Bloquear ataques de fuerza bruta en WordPress

Aunque los servidores que forman la plataforma de hosting con cPanel de Raiola Networks utilizan Imunify360 para proteger los sitios web alojados de posibles ataques de fuerza bruta y otros problemas de seguridad, lo cierto es que en instalaciones WordPress, desde el lado del cliente podemos añadir una capa de protección fácilmente con un plugin.

El plugin Limit Login Attemps Reloaded es gratuito y se instala automáticamente cuando realizamos una instalación automática con Installatron y permite al usuario bloquear completamente ataques de fuerza bruta realizados contra su instalación.

El principal problema de los ataques de fuerza bruta en la práctica es que normalmente si tenemos una contraseña segura, no llegan a ser un problema para la seguridad, pero si pueden ser un problema para el rendimiento del sitio web, ya que un sitio web que recibe muchas peticiones de autentificación por segundo se vuelve lento.

Como hemos dicho, Limit Login Attemps Reloaded es un plugin gratuito y además de autoinstalarse en nuestro hosting WordPress, también podemos instalarlo en cualquier instalación WordPress desde el repositorio oficial de plugins de WordPress sin necesidad de salir del dashboard.

Cuando instalamos y activamos Limit Login Attemps Reloaded, podremos acceder a una nueva sección en el dashboard de WordPress que se llama específicamente como el plugin:

La pestaña "Escritorio" te muestra información básica del funcionamiento del plugin, aunque inicialmente no mostrará datos.

De hecho, si estás ejecutando tu WordPress en un servidor con Imunify360 de Raiola Networks, salvo que desactives completamente mod_security desde tu panel de control, en muy pocas ocasiones verás datos en la sección "Escritorio" porque los ataques no llegaran a la instalación WordPress y, por lo tanto, el plugin "no tendrá que entrar en acción".

Si queremos personalizar el funcionamiento del plugin, debemos irnos a la pestaña o sección "Ajustes":

Una vez que estamos en la pantalla que puedes ver en la captura de pantalla anterior, debemos hacer scroll hacia abajo.

Debemos llegar a la seccion "Aplicacion local":

Lo que debemos definir aquí son los parámetros de bloqueo, ya que Limit Login Attemps Reloaded bloqueará usuarios o bots que realicen intentos de inicio de sesión fallidos.

Una configuración segura y exigente de los bloqueos sería algo similar a esto:

Si no quieres que la configuración de bloqueos sea muy exigente, puedes dejar la configuración por defecto del plugin, ya que al activar el plugin ya estará bloqueando intentos de inicio de sesión fallidos automáticamente, pero siguiendo los parámetros de la configuración por defecto.

Recuerda que para tener un WordPress seguro, la prevención es la base de todo y bloquear intentos de inicio de sesión fallidos es una parte fundamental de la prevención, junto con tener configuradas contraseñas seguras.