Protección de WordPress contra la fuerza bruta con Cloudflare

¿Tienes uno o más sitios web de WordPress y has notado que el uso de la CPU de tu servidor es anormalmente alto? Tu sitio de WordPress probablemente está sufriendo un ataque de fuerza bruta en la página de inicio de sesión wp-login.php o a través de XML-RPC. Aquí explicaré cómo protegerse de este ataque y cómo reducir el consumo de CPU usando el famoso CDN Cloudflare.

Ataques por fuerza bruta

Un ataque de «fuerza bruta» consiste en probar un gran número de contraseñas «débiles» como tu nombre, tu apodo (normalmente visible en la parte inferior de los posts que escribes en WordPress…), nombres de ciudades, contraseñas comunes («passwd», «pa&&&w0rd», etc.), …

¿Crees que es una estupidez de los hackers? Si tan sólo pudiera ver cuántos de nuestros clientes usan tales contraseñas incluso para aplicaciones sensibles como el software gratuito de CRM o su software de gestión de inventario.

Síntomas

Cómo detectar un ataque de fuerza bruta en su :

  • Uso anormalmente alto de la CPU cuando hay pocos visitantes a su sitio web (especialmente durante las horas pico de la noche)
  • Al consultar sus registros de Apache, verá muchas líneas como estas :

¿Cuáles son las soluciones?

Hay varias técnicas para protegerse contra un ataque por fuerza bruta.

Ya que se trata de un sitio de WordPress, hay plugins de seguridad como Wordfence o WP Cerber (que yo personalmente utilizo) que bloquean la IP de un PC que ha tenido demasiados fallos de identificación.

El principal problema de este tipo de plugin es que no evita que el hacker llegue a su sitio web, y por lo tanto consuma los recursos de su CPU…

También puedes usar un WAF (Web Application Firewall). Pero esto no está al alcance de todos, tanto técnica como financieramente.

Por último, puede optar por Cloudflare, una solución que hemos adoptado masivamente en todos nuestros sitios web y con resultados excepcionales :)

Cloudflare contra los ataques de fuerza bruta

Crea una cuenta gratuita en Cloudflare, y luego registra tu sitio web (puedes encontrar tutoriales en vídeo sobre este tema en Youtube). El procedimiento está bien explicado, así que no me detendré aquí, sobre todo porque no es el tema del artículo.

Una vez que su sitio está registrado en Cloudflare (y por lo tanto sus servidores de nombre son los de este CDN), vaya a «Reglas de la página». Con una cuenta gratuita, tienes derecho a 3 reglas, sólo una será necesaria en nuestro caso.

EEn el patrón URL, ponga : *yourdomain.com/wp-login.php*

El * es, por supuesto, un comodín que permite filtrar todas las páginas de identificación, sean cuales sean sus parámetros.

Luego en las opciones, en la línea «Nivel de seguridad», seleccione «Estoy bajo ataque», y en la línea «Comprobación de la integridad del navegador», seleccione «encendido».

¡Validar, y se acabó! ¡Su sitio web está protegido contra las altas exigencias repetitivas de un ataque de fuerza bruta!

Cada vez que un nuevo usuario (humano como el bot) quiera entrar en su página wp-login.php, su navegador será examinado y tendrá que llegar a 5 segundos antes de ver la página mostrada :

Protección de los recursos de su servidor contra los ataques de fuerza bruta
Protección de los recursos de su servidor contra los ataques de fuerza bruta

La prueba en las fotos

Después de configurar estos ajustes en todos los sitios web de WordPress en uno de nuestros servidores, aquí está la caída obvia en el uso de la CPU para el proceso de Apache y el uso de la CPU en general :

Vea también cómo usar Cloudflare para convertir un sitio de WordPress a HTTPS.

Dejar respuesta

Please enter your comment!
Please enter your name here