Como Como proteger nuestro proteger nuestro De ataques de fuerza en bruto De ataques de fuerza en bruto Pedro Santos Pedro Santos @hostfusion @hostfusion www.host-fusion.com www.host-fusion.com
Como proteger nuestro WordPress de ataques de fuerza en bruto
Jun 23, 2015
Presentación Como proteger nuestro WordPress de ataques de fuerza en bruto en el I #WPdayMadrid 8 de marzo de 2014 por Pedro Santos @hostfusion
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
ComoComo proteger nuestroproteger nuestro
De ataques de fuerza en brutoDe ataques de fuerza en bruto
Pedro SantosPedro Santos@hostfusion@hostfusion
www.host-fusion.comwww.host-fusion.com
Que sonQue son
Se denomina ataque de fuerza bruta a la forma de Se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.posibles hasta encontrar aquella que permite el acceso.
BotnetEl 11 de abril de 2013 se produjo el primer ataque global a miles de WordPress en todo el mundo basado en intentos acceso de fuerza en bruto para averiguar usuario y contraseña. +90.000 ordenadores zombies involucrados.
Dominio.com/wp-login.phpDominio.com/wp-admin/
Medidas BásicasMedidas Básicas
- No usar: admin, Admin, administrator, Administrator, - No usar: admin, Admin, administrator, Administrator, administrador, Administrador.administrador, Administrador.
- Utilizar contraseñas fuertes.- Utilizar contraseñas fuertes.
- Siempre estar actualizado, core, themes, plugins.- Siempre estar actualizado, core, themes, plugins.
Medidas desde el Servidor
- ModSecurity . www.modsecurity.org
- Firewall que trabaje con ModSecurity.
- Antivirus de servidor LMD.
- Plugins como NginxCp sobre Apache.
Plugins para WordPressPlugins para WordPress
●Limit Login AttemptsLimit Login Attempts●Better WordPress SecurityBetter WordPress Security●Duo Two-Factor AuthenticationDuo Two-Factor Authentication●Wordfence SecurityWordfence Security
Scan diario o programado (Premium)Scan diario o programado (Premium)Tráfico en directoTráfico en directoBloqueo de IpsBloqueo de IpsDoble factor autenticación (Premium)Doble factor autenticación (Premium)Bloqueo por países (Premium)Bloqueo por países (Premium)Bloqueo avanzado, bloqueo por rangos de IPBloqueo avanzado, bloqueo por rangos de IPRestaura archivos originalesRestaura archivos originalesVarios niveles de protección, light, medio, Varios niveles de protección, light, medio, high, lockdownhigh, lockdownAlertas por emailAlertas por emailReal-Time WordPress Security NetworkReal-Time WordPress Security Network
Reglas PersonalizadasReglas Personalizadas
Proteger el nombre de Proteger el nombre de administradoradministradorPersonalizar archivo .htaccessPersonalizar archivo .htaccessLimitar la IP de acceso al loginLimitar la IP de acceso al loginProteger el acceso al loginProteger el acceso al login
Proteger nombre de Proteger nombre de administradoradministrador
www.dominio.com/?author=1www.dominio.com/?author=1www.dominio.com/author/user/www.dominio.com/author/user/
En PhpMyAdmin modificar el En PhpMyAdmin modificar el campo user_nicename en la tabla campo user_nicename en la tabla
wp-userswp-users
Limitar la IP de acceso al loginLimitar la IP de acceso al login
Proteger el acceso al loginProteger el acceso al login.wpadmin.wpadmin
www.htaccesstools.com/htpasswd-generator/www.htaccesstools.com/htpasswd-generator/
.htaccess.htaccess
Gracias por vuestro tiempoGracias por vuestro tiempo
Related Documents
