Back to Question Center
0

Consejos de Semalt: bloque WP-Login.php ataques de fuerza bruta con las reglas de la página CloudFlare

1 answers:

Los ciberdelincuentes utilizan ataques de Fuerza bruta para comprometer cuentas. El atacante intenta tantos nombres de usuario y contraseñas como sea posible a un ritmo rápido. Los ataques causan picos de memoria y, a veces, se cuelgan cuando la carga de la memoria es demasiado alta - simba games online play.

Michael Brown, un destacado especialista de Semalt , ofrece aquí métodos prácticos para tener éxito en este sentido.

Dado que los atacantes de la Fuerza bruta deben intentar iniciar sesión más rápidamente que los humanos para ser efectivos, se pueden usar reglas de limitación de velocidad para bloquearlos.

CloudFlare proporciona cierta protección básica de bots y DDoS. Una de las herramientas que proporciona CloudFlare es "Proteja su inicio de sesión", una herramienta que crea una regla para bloquear a los clientes que intentan iniciar sesión más de 5 veces en 5 minutos. Esta regla es adecuada para bloquear bots y atacantes que puedan estar intentando usar ataques de fuerza bruta. No pueden acceder a su inicio de sesión de WordPress (wp-login.php).

La otra ventaja de usar las reglas de la página es que el acceso de los visitantes reales no se ve afectado. La velocidad a la que el atacante envía las solicitudes es mucho mayor que la de una persona. Las posibilidades de bloquear a un usuario legítimo son mínimas a menos que el usuario haya escrito mal sus credenciales.

Cómo usar las reglas de la página de CloudFlare para bloquear los ataques de fuerza bruta

Los ataques de fuerza bruta no son específicos de Wordpress. El ataque puede ocurrir con todas las demás aplicaciones web. Pero dado que Word Press es una plataforma bastante popular, definitivamente es uno de los objetivos más importantes de los piratas informáticos. Estos ataques se dirigen principalmente a wp-login.php.

¿Qué haces cuando recibes un ataque? La intención principal es crear una regla de página de CloudFlare que pueda realizar una inspección minuciosa del navegador para el archivo wp-login.php y elimine todos los bots y hackers.

Después de iniciar sesión en su cuenta de CloudFlare, seleccione Reglas de página> Crear regla de página. Luego deberá hacer las siguientes configuraciones:

  • Si usa subdominios, establezca Si la URL coincide con 'el subdominio de destino'.
  • Haga clic en + Agregar una configuración y luego seleccione Comprobación de integridad del navegador.
  • Agregue otra configuración para Nivel de seguridad y elija nivel de seguridad Estoy bajo ataque.

Guarde estas configuraciones y despliegue.

Con las reglas de la página de CloudFlare, la seguridad de la página de inicio de sesión se fortalece y se impide que los bots malos accedan a la página. La única desventaja de usar esta herramienta es que cada vez que borre la caché de su navegador, o cada vez que caduquen las cookies de su sitio, deberá esperar 5 segundos después de iniciar sesión para que la Comprobación de integridad del navegador comience a funcionar.

Las reglas de la página tratan todo lo que vaya a su página como un posible ataque. Como se indicó anteriormente, los visitantes legítimos no se verán afectados, pero deberán someterse a una verificación del navegador CloudFlare. Existen otros métodos para bloquear ataques de Fuerza bruta. Sin embargo, el método de reglas de página es simple de entender e implementar.

No espere hasta que su proveedor de alojamiento web le diga que sus recursos se han visto comprometidos. Si confía en servidores para su negocio, no deje ninguna posibilidad para que los atacantes de Fuerza bruta utilicen sus recursos. Las reglas de la página pueden ayudarlo a mejorar la experiencia del usuario y a mantener la seguridad reforzada de su dominio, el rendimiento mejorado del sitio y la minimización del uso del ancho de banda.

El número de Reglas de página depende del tipo de plan que haya elegido. El plan gratuito tiene 3 reglas, pero puede comprar un plan que tenga más reglas para cumplir con sus requisitos de seguridad.

November 26, 2017