Jul 082020
 

Ajustes de fuerza bruta de aios te ayuda a proteger la página de acceso cambiando el nombre y mucho más.

Actualizado el: 13 de marzo de 2024

Últimas noticias: Actualizado el documento.

Todos sabemos lo importante que es añadir buena seguridad para el acceso a tu web. Activando una de las características de fuerza bruta en el plugin aumentará tu seguridad.

¿Qué es un ataque de fuerza bruta? Un ataque de fuerza bruta es cuando un hacker intenta muchas combinaciones de nombres de usuario y contraseñas hasta conseguir adivinar la combinación correcta. En algún momento puede haber muchos intentos de conexión simultáneos en tu sitio por medio de robots maliciosos automatizados. Esto también tiene un impacto negativo en la memoria y el rendimiento de tu servidor.

Las características de esta pestaña detendrán la mayoría de los ataques de fuerza bruta usando el archivo «.htaccess», proporcionando así una mayor protección de tu página de acceso y reduciendo la carga en el servidor porque el sistema no tiene que ejecutar el código PHP para procesar los intentos de acceso.

Nota: Si quieres saber más acerca de ataques de fuerza bruta, la siguiente URL wiki/Ataque_de_fuerza_bruta te puede ayudar.

Qué necesitas:

Ajustes fuerza bruta de aios

Importante: La sección Fuerza bruta te puede ayudar con tu seguridad y protección, sin embargo, en algunas situaciones, la siguiente característica Activar la prevención de ataques de fuerza bruta: puede causar otros problemas. Si ese es el caso, activa la característica Cambio de nombre de la página de acceso: en su lugar.

Hacemos todo lo posible para implementar un código que funcione con la mayoría de las configuraciones de sitios y servidores aPache, peso eso es imposible. Recomiendo el siguiente plugin peters-login-redirect/ para usar con la característica Cambio de nombre de la página de acceso: para situaciones como la que se menciona en el siguiente enlace entrada del foro.

Paso 1 ) Ve a Seguridad WP -> Fuerza bruta como puedes ver en la imagen a continuación.

menú-barra-lateral-de-la-fuerza-bruta-de-aios

Paso 2 ) La siguiente imagen Fuerza bruta te permite configurar las siguientes opciones.

Características de fuerza bruta

  • Renombrar la página de acceso
  • Prevención de fuerza bruta basada en cookies
  • Ajustes de CAPTCHA
  • Lista blanca de acceso
  • Detección 404
  • Señuelo

etiquetas-menú-de-ministración-de-fuerza-bruta-aios

Renombrar la página de acceso

Paso 3 ) Ve a Seguridad WP -> Fuerza bruta -> Renombrar la página de acceso como puedes ver en la imagen a continuación para configurar las siguientes opciones.

Ganchos para renombrar la página de acceso

  1. Este gancho añadido a tu archivo functions.php, te permite redirigir a una URL de error de página 404 en lugar de un mensaje de error 403 de WordPress. Haz clic aquí para obtener más información.
  2. Este gancho añadido a tu archivo functions.php, te permite redirigir a una página de tu elección. Haz clic aquí para obtener más información.

Ajustes de renombrar la página de acceso

  • Activar las características de renombrar la página de acceso:
  • URL de la página de acceso:
  • Haz clic en el botón Guardar los ajustes cuando hayas terminado de configurar esta característica.

Esto añade 10 puntos a tu medidor de seguridad. (Nivel de seguridad intermedio)

Nota: Si estás usando un plugin de caché, debes excluir la página de acceso de la caché.

ajustes-renombrar-pagina-de-acceso-fuerza-bruta-aios

Diagnosticar

Paso 3-a ) Si añades un carácter que no está permitido por la seguridad del plugin, verás el siguiente mensaje en la parte superior de la página.

¡Atención!
Debes utilizar caracteres alfanuméricos para el slug de tu página de acceso.

Paso 3-b ) Si tienes activada la estructura simple de enlaces permanentes de WordPress en tu sitio, verás una ? añadida a la URL. Aquí tienes un ejemplo: tusitio.com/?tu nombre secreto. Al marcar otro enlace permanente o un enlace permanente de estructura personalizada, la URL cambiará a tusitio.com/tu nombre secreto sin la ? añadida.

FAQ

P1 ¿Cómo configurar la URL de cambio de nombre de la página de acceso para redirigir a la página de cuentas de WooCommerce?

Solución 1: lee el siguiente enlace de soporte. Te muestra la función que puedes añadir en el archivo functions.php de tu tema. Esta función te redirigirá a la página de cuentas de WooCommerce.

P2 ¿Por qué al activar la característica de cambio de nombre de la página de acceso, el plugin AIOWPS cambia la traducción de las cadenas de idioma para la página de acceso estándar de WordPress?

