Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Copa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Cómo proteger su sitio WordPress de ataques de fuerza bruta

¿Quiere proteger su sitio WordPress de ataques de fuerza bruta?

Un ataque de fuerza bruta puede ralentizar su sitio web, hacerlo inaccesible e incluso descifrar sus contraseñas para instalar malware en su sitio web.

En este artículo, le mostraremos cómo proteger su sitio WordPress de ataques de fuerza bruta.

How to Protect Your WordPress Site From Brute Force Attacks

¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta es un método de pirateo que utiliza el periodo de prueba y error para entrar en un sitio web, una red o un sistema informático.

El tipo más común de ataque de fuerza bruta es la adivinación de contraseñas. Los hackers utilizan software automatizado para adivinar tu información de acceso y así poder acceder a tu sitio web.

Estas herramientas de piratería automatizada también pueden camuflarse utilizando diferentes direcciones IP y ubicaciones, lo que dificulta la identificación y el bloqueo de actividades sospechosas.

Un ataque de fuerza bruta correcto puede dar a los hackers acceso al área de administrador de su sitio web. Pueden instalar malware, robar información de los usuarios y borrar todo lo que haya en su sitio.

Incluso los ataques de fuerza bruta infructuosos pueden causar estragos enviando demasiadas peticiones a los servidores de alojamiento de WordPress, ralentizando o incluso colapsando por completo su sitio web.

Dicho esto, veamos cómo proteger su sitio web WordPress de ataques de fuerza bruta. Estos son los pasos que vamos a seguir:

1. Instale un plugin cortafuegos para WordPress

Los ataques de fuerza bruta suponen una gran carga para sus servidores. Incluso los infructuosos pueden ralentizar su sitio web o bloquear completamente el servidor. Por eso es importante bloquearlos antes de que lleguen a tu servidor.

Para ello, necesitará una solución de cortafuegos para sitios web. Un cortafuegos filtra el tráfico malicioso y bloquea el acceso a tu sitio.

How Sucuri firewall works

Hay dos tipos de cortafuegos para sitios web que puede utilizar:

  • Los cortafuegos a nivel de aplicación examinan el tráfico una vez que llega a su servidor pero antes de cargar la mayoría de los scripts de WordPress. Este método no es tan eficaz porque un ataque de fuerza bruta puede seguir afectando a la carga de su servidor.
  • Los cortafuegos de sitios web a nivel de DNS dirigen el tráfico de su sitio web a través de sus servidores proxy en la nube. Esto les permite solo enviar tráfico genuino a su servidor principal de alojamiento web mientras que da un impulso a la velocidad y rendimiento de su WordPress.

Recomendamos usar Sucuri. Son el líder de la industria en seguridad de sitios web y el mejor cortafuegos de WordPress en el mercado. Dado que tienen un cortafuegos de sitios web a nivel de DNS, esto significa que todo el tráfico de tu sitio web pasa a través de su proxy, donde se filtra el tráfico malicioso.

Utilizamos Sucuri en nuestro sitio web, y puede leer nuestra completa reseña / valoración de Sucuri para obtener más información.

2. Instalar actualizaciones de WordPress

Algunos ataques de fuerza bruta comunes se dirigen activamente a vulnerabilidades conocidas en versiones antiguas de WordPress, plugins populares de WordPress o temas.

El núcleo de WordPress y los plugins más populares de WordPress son de código abierto, y las vulnerabilidades suelen corregirse muy rápidamente con una actualización. Sin embargo, si no instalas las actualizaciones, dejas tu sitio web vulnerable a esas viejas amenazas.

Simplemente vaya a la página Escritorio ” Actualizaciones en el área de administrador de WordPress para comprobar las actualizaciones disponibles. Esta página mostrará todas las actualizaciones del núcleo, plugins y temas de WordPress.

Updating WordPress Core From the Dashboard

Para obtener más información, consulte nuestras guías sobre cómo actualizar WordPress de forma segura y cómo actualizar correctamente los plugins de WordPress.

