Como proteger nuestro WordPress de ataques de fuerza en bruto

Post on 23-Jun-2015

3.636 views 2 download

description

Presentación Como proteger nuestro WordPress de ataques de fuerza en bruto en el I #WPdayMadrid 8 de marzo de 2014 por Pedro Santos @hostfusion

Transcript of Como proteger nuestro WordPress de ataques de fuerza en bruto

ComoComo proteger nuestroproteger nuestro

De ataques de fuerza en brutoDe ataques de fuerza en bruto

Pedro SantosPedro Santos@hostfusion@hostfusion

www.host-fusion.comwww.host-fusion.com

Que sonQue son

Se denomina ataque de fuerza bruta a la forma de Se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.posibles hasta encontrar aquella que permite el acceso.

BotnetEl 11 de abril de 2013 se produjo el primer ataque global a miles de WordPress en todo el mundo basado en intentos acceso de fuerza en bruto para averiguar usuario y contraseña. +90.000 ordenadores zombies involucrados.

Dominio.com/wp-login.phpDominio.com/wp-admin/

Medidas BásicasMedidas Básicas

- No usar: admin, Admin, administrator, Administrator, - No usar: admin, Admin, administrator, Administrator, administrador, Administrador.administrador, Administrador.

- Utilizar contraseñas fuertes.- Utilizar contraseñas fuertes.

- Siempre estar actualizado, core, themes, plugins.- Siempre estar actualizado, core, themes, plugins.

Medidas desde el Servidor

- ModSecurity . www.modsecurity.org

- Firewall que trabaje con ModSecurity.

- Antivirus de servidor LMD.

- Plugins como NginxCp sobre Apache.

Plugins para WordPressPlugins para WordPress

●Limit Login AttemptsLimit Login Attempts●Better WordPress SecurityBetter WordPress Security●Duo Two-Factor AuthenticationDuo Two-Factor Authentication●Wordfence SecurityWordfence Security

Scan diario o programado (Premium)Scan diario o programado (Premium)Tráfico en directoTráfico en directoBloqueo de IpsBloqueo de IpsDoble factor autenticación (Premium)Doble factor autenticación (Premium)Bloqueo por países (Premium)Bloqueo por países (Premium)Bloqueo avanzado, bloqueo por rangos de IPBloqueo avanzado, bloqueo por rangos de IPRestaura archivos originalesRestaura archivos originalesVarios niveles de protección, light, medio, Varios niveles de protección, light, medio, high, lockdownhigh, lockdownAlertas por emailAlertas por emailReal-Time WordPress Security NetworkReal-Time WordPress Security Network

Reglas PersonalizadasReglas Personalizadas

Proteger el nombre de Proteger el nombre de administradoradministradorPersonalizar archivo .htaccessPersonalizar archivo .htaccessLimitar la IP de acceso al loginLimitar la IP de acceso al loginProteger el acceso al loginProteger el acceso al login

Proteger nombre de Proteger nombre de administradoradministrador

www.dominio.com/?author=1www.dominio.com/?author=1www.dominio.com/author/user/www.dominio.com/author/user/

En PhpMyAdmin modificar el En PhpMyAdmin modificar el campo user_nicename en la tabla campo user_nicename en la tabla

wp-userswp-users

Limitar la IP de acceso al loginLimitar la IP de acceso al login

Proteger el acceso al loginProteger el acceso al login.wpadmin.wpadmin

www.htaccesstools.com/htpasswd-generator/www.htaccesstools.com/htpasswd-generator/

.htaccess.htaccess

Gracias por vuestro tiempoGracias por vuestro tiempo