Clicky

Proteje tu sitio web Joomla contra ataques de fuerza bruta

seguridad Joomla

Un ataque de fuerza bruta está tratando de acceder a un sitio web como administrador

Los ataques de fuerza bruta en los sitios de Joomla son comunes estos días. Los propietarios de sitios web deben afrontar la realidad de que los hackers tienen el control de granjas de computadoras hackeadas. Estas computadoras se pueden utilizar para coordinar ataques masivos de fuerza bruta a un sitio web.

Como propietario de un sitio web, de hecho estoy hospedando varios sitios, recibo con alguna frecuencia este tipo de ataques en mis servidores. En este artículo, busco algunas maneras de reducir la posibilidad de que alguien obtenga acceso ilegal a tus sitios web de Joomla a través de ataques de fuerza bruta.

Entonces, ¿qué es un ataque de fuerza bruta?

Veamos lo que dice Wikipedia:

En la criptografía, un ataque de fuerza bruta o una búsqueda de clave exhaustiva es un ataque criptoanalítico que, en teoría, puede utilizarse contra cualquier dato encriptado (excepto los datos encriptados de una manera segura desde el punto de vista teórico de la información). Tal ataque puede ser usado cuando no es posible aprovechar otras debilidades en un sistema de cifrado (si existe), lo que facilitaría la tarea. Consiste en comprobar sistemáticamente todas las claves o contraseñas posibles hasta que se encuentre la correcta. En el peor de los casos, esto implicaría recorrer todo el espacio de búsqueda. Cuando se adivina la contraseña, este método es muy rápido cuando se utiliza para comprobar todas las contraseñas cortas, pero para contraseñas más largas se utilizan otros métodos como el ataque de diccionario debido al tiempo que tarda una búsqueda de fuerza bruta.

En resumen, un ataque de fuerza bruta está tratando de acceder a un sitio web como administrador, intentando averiguar cada combinación de nombre de usuario y contraseña que pueda existir.

Hay dos problemas principales con esto para un propietario de un sitio web. Obviamente, no es bueno tener gente fisgoneando en nuestro administrador de Joomla con súper derechos de administrador. Eso es un hecho. La otra cosa que debe preocuparnos es el hecho de que tales ataques le quitan mucha capacidad al servidor web.

ataque de fuerza bruta

Cómo protegerse de los ataques de fuerza bruta

Hay varias cosas que se pueden hacer para hacer las cosas más difíciles a aquellos que intentan ataques de fuerza bruta. Las contraseñas de nombres de usuario más largas y complejas es una, bloquear el acceso al sitio es otra.

Nombres de usuario y contraseñas fuertes

Lo has oído una y otra vez: ¡Asegúrate de tener contraseñas seguras! Los nombres de usuario también son importantes.

Me he hecho un hábito de nunca utilizar 'admin' o 'administrador', o algo así, como nombres de usuario en mis sitios web. Elijo un nombre de usuario único para cada sitio.

Cuando se trata de contraseñas, siempre uso 20 caracteres alfanuméricos aleatorios o más, en una combinación de mayúsculas y minúsculas, y con algunos símbolos ortográficos, como por ejemplo: ! & $ #. Y nunca utilizo una contraseña para más de un sitio web.

¿20 caracteres, dices? ¿Cómo demonios los recuerdas?

Tres palabras: Password Management Software (Software de gestión de contraseñas).

Administra tus contraseñas con facilidad

En lo personal, yo uso LastPass.com tanto para generar como gestionar mis contraseñas. También he oído muchas cosas buenas sobre 1Password, así que si estás en un Mac es posible que desees probarlo.

Con estas herramientas, no hay problemas para administrar cientos o miles de contraseñas con facilidad. Sólo asegúrate de que tienes una contraseña maestra sólida, y es posible considerar invertir en un Yubikey para una autenticación de dos factores con Joomla.

Bloqueo del acceso al sitio

Otro método para evitar los peligros de los ataques de fuerza bruta es restringir el acceso al sitio web o al servidor basado en la IP o rango de IPs de los atacantes. Hay varias formas de hacer esto:

• Usando una extensión de Joomla
• Bloqueando el acceso con el archivo .htaccess
• Bloqueando las direcciones IP con el firewall del servidor

Extensión de Joomla

Recomiendo AdminExcile como un excelente plug-in para Joomla 2.5 o posterior. Permite bloquear IPs después de una cierta cantidad de intentos fallidos de contraseña, y puede establecerse cuánto tiempo estará en vigor el bloqueo. Esto ha demostrado ser muy eficaz para mí, ya que he evitado algunos ataques muy desagradables.

Recientemente tuve un ataque a un sitio web en el que más de 4.000 máquinas trataron de hacer una entrada de fuerza bruta en un sitio de Joomla. No lo lograron, y logramos bloquear las IPs de forma permanente y rápida. Otro día, tuve 25.000 intentos de fuerza bruta en otro sitio web. Ahí es cuando ajusté el complemento AdminExcile para bloquear a los autores después de menos intentos y por un período de tiempo más largo. Eso definitivamente ayudó.

La razón principal por la que el ataque no tuvo éxito fue una contraseña fuerte. AdminExcile, sin embargo, puede impedir que tu sitio se proteja bloqueando las direcciones IP después de X intentos fallidos.

Otro componente de este tipo es Admin Tools, que tiene una funcionalidad para presentar antes del acceso al administrador de Joomla un formulario de acceso adicional con nombre y contraseña:

Admin Tools para Joomla

Uso del bloqueo con .htaccess

En servidores Apache, puedes agregar direcciones IP a tu archivo .htaccess. Esto evitará que esas direcciones IP lleguen incluso a tu página de administrador de Joomla o a cualquier otra página de tu sitio web.

Esta es una herramienta que facilita la creación de los fragmentos que necesitas para tu archivo .htaccess:

http://www.htaccesstools.com/block-ips/

Ejemplo de código:

Order Deny,Allow
Deny from 199.442.33.32

Más información sobre el uso de .htaccess para bloquear a los visitantes con diferentes métodos.

Bloqueo de las direcciones IP en el firewall

csfSi estás en un servidor dedicado o en tu propia red, el bloqueo de los rangos de IP en el cortafuegos podría ser una buena opción (yo uso ConfigServer Security & Firewall). Ten en cuenta, sin embargo, que esto puede bloquear un cierto tráfico válido a tu sitio. Para algunos sitios, esto no será un problema. Si tienes un sitio local al que no llegan clientes de fuera de tu país, puedes bloquear las direcciones IP de todo un país si así lo deseas. No afectará tu negocio. Si tu negocio es internacional, debes considerar esto con más cuidado y establecer direcciones IP específicas o rangos limitados.

Conclusión

Para concluir, los ataques de fuerza bruta son probablemente algo con lo que tenemos que vivir. Hay, sin embargo, bastantes cosas que puedes hacer para limitar la posibilidad de que alguien tenga éxito con un ataque de este tipo. Lo primero que debes hacer es aumentar la complejidad de tus contraseñas de administrador.

Jesus_Caceres