Como proteger nuestro WordPress de ataques de fuerza en bruto

4,494 views

Published on

Presentación Como proteger nuestro WordPress de ataques de fuerza en bruto en el I #WPdayMadrid 8 de marzo de 2014 por Pedro Santos @hostfusion

Published in: Technology

Como proteger nuestro WordPress de ataques de fuerza en bruto

  1. 1. Como proteger nuestro De ataques de fuerza en bruto Pedro Santos @hostfusion www.host-fusion.com
  2. 2. Que son Se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.
  3. 3. Botnet El 11 de abril de 2013 se produjo el primer ataque global a miles de WordPress en todo el mundo basado en intentos acceso de fuerza en bruto para averiguar usuario y contraseña. +90.000 ordenadores zombies involucrados. Dominio.com/wp-login.php Dominio.com/wp-admin/
  4. 4. Medidas Básicas - No usar: admin, Admin, administrator, Administrator, administrador, Administrador. - Utilizar contraseñas fuertes. - Siempre estar actualizado, core, themes, plugins.
  5. 5. Medidas desde el Servidor - ModSecurity . www.modsecurity.org - Firewall que trabaje con ModSecurity. - Antivirus de servidor LMD. - Plugins como NginxCp sobre Apache.
  6. 6. Plugins para WordPress Limit Login Attempts ● Better WordPress Security ● Duo Two-Factor Authentication ● Wordfence Security ●
  7. 7. Scan diario o programado (Premium) Tráfico en directo Bloqueo de Ips Doble factor autenticación (Premium) Bloqueo por países (Premium) Bloqueo avanzado, bloqueo por rangos de IP Restaura archivos originales Varios niveles de protección, light, medio, high, lockdown Alertas por email Real-Time WordPress Security Network
  8. 8. Reglas Personalizadas Proteger el nombre de administrador Personalizar archivo .htaccess Limitar la IP de acceso al login Proteger el acceso al login
  9. 9. Proteger nombre de administrador www.dominio.com/?author=1 www.dominio.com/author/user/ En PhpMyAdmin modificar el campo user_nicename en la tabla wp-users
  10. 10. Limitar la IP de acceso al login
  11. 11. Proteger el acceso al login .wpadmin www.htaccesstools.com/htpasswd-generator/ .htaccess
  12. 12. Gracias por vuestro tiempo

×