Si tienes un blog creado con WordPress, seguro que alguna vez te has levantado por la mañana y te has encontrado el blog caído. ¿Qué ha pasado? Es lo primero que te preguntas, y muchas veces lo que sucede es que algún bot se ha ensañado con tu página web y se ha liado a mandar peticiones de acceso a wp-login.php y xmlrpc.php. Una p*t*da…
¿Cómo puedes saber qué es esto lo que te esta pasando a tí?
Tienes que visitar los logs de Apache, en concreto los access.log. Si tienes acceso mediante SSH a tu servidor, es posible que quieras buscar estos ataques «Brute Force» de la siguiente manera (ejemplo válido para servidores con WHM/cpanel):
-
grep wp-login.php /usr/local/apache/domlogs/*
-
grep xmlrpc /usr/local/apache/domlogs/*
Dónde simplemente estoy poniendo que busque estos dos tipos de acceso en todos los logs de Apache creados para diferentes páginas web alojadas en el servidor. Esto es lo que vas a ver:
Una misma dirección IP que no es la tuya intentando entrar en WordPress muchas veces y recibiendo un código respuesta «200» de login fallido.
Ok. No logra entrar en tu web, pero te están tumbando el servidor al consumir mucha memoria RAM, llamadas a la base datos y demás. Y si tienes muchos blogs en el servidor el problema se acrecienta.
¿Sirve de algo bloquear la IP? Al principio sí, pero luego el bot se cambia a otra. No merece la pena. Vamos a ver que puedes hacer. Las dos opciones son gratuitas.
Bloquear los ataques de Fuerza Bruta en WordPress contra el archivo xmlrpc.php con Jetpack.
Jetpack es el plugin que a mucha gente no le gusta porque dicen que consume muchos recursos y hace que WordPress vaya lento: Si esta bien configurado eso no pasa. y además tiene una opción muy interesante: Protect.
Si la activas, vas a bloquear el 90% de los ataques Brute Force, lo que no está nada mal. Añade tu IP a la lista blanca de Protect para no bloquear tu acceso.
Vía Digital Ocean
Bloquear los ataques de Fuerza Bruta en WordPress contra el archivo wp-login.php con Cloudflare.
En este caso vamos a tener que instalar Cloudflare en nuestro blog con WordPress. Es muy sencillo. Básicamente hay que instalar el Plugin de cloudflare y seguir los pasos que indica Cloudflare en su web.
Una vez configurado, tenemos que añadir una «Page Rules» con la siguiente url:
*.ejemplo.com/wp-login.*
y añadir los dos siguientes parámetros: Security I’m Under Attack y Browser Integrity Check ON.
Esto fortalecerá la seguridad de la página de login de WordPress y evitará que los bots accedan a ella. Es posible que tengas que esperar 5 segundos para iniciar la sesión para permitir la comprobación de integridad de tu explorador. Podemos soportarlo.
Todo esto es mucho más sencillo de implementar que las reglas .htaccess, sobre todo si ya tienes instalados estos dos servicios en tu blog. Y consume menos recursos que instalar otro plugin más en WordPress para prevenir el acceso al blog.
Vía ronangelo.com