3.6

Deja tu comentario

Gracias por elegir dejar un comentario. Tenga en cuenta que todos los comentarios son moderados de acuerdo con nuestros política de comentarios, y su dirección de correo electrónico NO será publicada. Por favor, NO utilice palabras clave en el campo de nombre. Tengamos una conversación personal y significativa.