Evitar ataque de fuerza bruta en WordPress.

Evitar ataque de fuerza bruta en WordPress.

En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.

Evitar ataque de fuerza bruta en WordPress., informatica valencia

Dicho de otro modo, define al procedimiento por el cual a partir del conocimiento del algoritmo de cifrado empleado y de un par texto claro/texto cifrado, se realiza el cifrado (respectivamente, descifrado) de uno de los miembros del par con cada una de las posibles combinaciones de clave, hasta obtener el otro miembro del par. El esfuerzo requerido para que la búsqueda sea exitosa con probabilidad mejor que la par será   operaciones, donde n es la longitud de la clave (también conocido como el espacio de claves).

Por mi trabajo me encargado de administrar  varias páginas web en sistemas WordPress con las distintas páginas web de la empresa en que trabajo, y todos sabemos la zozobra que se vive con miles de ataques de fuerza bruta automatizados que últimamente está sufriendo la página de login de este sistema.

Lo primero es Integrar WordPress con Latch de Eleven Paths, que nos permite dar seguridad a nuestro sistema,  un sistema de pestillos que nos permite apagar y encender nuestras identidades digitales simplemente pulsando un botón en nuestro dispositivo móvil. Este servicio no tiene conocimiento de nuestros usuarios y contraseñas, sino que se trata de una capa intermedia implementada por los diferentes servicios que, una vez indicadas nuestras credenciales, comprueba si el pestillo (latch) para ese servicio está ON/OFF con el fin de continuar con el proceso de login.

Muchos scanners automatizan la búsqueda de los usuarios de WordPress por defecto, como WPScan.  Tras horas de búsquedas parece que es algo que se asume por casi todo el mundo como una “feature”. Es lo que hay!

Llamamos  a la URL la variable “author” y obtener  el “id” manualmente comenzando por 1, 2, 3 y así continuamente para conocer a qué nombre de usuario  dirige en el campo title de la página destino.

Evitar ataque de fuerza bruta en WordPress.

Modificando el campo de la tabla “users” en la base de datos que utiliza el motor WordPress con PHPmyAdmin se enmendaba el problema. El campo es el “user_nicename”, es decir, el “nombre cuchi” para un usuario.

Evitar ataque de fuerza bruta en WordPress.

Con este pequeño cambio se obtendrá una identidad falsa en la URL, y hemos mejorado nuestra seguridad.

Evitar ataque de fuerza bruta en WordPress.