Hace algún tiempo publiqué un video mostrando cómo se podría realizar un ataque de fuerza bruta a un sitio bajo WordPress con una herramienta gratuita llamada WPScan. Un ataque de este tipo básicamente consiste en una lista de palabras que se van probando una tras otra como posibles passwords hasta que alguno permita el acceso.
Es por ello que una protección básica contra este tipo de ataques es utilizar contraseñas poco comunes que incluyan letras mayúsculas, minúsculas, números y signos. De esta forma la probabilidad de que la contraseña se encuentre en un diccionario (lista de palabras) serían casi nula y un atacante tendría que dedicarle tantas horas al asunto que no tendría sentido.
Pero para poder loguearnos también es necesario conocer el usuario y conseguir este dato puede ser sencillo ya que no se encuentra oculto por defecto. Incluso WPScan puede con un escaneo rápido listar todos los usuarios configurados en un blog.
Pero otra... Continuar leyendo
