Ataque de fuerza bruta – qué es y cómo Bloquearlo
Brute-force o fuerza bruta es un método para adivinar la contraseña intentado combinaciones de letras, números y símbolos. Algunos ataques brute-force utilizan diccionarios de las contraseñas, palabras, etc., comúnmente usadas, para poder adivinar la contraseña.
Lo primero que necesitas hacer para protegerte de tales ataques es elegir un usuario y contraseña apropiados. Intenta no utilizar nombres comunes para tu usuario como admin, administrador, superuser. Acerca de la contraseña, intenta usar una complicada con números y caracteres especiales, mayúsculas y minúsculas. Hay varios generadores de contraseñas gratuitos que pueden ser utilizados para establecer este tipo de contraseñas. Si tienes inconvenientes recordando tus contraseñas, puedes usar aplicaciones de resguardo como 1Password por ejemplo.
SI has detectado que alguien ha iniciado un ataque brute-force contra tu sitio (estos ataques generan gran cantidad de registros de intentos fallidos de accesos), puedes bloquear la dirección IP del atacante para que no pueda ingresar a tu sitio. Para esto, simplemente añade esta línea en tu archivo .htaccess:
deny from 123.123.123.123Sustituye 123.123.123.123 con la IP real del atacante.
Adicionalmente, restringe las áreas de administración de tu sitio web para que solo tú puedas acceder. En caso de que utilices WordPress, se trataría de tu carpeta wp-admin.
Si utilizas Joomla! 3.x – necesitarás proteger la carpeta administrator. De hecho, es recomendable incluso si no hay ataque contra tu sitio. La regla del .htaccess que necesitarás es:
deny from all
allow from 222.222.222.222Sustituye 222.222.222.222 con tu dirección IP, puedes usar alguno de los sitios que te permiten ver tu IP como cualesmiip.com, por ejemplo.
Puedes encontrar más información sobre cómo proteger tus sitios web WordPress y Joomla! 3.x en nuestros tutoriales a continuación: