¿Qué es un ataque de fuerza bruta y cómo evitarlos?

¿Qué es exactamente un ataque de fuerza bruta en un sitio web? Solo el nombre “fuerza bruta” evoca al malo de una película de acción cursi.

Para la mayoría de los sitios web, un ataque de fuerza bruta puede ser muy grave.

¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta es exactamente lo que su nombre indica. No hay una lógica profunda involucrada en adivinar inicios de sesión o contraseñas, es solo un bot que comienza con un inicio de sesión de “A” y una contraseña de “A” e intentará pacientemente cada combinación de letras y números hasta que encuentre un nombre de usuario y contraseña que funcione.

Cuando comenzaron los ataques de fuerza bruta, eso era todo. A lo largo de los años, se han vuelto más sofisticados, pero en esencia, es solo un bot.

Hoy en día, existen redes de bots que hacen esto. Como los ataques de fuerza bruta desde un solo ordenador eran realmente fáciles de detectar y bloquear, ahora, una red de cientos o miles de ordenadores trabajan juntos para atacar un sitio web y adivinar su nombre de usuario o contraseña.

Además, hoy por hoy existen “diccionarios de tablas” que son listas de contraseñas que ya se han utilizado o palabras que se pueden combinar para hacer una contraseña.

Una red de bot puede intentar adivinar un nombre de usuario y una contraseña miles de veces por segundo. Tu sitio web será tan seguro como lo sea su contraseña.

Además de los diccionarios de tablas, los atacantes se han vuelto aún más inteligentes. A medida que se piratea un sitio web y se extrae toda la información del usuario, los inicios de sesión y las contraseñas de ese sitio se añaden a los que se deben probar. Saben que muchas personas no se molestan en crear diferentes inicios de sesión y contraseñas la mayor parte del tiempo, por lo que un inicio de sesión en un sitio probablemente sea el mismo en otro.

¿Cómo se mitiga un ataque de fuerza bruta?

Bueno, hay 2 respuestas a esta pregunta.

Si tu sitio web no está alojado en SiteGround

Si no estás alojado en SiteGround, debe comenzar a buscar plugins de seguridad y configurar firewalls. Ya hemos hablado algo de esto en publicaciones anteriores.

Necesitarás:

Instalar un firewall de aplicaciones y configurarlo correctamente.

Hay varios buenos plugins en el repositorio de plugins de WordPress que protegerán tu sitio contra ataques de fuerza bruta y otro tipo de ataques. Los que están en el TOP 5 son muy valorados y, aunque no recomendaré uno aquí, probablemente puedes encontrar uno que sea altamente recomendado e implementarlo. Todos los buenos tienen una tarifa mensual asociada, pero eso es lo que se necesita para proteger tu sitio.

Exigir contraseñas seguras a todos los usuarios.

Ya hemos hablado de contraseñas antes, pero vale la pena repetirlo. Las contraseñas seguras son tu primera línea de defensa. Es posible que a tus usuarios no les guste, pero mantendrá tu sitio web y sus datos seguros.

Requerir la verificación en dos pasos (2FA) para todos los inicios de sesión.

La verificación en dos pasos mitiga los ataques de fuerza bruta al 100% porque el inicio de sesión y la contraseña son solo 2/3 del procedimiento de inicio de sesión. Para el tercio final, debes tener el teléfono de la persona. Ese es el final del juego para los ataques de fuerza bruta.

Sin embargo, al igual que con las contraseñas seguras, los usuarios generalmente odian la verificación en dos pasos. Puedes limitarla a las cuentas de administrador, pero si un atacante entra a tu sitio web, estará en riesgo. Así que tienes la complicada tarea de decidir qué es más importante.

Implementar una política de rotación de contraseñas que fuerce nuevas contraseñas al menos cada 90 días.

Otra cosa que es eficaz para ayudar a prevenir ataques de fuerza bruta, es requerirles que renueven sus contraseñas cada cierto tiempo. Lo malo es que esta es otra cosa que los usuarios suelen odiar por lo que, si añades varios pasos de seguridad que no les gustan, corres el riesgo de comenzar a perder usuarios. Así que hay que caminar por la cuerda floja.

Consejo adicional: Fail2Ban.

Además de todas las anteriores, mi herramienta favorita es Fail2Ban y WP-Fail2Ban. Si está configurada correctamente (y se necesita un desarrollador o administrador de red para configurarla correctamente), esta combinación puede ser una herramienta muy poderosa para prevenir un ataque de fuerza bruta. Fail2Ban es de código abierto y gratuito, y el plugin WP Fail2Ban tiene una versión pro que parece valer bastante la pena.

No suelo recomendar plugins específicos, pero este es único. Tengo la versión gratuita instalada en todos mis blogs que no están alojados en SiteGround y funciona de maravilla. Estoy considerando seriamente actualizarme a la versión pro.

ADVERTENCIA: Este plugin requiere que Fail2Ban se instale, configure y funcione correctamente en tu servidor. El propio Fail2Ban también tiene un par de requisitos. Este no es un plugin trivial para empezar a trabajar. Si no eres un desarrollador o no estás muy familiarizado con Linux, mejor busca ayuda.

Si tu sitio web está alojado en SiteGround

Si tu sitio web está alojado en SiteGround, sigue tomando tu café tranquilamente. SiteGround tiene un conjunto completo de herramientas ya implementadas que incluyen inteligencia artificial para detectar ataques de fuerza bruta de redes de bots. Esto no significa que tu sitio vaya a ser 100% seguro, nadie puede llegar a ese 100%. Sin embargo, significa que esto es una cosa menos de la que tienes que preocuparte.

Conclusión

Los ataques de fuerza bruta son bien conocidos y bien comprendidos. Hay herramientas que puedes instalar para mitigar los riesgos de que comprometan tu sitio web. Dicho esto, lo mejor que puedes hacer es contratar un hosting como SiteGround, en donde se encarguen de mantener tu web segura para que tú puedas dedicar tu tiempo a hacer otras cosas en tu web que la hagan aún mejor.