Cada vez tenemos más clientes en Raiola Networks que sufren problemas de ataques, ataques de fuerza bruta contra las páginas de login que rara vez consiguen entrar, por no decir, que casi nunca consiguen entrar, pero que ocasionan problemas graves de consumo de recursos y problemas de estabilidad en los sitios web al consumir muchos recursos de CPU y RAM mediante los ataques.
© fotohansel – Fotolia.com
En WordPress normalmente la página de login o autentificación no se cachea, ya que si se cachea esta pierde totalmente su funcionalidad, por lo que cuando un visitante entra a esta página se realiza un alto consumo de recursos ya que se ejecuta todo el PHP.
Además, cuando el visitante prueba con un usuario y una contraseña se realizan consultas a la base de datos además de ejecutarse mucho PHP, y por esta razón se consumen muchos recursos.
Realmente este tipo de ataques por fuerza bruta no se pueden evitar de forma preventiva, pero sí que se puede mitigar para que no tengan tanto impacto en el rendimiento del sitio web tomando ciertas medidas que vamos a relatar a continuación:
- Cambiar la URL de login de /wp-admin/ y wp-login.php: Con el plugin WP-Lockdown podremos cambiar la URL de acceso, de esta forma los ataques de fuerza bruta se centraran en una página 404, que consumirá muchos menos recursos que la página de autentificación y convertirán en inútiles los ataques de fuerza bruta.
- Limitamos los intentos de inicio de sesión: Con el plugin Limit Login Attemps podremos limitar e imponer un número máximo de intentos de inicio de sesión, tras el número máximo configurado WordPress bloqueara la IP que está haciendo el ataque y se ahorraran recursos bloqueando al atacante aunque el ataque siga.
Estos dos consejos te ayudaran a protegerte contra ataques de fuerza bruta contra el login de WordPress, aunque no los mitigan al 100%, algo ayudan.
Álvaro Fontela Sánchez centra su actividad profesional en WordPress, trabaja en la empresa de alojamiento y desarrollo de la que es Co-Founder, Raiola Networks, donde se dedican a las tecnologías web pero especializándose en WordPress y en tareas de administración y optimización de servidores Linux.