3. Proteger el directorio de administradores de WordPress

La mayoría de los ataques de fuerza bruta en un sitio WordPress intentan acceder al área de administrador de WordPress. Puede añadir protección por contraseña a su directorio de administrador de WordPress a nivel de servidor. Esto bloqueará el acceso no autorizado a su área de administrador de WordPress.

Sólo tiene que acceder al panel de control de su alojamiento de WordPress (cPanel) y hacer clic en el icono “Privacidad de directorios” de la sección Archivos.

Nota: Estamos utilizando Bluehost en nuestra captura de pantalla, pero ajustes similares están disponibles en otras empresas de alojamiento superior como HostGator también.

Click on the Directory Privacy option in the Files section

A continuación, debe localizar la carpeta wp-admin.

Una vez que lo encuentres, debes hacer clic en su botón “Editar”.

Using Directory Privacy to Password-Protect wp-admin

En la página siguiente puede establecer los ajustes de seguridad de la carpeta.

En primer lugar, debe marcar la casilla “Proteger este directorio con contraseña”. A continuación, puede introducir un nombre para el directorio protegido.

Password Protecting a Directory

A continuación, se le pedirá que introduzca un nombre de usuario y una contraseña.

Se le pedirá esta información cada vez que intente acceder a este directorio.

Providing a Username and Password for a Protected Directory

Tras introducir esta información, haga clic en el botón “Guardar” para establecer los ajustes.

Su directorio de administrador de WordPress está ahora protegido por contraseña.

Verá una nueva indicación de acceso cuando visite su área de administrador de WordPress.

Password protect WordPress admin example

Si se encuentra con un mensaje de error 404 o de demasiadas redirecciones, entonces necesita añadir la siguiente línea a su archivo .htaccess de WordPress:

ErrorDocument 401 default

Para más detalles, consulte nuestro artículo sobre cómo proteger con contraseña el directorio del administrador de WordPress.

4. Añadir autenticación de dos factores en WordPress

La autenticación de dos factores añade una capa de seguridad adicional a la pantalla de acceso de WordPress. Los usuarios necesitarán sus teléfonos para generar una contraseña de un solo uso junto con sus credenciales de acceso para acceder / acceder al área de administrador de WordPress.

Users Must Enter an Authentication Code Before Logging In

Si añade la autenticación de dos factores, dificultará el acceso a los hackers, incluso si consiguen descifrar su contraseña de WordPress.

Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo añadir la autenticación de dos factores en WordPress.

5. Utilice contraseñas únicas y seguras

Las contraseñas son la clave para acceder a tu sitio WordPress o a tu tienda de comercio electrónico. Debe utilizar contraseñas únicas y seguras para todas sus cuentas. Una contraseña segura es una combinación de números, letras y caracteres especiales.

Es importante que utilices contraseñas seguras no sólo para las cuentas de usuario de WordPress, sino también para el cliente FTP, el panel de control del alojamiento web y la base de datos de WordPress.

Muchos principiantes nos preguntan cómo recordar todas estas contraseñas únicas. Pues bien, no es necesario. Existen excelentes aplicaciones de gestión de contraseñas que las almacenan de forma segura y las rellenan automáticamente por ti.

Para obtener más información, consulte nuestra guía para principiantes sobre las mejores formas de gestionar contraseñas para WordPress.

6. Desactivar la exploración de directorios

Por defecto, cuando el servidor web no encuentra un archivo de índice (como index.php o index.html), muestra automáticamente una página de índice con el contenido del directorio.

Directory Browsing

Durante un ataque de fuerza bruta, los hackers pueden utilizar la exploración de directorios como ésta para buscar archivos vulnerables. Para corregir esto, debe añadir la siguiente línea en la parte inferior de su archivo .htaccess de WordPress utilizando un servicio FTP:

Options -Indexes

Para más detalles, consulte nuestro artículo sobre cómo desactivar la navegación por directorios en WordPress.

7. Desactivar la ejecución de archivos PHP en carpetas específicas de WordPress

Los hackers pueden querer instalar y ejecutar un script PHP en sus carpetas de WordPress. WordPress está escrito principalmente en PHP, lo que significa que no se puede desactivar en todas las carpetas de WordPress.

Sin embargo, hay algunas carpetas que no necesitan ningún script PHP, como la carpeta de subidas de WordPress ubicada en /wp-content/uploads.

Puede desactivar de forma segura la ejecución de PHP en la carpeta de subidas, que es un lugar común que los hackers utilizan para ocultar archivos de puerta trasera.

En primer lugar, tienes que abrir un editor de texto como el Bloc de notas en tu ordenador y pegar el siguiente código:

<Files *.php>
deny from all
</Files>

Ahora, guarde este archivo como .htaccess y súbalo a las carpetas /wp-content/uploads/ de su sitio web utilizando un cliente FTP.

8. Instalar y configurar un plugin de copia de seguridad de WordPress

Las copias de seguridad son la herramienta más importante en su arsenal de seguridad de WordPress. Si todo lo demás falla, las copias de seguridad le permitirán restaurar fácilmente su sitio web.

La mayoría de las empresas de alojamiento de WordPress ofrecen opciones limitadas de copia de seguridad. Sin embargo, estas copias de seguridad no están garantizadas, y usted es el único responsable de hacer sus propias copias de seguridad.

Existen varios plugins de copia de seguridad para WordPress que permiten programar copias de seguridad automáticas.

Recomendamos usar Duplicator. Es fácil de usar para principiantes y le permite establecer rápidamente copias de seguridad automáticas y almacenarlas en ubicaciones remotas como Google Drive, Dropbox, Amazon S3, One Drive y más.

Duplicator

También existe una versión gratuita de Duplicator que puedes utilizar para empezar.

Para obtener instrucciones paso a paso, puede seguir esta guía sobre cómo hacer una copia de seguridad de su sitio de WordPress con Duplicator.

Todos los consejos mencionados le ayudarán a proteger su sitio de WordPress contra ataques de fuerza bruta. Para una configuración de seguridad más completa, deberías seguir las instrucciones de nuestra guía definitiva de seguridad de WordPress para principiantes.

Esperamos que este artículo te haya ayudado a aprender cómo proteger tu sitio WordPress de ataques de fuerza bruta. Puede que también quieras ver nuestra guía práctica sobre cómo corregir un sitio WordPress hackeado y nuestra selección de los mejores editores de arrastrar y soltar para páginas de WordPress.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Descargo: Nuestro contenido está apoyado por los lectores. Esto significa que si hace clic en algunos de nuestros enlaces, podemos ganar una comisión. Vea cómo se financia WPBeginner , por qué es importante, y cómo puede apoyarnos. Aquí está nuestro proceso editorial .

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

El último kit de herramientas de WordPress

Obtenga acceso GRATUITO a nuestro kit de herramientas - una colección de productos y recursos relacionados con WordPress que todo profesional debería tener!

Reader Interactions

8 comentariosDeja una respuesta

  1. Moinuddin Waheed

    This is very common problem for wordpress users. most of the times we give little to no concern to protect our website or blog and then complain when something of this kind happens.
    I have been a victim of this brute force attack back in 2017 and since then I have ensured to use backup of my full website and two factor authentication to log in.
    Is there a way we can identify if any malicious software has been installed or our dashboard has been compromised?

  2. Renuga

    HI,
    For step-3 admin protection, we need to show the login in WP-admin only but its showing in site also. So, please help us how to show only in WP-admin.

    • WPBeginner Support

      If you mean it is in your widget area you may want to check for a meta widget under Appearance>Widgets

      Administrador

  3. Dreamandu

    I am under the brute force attack right now from different IPs. What can I do to protect my site right now?

    • WPBeginner Support

      You can use any of the methods in this article to start combating the brute force attack

      Administrador

  4. Chidubem Ezenwa

    Yet another helpful guide. Thanks guys.

Deja tu comentario

Gracias por elegir dejar un comentario. Tenga en cuenta que todos los comentarios son moderados de acuerdo con nuestros política de comentarios, y su dirección de correo electrónico NO será publicada. Por favor, NO utilice palabras clave en el campo de nombre. Tengamos una conversación personal y significativa.