Solución 1: cuando utilizas la característica de cambio de nombre de la página de acceso, las cadenas de salida de la «página de acceso» no provienen del archivo wp-login.php estándar, sino que provienen de un archivo dentro del plugin aiowps. Ese archivo se llama wp-security-rename-login-feature.php, que reside en el directorio «other-includes» de este plugin. Esa es la razón por la que se requieren las traducciones.

===============================

Prevención de fuerza bruta basada en cookies

Paso 4 ) Ve a Seguridad WP -> Fuerza bruta -> Prevención de fuerza bruta basada en cookies como puedes ver en la imagen a continuación para configurar las siguientes opciones.

Importante: Antes de usar esta característica, primero debes realizar una prueba de la cookie. Esto es para asegurarte que la cookie de tu navegador funciona correctamente y que no te vayas a bloquear.

Prueba de la cookie A ) Antes de comenzar a configurar esta característica, haz clic en el botón Realiza la prueba de la cookie como puedes ver en la imagen a continuación.

realiza-prueba-de-la-cookie-fuerza-bruta-aiowps

Paso 4-a ) Comienza a configurar las siguientes opciones una vez que la prueba de la cookie haya sido un éxito.

Nota: Si estás usando la caché en tu sitio, puedes excluir que la cookie no se almacene en la caché. Busca el nombre de la cookie en tu base de datos y encuentra el nombre «aio_wp_security_configs» en la tabla «option_name». En el interior, busca y encuentra «aiowps_cookie_brute_test» y obtén el nombre de la cookie.

Ajustes de característica basada en cookies

  • Activar la prevención de ataques de fuerza bruta:
  • Palabra secreta:
  • URL de redirección: = Nota: puedes añadir una URL personalizada en este campo. Esta es una buena idea si deseas compartir algún mensaje personal con aquellos que intentan hackear tu sitio.
  • Mi sitio tiene entradas o páginas que están protegidas con contraseña:
  • Mi sitio tiene un tema o plugins que usan Ajax:
  • Haz clic en el botón Guardar ajustes de la característica cuando hayas terminado de configurar esta característica. Nota: Si no ves el botón Guardar ajustes de la característica, consulta la Prueba de la cookie A y B ) mencionadas arriba.

Esto añade 20 puntos a tu medidor de seguridad. (Nivel de seguridad intermedio)

Nota: El siguiente enlace all-in-one-wp-security-plugin-cookie-based-brute-force-login-attack-prevention-feature tiene un videoclip en YouTube que muestra cómo configurar esta característica.

activar-prevención-ataques-fuerza-bruta-aios

Diagnosticar

P1 Cada vez que intento de acceder a mi sitio soy redirigido. Recibo el siguiente mensaje de error.

No tienes permiso para acceder a /wp-login.php en este servidor. Además, se encontró un error prohibido 403 al intentar utilizar un ErrorDocument para manejar la solicitud.

Solución: Esto suele suceder si has activado la característica Lista blanca de acceso en el menú Fuerza bruta. La dirección IP del ordenador o portátil que intenta acceder al sitio no está incluida en la lista. Puedes desactivar la Lista blanca de acceso o añadir la dirección IP a la lista.

Recuerda: La dirección IP debe ser una dirección IP estática y no dinámica.

===============================

Ajustes de captcha

Paso 5 ) Para añadir captcha en el formulario de acceso y los otros formularios que aceptan captcha. Haz clic en la siguiente URL Ajustes de captcha para obtener más información.

Paso 5-a ) Para añadir captcha en el formulario de acceso y los otros formularios que aceptan captcha en el plugin de WooCommerce. Haz clic en la siguiente URL Captcha de aios para WooCommerce para obtener más información.

===============================

Lista blanca de acceso

Paso 6 ) Ve a Seguridad WP -> Fuerza bruta -> Lista blanca de acceso como puedes ver en la imagen a continuación para configurar las siguientes opciones.

Ajustes de lista blanca de acceso

  • Activar lista blanca de IPs:
  • Tu dirección IP actual:
  • Introduce las direcciones IP en lista blanca:
  • Haz clic en el botón Guardar ajustes cuando hayas terminado de configurar esta característica.

Esto añade 15 puntos a tu medidor de seguridad. (Nivel de seguridad intermedio)

Ejemplo de direcciones de IPv4 para la lista blanca

Nota: Para especificar un rango IPv4 utiliza un carácter comodín «*». Las formas aceptables de usar comodines se muestran en los siguientes ejemplos:

  • Ejemplo 1: 195.47.89.*
  • Ejemplo 2: 195.47.*.*
  • Ejemplo 3: 195.*.*.*

Ejemplo de direcciones de IPv6 para la lista blanca

Nota: Para especificar un rango de IPv6, usa el formato CIDR como se muestra en los ejemplos a continuación:

  • Ejemplo 4: 2401:4900:54c3:af15:2:2:5dc0:0/112
  • Ejemplo 5: 2001:db8:1263::/48

ajustes-lista-blanca-aios

===============================

Detección 404

Paso 7 ) Ve a Seguridad WP -> Fuerza bruta -> Detección 404 como puedes ver en la imagen a continuación para marcar las siguientes opciones.

