Jul 082020
 

Ajustes de fuerza bruta de aiowps te ayuda a proteger la página de acceso cambiando el nombre y mucho más.

Actualizado el: 9 de julio de 2020

Últimas noticias: Actualizada la documentación.

Todos sabemos lo importante que es añadir buena seguridad para el acceso a tu web. Activando una de las características de fuerza bruta en el plugin aumentará tu seguridad.

¿Qué es un ataque de fuerza bruta? Un ataque de fuerza bruta es cuando un hacker intenta muchas combinaciones de nombres de usuario y contraseñas hasta conseguir adivinar la combinación correcta. En algún momento puede haber muchos intentos de conexión simultáneos en tu sitio por medio de robots maliciosos automatizados. Esto también tiene un impacto negativo en la memoria y el rendimiento de tu servidor.

Las características de esta pestaña detendrán la mayoría de los ataques de fuerza bruta a nivel de .htaccess, proporcionando así una mayor protección de tu página de acceso y reduciendo la carga en el servidor porque el sistema no tiene que ejecutar el código PHP para procesar los intentos de acceso.

Nota: Si quieres saber más acerca the ataques de fuerza bruta, la siguiente URL wiki/Ataque_de_fuerza_bruta te puede ayudar.

Qué necesitas:

Ajustes fuerza bruta de aiowps

Importante: La sección Fuerza bruta te puede ayudar con tu seguridad y protección, sin embargo, en algunas situaciones, la siguiente característica Activar la prevención de ataques de fuerza bruta: puede causar otros problemas. Si ese es el caso, activa la característica Cambio de nombre de la página de acceso: en su lugar.

Hacemos todo lo posible para implementar un código que funcione con la mayoría de las configuraciones de sitios y servidores aPache, peso eso es imposible. Recomiendo el siguiente plugin peters-login-redirect/ para usar con la característica Cambio de nombre de la página de acceso: para situaciones como la que se menciona en el siguiente enlace entrada del foro.

Paso 1 ) Ves a Seguridad WP -> Fuerza bruta como puedes ver en la imagen a continuación.

menú-barra-lateral-fuerza-bruta-aiowps

Paso 2 ) La siguiente imagen Fuerza bruta te permite configurar las siguientes opciones.

Características de fuerza bruta

  • Cambio de nombre de la página de acceso
  • Prevención de fuerza bruta basada en cookies
  • Captcha de acceso
  • Lista blanca de acceso
  • Señuelo

menú-de-administración-de-fuerza-bruta-aiowps

Cambio de nombre de la página de acceso

Paso 3 ) Ves a Seguridad WP -> Fuerza bruta -> Cambio de nombre de la página de acceso como puedes ver en la imagen a continuación para configurar las siguientes opciones.

Ganchos para el cambio de nombre de la página de acceso

  1. Este gancho añadido a tu archivo functions.php, te permite redirigir a una URL de error de página 404 en lugar de un mensaje de error 403 de WordPress. Haz clic aquí para obtener más información.
  2. Este gancho añadido a tu archivo functions.php, te permite redirigir a una página de tu elección. Haz clic aquí para obtener más información.

Ajustes de cambio de nombre de la página de acceso

  • Activar las características del cambio de nombre de la página de acceso:
  • El URL de la página de acceso:
  • Haz clic en botón Guardar ajustes cuando hayas terminado de configurar esta característica.

Esto añade 10 puntos a tu medidor de seguridad. (Nivel de seguridad intermedio)

Nota: Si estás usando un plugin de caché, debes excluir la página de acceso de la caché.

ajustes-cambio-nombre-fuerza-bruta-aiowps

Diagnosticar

Paso 3-a ) Si añades un carácter que no está permitido por la seguridad del plugin, verás el siguiente mensaje en la parte superior de la página.

¡Atención!
Debes utilizar caracteres alfanuméricos para el slug de tu página de acceso.

Paso 3-b ) Si tienes activada la estructura simple de enlaces permanentes de WordPress en tu sitio, verás una ? añadida a la URL. Aqui tienes un ejemplo: yoursite.com/?tu nombre secreto. Al marcar otro enlace permanente o un enlace permanente de estructura personalizada, la URL cambiará a yoursite.com/tu nombre secreto sin la ? añadida.

FAQ

P1 ¿Cómo configurar la URL de cambio de nombre de la página de acceso para redirigir a la página de cuentas de WooCommerce?

Solución 1: lee el siguiente enlace de soporte. Te muestra la función que puedes añadir en el archivo functions.php de tu tema. Esta función te redirigirá a la página de cuentas de WooCommerce.

P2 ¿Por qué al activar la característica de cambio de nombre de la página de acceso, el plugin AIOWPS cambia la traducción de las cadenas de idioma para la página de acceso estándar de WordPress?

Solución 1: cuando utilizas la característica de cambio de nombre de la página de acceso, las cadenas de salida de la «página de acceso» no provienen del archivo wp-login.php estándar, sino que provienen de un archivo dentro del plugin aiowps. Ese archivo se llama wp-security-rename-login-feature.php, que reside en el directorio «other-includes» de este plugin. Esa es la razón por la que se requieren las traducciones.

===============================

Prevención de fuerza bruta basada en cookies

Paso 4 ) Ves a Seguridad WP -> Fuerza bruta -> Prevención de fuerza bruta basada en cookies como puedes ver en la imagen a continuación para configurar las siguientes opciones.

Prueba de la cookie A ) Antes de comenzar a configurar esta característica, haz clic en el botón Realiza la prueba de la cookie como puedes ver en la imagen a continuación.

Importante: Antes de usar esta característica, primero debes realizar una prueba de la cookie. Esto es para asegurarte que la cookie de tu navegador funciona correctamente y que no te vayas a bloquear.

realiza-prueba-de-la-cookie-fuerza-bruta-aiowps

Prueba de la cookie B ) Si la prueba de la cookie ha tenido éxito, verás el siguiente mensaje como puedes ver en la imagen a continuación. Una vez que esta prueba se realiza con éxito, puedes comenzar a configurar esta característica.

La prueba de la cookie fue un éxito. Ahora puedes activar esta característica.

la-prueba-de-la-cookie-fue-exito-fuerza-bruta-aiowps

Paso 4-a ) Comienza a configurar las siguientes opciones una vez que la prueba de la cookie haya sido un éxito.

Nota: Si estás usando la caché en tu sitio, puedes excluir que la cookie no se almacene en la caché. Busca el nombre de la cookie en tu base de datos y encuentra el nombre «aio_wp_security_configs» en la option_name. En el interior, busca y encuentra «aiowps_cookie_brute_test» y obten el nombre de la cookie.

Ajustes de característica basada en cookies

  • Activar la prevención de ataques de fuerza bruta:
  • Palabra secreta:
  • URL de redirección: = Nota: puedes añadir una URL personalizada en este campo. Esta es una buena idea si deseas compartir algún mensaje personal con aquellos que intentan hackear tu sitio.
  • Mi sitio tiene entradas o páginas que están protegidas por contraseña:
  • Mi sitio tiene un tema o plugins que usan Ajax:
  • Haz clic en botón Guardar ajustes de la característica cuando hayas terminado de configurar esta característica. Nota: Si no ves el botón Guardar ajustes de la característica, consulta la Prueba de la cookie A y B ) mencionadas arriba.

Esto añade 20 puntos a tu medidor de seguridad. (Nivel de seguridad intermedio)

Nota: El siguiente enlace all-in-one-wp-security-plugin-cookie-based-brute-force-login-attack-prevention-feature tiene un videoclip en youtube que muestra cómo configurar esta característica.

activar-prevención-ataques-fuerza-bruta-aiowps.

Diagnosticar

P1 Cada vez que intento de acceder a mi sitio soy redirigido. Recibo el siguiente mensaje de error.

No tienes permiso para acceder a /wp-login.php en este servidor. Además, se encontró un error prohibido 403 al intentar utilizar un ErrorDocument para manejar la solicitud.

Solución: Esto suele suceder si has activado la característica Lista blanca de acceso en el menú Fuerza bruta. La dirección IP del ordenador o portátil que intenta acceder al sitio no está incluida en la lista. Puedes desactivar la Lista blanca de acceso o añadir la dirección IP a la lista.

Recuerda: la dirección IP debe ser una dirección IP estática y no dinámica.

===============================

Lista blanca de acceso

Paso 6 ) Ves a Seguridad WP -> Fuerza bruta -> Lista blanca de acceso como puedes ver en la imagen a continuación para configurar las siguientes opciones.

Ajustes de lista blanca de acceso

  • Activar lista blanca de IPs:
  • Tu dirección IP actual:
  • Introduce las direcciones IP en lista blanca:
  • Haz clic en botón Guardar ajustes cuando hayas terminado de configurar esta característica.

Esto añade 15 puntos a tu medidor de seguridad. (Nivel de seguridad intermedio)

Ejemplo de direcciones de IPv4 para la lista blanca

Nota: Para especificar un rango IPv4 utiliza un carácter comodín «*». Las formas aceptables de usar comodines se muestran en los siguientes ejemplos:

  • Ejemplo 1: 195.47.89.*
  • Ejemplo 2: 195.47.*.*
  • Ejemplo 3: 195.*.*.*

Ejemplo de direcciones de IPv6 para la lista blanca

Nota: Los rangos/comodines no son compatibles actualmente con ipv6.

  • Ejemplo 4: 4102:0:3ea6:79fd:b:46f8:230f:bb05
  • Ejemplo 5: 2205:0:1ca2:810d::

ajustes-lista-blanca-aiowps

===============================

Señuelo

Paso 7 ) Ves a Seguridad WP -> Fuerza bruta -> Señuelo como puedes ver en la imagen a continuación para marcar las siguiente opción.

Ajuste de señuelo

  • Activar señuelo en la página de acceso:
  • Haz clic en botón Guardar ajustes cuando hayas terminado de configurar esta característica.

Esto añade 10 puntos a tu medidor de seguridad. (Nivel de seguridad intermedio)

ajustes-señuelo-fuerza-bruta-aiowps

================================

Diagnosticar

P1 ¿Hay alguna forma de recuperar la página de acceso modificada de la base de datos o los archivos de wordpress?

Solución 1 = Si te refieres al cambio de nombre de la página de acceso, se almacena en la tabla de opciones de la base de datos de WordPress. (Solución proporcionada por wpsolutions en el foro)

Busca por la fila «aio_wp_security_configs» y luego mira dentro del campo option_value y encuentra el parámetro «aiowps_login_page_slug» que deberia tener el valor que lo sigue.
Del mismo modo, si te refieres a la característica prevención de fuerza bruta basada en cookies, es lo mismo que la anterior, excepto que buscarás el parámetro «aiowps_brute_force_secret_word» para obtener el valor.

Nota: para cambiar el nombre de la página de acceso si tienes enlaces permanentes activados, la URL de acceso se verá así: yoursite.com/secret_slug

Si los enlaces permanentes se configuran como simples

  • Para cambiar el nombre de la página de acceso: yoursite.com/?secret_slug
  • Para prevención de fuerza bruta basada en cookies: yoursite.com/?secret_slug=1

==============

P2 ¿He activado la URL de cookie de fuerza bruta y ahora no puedo salir?

Solución 1: la cookie puede haber caducado o puede que la hayas eliminado accidentalmente a través de la configuración del navegador de alguna manera. De todos modos, si alguna vez vuelves a ver un problema de este tipo, lo que necesitas hacer es teclear la URL de tu palabra secreta para actualizar la cookie y estar listo. (Solución citada por wpsolutions)

Solución 2: en algunos casos, es posible que necesites usar la característica Activar las características del cambio de nombre de la página de acceso:

================================

FAQ

P1 ¿Cuál es las principales diferencias entre Cambiar nombre de la página de acceso y Prevención de fuerza bruta basada en cookies?

Solución 1: las dos opciones son muy diferentes. Una de las opciones usa cookies, y la otra no. Ambas no pueden ser activadas al mismo tiempo porque entrarían en conflicto. Te recomiendo que primero pruebes la opción «cambiar el nombre de la página de acceso». (Respuesta proporcionada por mra13)

Solución 2: la característica Prevención de fuerza bruta basada en cookies se defiende en el nivel .htaccess (por ejemplo, apache) y la característica Cambio de nombre de la página de acceso detiene a las personas en el nivel php. (Respuesta proporcionada por wpsolutions)

================================

Así de fácil es configurar las características de Fuerza bruta en aiowps.

Estaré actualizando esta entrada de vez en cuando. No olvides de visitar de nuevo.

Disfrutar.

Lista de tutoriales de all in one wp security and firewall:

Me llamo Manuel Ballesta Ruiz. Trabajo en informática desde 1999 y disfruto de los desafíos que me trae. Me encanta desarrollar sitios con WordPress. Paso mucho tiempo ayudando en los foros de wordpress.org. He estado escribiendo tutoriales desde 2011. Ahora estoy aprendiendo a administrar mi propio servidor virtual privado VPS.

 Deja un Comentario

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)