Recientemente se ha detectado un ataque a sitios WordPress por fuerza bruta (se prueba una combinación de usuarios y contraseñas típicas, como puede ser el usuario por defecto «admin») a unos de los gestores de contenido más importantes: WordPress.
De momento lo único que hace este malware, después de infectar la máquina, es crear un usuario nuevo y usar el equipo de trampolín, para infectar otras páginas que utilicen la misma plataforma.
Para prevenir este y futuros ataques en el caso de WordPress, siempre es recomendable no utilizar el usuario «admin», borrarlo o dejarlo como suscriptor y crear otro menos corriente, siempre con una contraseña fuerte. También existen muchos plugins que ayudan a mejorar la seguridad de nuestro sitio y evitar ataques por fuerza bruta, destacamos:
-Limit Login Attempts: para limitar el número de intentos de login fallidos.
–Lockdown WP Admin: para personalizar la url de acceso al panel de administración de WordPress (por defecto: /wp-admin)
A un nivel más técnico también podemos deshabilitar los errores de login, añadiendo la siguiente línea en el functions.php de nuestro tema:
add_filter(‘login_errors’,create_function(‘$a’, «return null;»));
Ponte en contacto con nuestro equipo de desarrollo web si necesitas soporte.