Ajuste de detección 404

  • Activar señuelo en la página de acceso:
  • Activar señuelo en la página de registro:
  • Haz clic en el botón Guardar los ajustes cuando hayas terminado de configurar esta característica.

Esto añade 5 puntos a tu medidor de seguridad. (Nivel de seguridad intermedio)

opciones-detección-404-fuerza-bruta-aios

Registros de eventos 404

Paso 7-a ) Una vez que se has bloqueado una dirección IP, tendrás algunas opciones en los registros de eventos 404. Estas opciones se pueden realizar de forma individual o acción en lote por la dirección IP bloqueada.

Paso 7-b ) La siguiente imagen te permite configurar las siguientes opciones.

Exportar a CSV

  • Haz clic en el botón Exportar a CSV cuando desees descargar el registro en formato CSV.

Borrar todos los registros de eventos 404

  • Haz clic en el botón Borrar todos los registros de eventos 404 cuando desees borrar todos los registros de eventos 404 de la base de datos.

exportar-a-csv-404-cortafuegos-aiowps

===============================

Señuelo

Paso 8 ) Ve a Seguridad WP -> Fuerza bruta -> Señuelo como puedes ver en la imagen a continuación para marcar las siguientes opciones.

Ajuste de señuelo

  • Activar señuelo en la página de acceso:
  • Activar señuelo en la página de registro:
  • Haz clic en el botón Guardar los ajustes cuando hayas terminado de configurar esta característica.

Esto añade 20 puntos a tu medidor de seguridad si activas ambas opciones. (Nivel de seguridad intermedio)

ajustes-de-señuelo-fuerza-bruta-aios

================================

Diagnosticar

P1 ¿Hay alguna forma de recuperar la página de acceso modificada de la base de datos o los archivos de wordpress?

Solución 1 = Si te refieres al cambio de nombre de la página de acceso, se almacena en la tabla de opciones de la base de datos de WordPress. (Solución proporcionada por wpsolutions en el foro)

Busca por la fila «aio_wp_security_configs» y luego mira dentro del campo option_value y encuentra el parámetro «aiowps_login_page_slug» que deberia tener el valor que lo sigue.
Del mismo modo, si te refieres a la característica prevención de fuerza bruta basada en cookies, es lo mismo que la anterior, excepto que buscarás el parámetro «aiowps_brute_force_secret_word» para obtener el valor.

Nota: Para cambiar el nombre de la página de acceso si tienes enlaces permanentes activados, la URL de acceso se verá así: yoursite.com/secret_slug

Si los enlaces permanentes se configuran como simples

  • Para cambiar el nombre de la página de acceso: yoursite.com/?secret_slug
  • Para prevención de fuerza bruta basada en cookies: yoursite.com/?secret_slug=1

==============

P2 ¿He activado la URL de cookie de fuerza bruta y ahora no puedo salir?

Solución 1: La cookie puede haber caducado o puede que la hayas eliminado accidentalmente a través de la configuración del navegador de alguna manera. De todos modos, si alguna vez vuelves a ver un problema de este tipo, lo que necesitas hacer es teclear la URL de tu palabra secreta para actualizar la cookie y estar listo. (Solución citada por wpsolutions)

Solución 2: En algunos casos, es posible que necesites usar la característica Activar las características del cambio de nombre de la página de acceso:

================================

FAQ

P1 ¿Cuál es las principales diferencias entre Cambiar nombre de la página de acceso y Prevención de fuerza bruta basada en cookies?

Solución 1: Las dos opciones son muy diferentes. Una de las opciones usa cookies, y la otra no. Ambas no pueden ser activadas al mismo tiempo porque entrarían en conflicto. Te recomiendo que primero pruebes la opción «cambiar el nombre de la página de acceso». (Respuesta proporcionada por mra13)

Solución 2: La característica Prevención de fuerza bruta basada en cookies se defiende en el nivel .htaccess (por ejemplo, apache) y la característica Cambio de nombre de la página de acceso detiene a las personas en el nivel php. (Respuesta proporcionada por wpsolutions)

================================

Así de fácil es configurar las características de Fuerza bruta en aios.

Estaré actualizando esta entrada de vez en cuando. No olvides de visitar de nuevo.

Disfrutar.

Lista de tutoriales de all in one security (AIOS):

Me llamo Manuel Ballesta Ruiz. Trabajo en informática desde 1999 y disfruto de los desafíos que me trae. Me encanta desarrollar sitios con WordPress. Paso mucho tiempo ayudando en los foros de wordpress.org. He estado escribiendo tutoriales desde 2011. Ahora estoy aprendiendo a administrar mi propio servidor virtual privado VPS.

 Deja un Comentario

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)