Evitar ataques de fuerza bruta contra WordPress con Limit Login Attempts

De todos los ataque presentes contra sistemas que tienen una autenticación basada en un par usuario y contraseña, el de fuerza bruta es el más conocido y fácil de implementar de todos.

¿En qué consiste? Si conocemos un usuario (en WordPress muchos usan directamente “admin”) y no conocemos su contraseña, podemos empezar a probar diferentes contraseñas:

• Basadas en un diccionario de contraseñas frecuentas
• De forma secuencial: de la “a” a la “zzzzzzz” pasando por todas las posibilidades.

Si no solucionamos este problema, llegaría un momento en el que una persona no, pero un robot, rompiese nuestra seguridad e iniciara sesión en nuestro blog, averiguando nuestra contraseña.

¿Cómo solucionar el problema de los ataques de fuerza bruta en WordPress?

Tenemos diferentes alternativas, pero la más cómoda y rápida de todas nos las da un plugin llamado Limit Login Attempts. Con este plugin nos limitaremos a configurar:

• Los reintentos permitidos
• Los minutos por bloqueo
• En caso de tantos bloqueos incrementamos el tiempo a tantas horas
• Número de hora hasta restablecer los reintentos

Podemos también enviar correos al administrador del sitio en caso de que el blog esté siendo atacado y tendremos estadísticas de interés: quién (qué IP) intentó acceder al sitio.

La instalación como siempre instantánea y la configuración en un sólo paso. Os dejo un pantallazo del panel de configuración: