Ataques a areas administrativas wp-admin de wordpress not acceptable

Vaya días llevamos…

Desde hace, más o menos, una semana, se está registrando un aumento inusual de la actividad en algunos de los servidores compartidos donde alojamos muchas de las webs de nuestros clientes, así como ésta que estás visitando y la de la tienda online https://informaticacoslada.com.

Desde ayer, la actividad ha ido en aumento y hemos detectado una gran cantidad de ataques a las zonas de administración de las instalaciones de WordPress (wp-admin) por fuerza bruta en un intento salvaje de conseguir accesos ilícitos a los servidores por parte de atacantes desde distintas IPs mundiales.

Parece un tipo de ataque bien organizado y distribuido que está afectando a estas instalaciones de WordPress aprovechando que se ha convertido casi en un estándar para la creación de sitios por su facilidad de uso.

Siempre recomiendo que uséis contraseñas complejas para vuestras cuentas tanto de administración como para los scripts que utilicés para vuestros diseños web. Estas contraseñas deberían contener caracteres especiales, mayúsculas y minúsculas y números:  1234 y $*@#&$’s.

Como os comentaba antes, se empezaron a notificar ataques a lo largo de la semana pasada pero no ha sido hasta anoche cuando estos ataques han aumentado de una forma importante contra el directorio que almacena la zona administrativa de las instalaciones de wordpress: wp-admin. Al principio los ataques sólo iban y venían, pero después llegaron a producir problemas de carga de las webs e, incluso, caídas temporales.

La única forma que hemos tenido para mitigar los ataques ha sido bloquear de modo temporal los accesos a la zona wp-admin de todas las instalaciones wordpress que tenemos en los servidores compartidos, de tal modo que es probable que hayáis tenido problemas para entrar en la web con errores como los siguientes:

[alert color=red align=center]not acceptable[/alert]

o

[alert color=red align=center]nombredominio.com 403 Forbidden Error Page[/alert]

El problema es mayor si estáis usando uno de nuestros VPS o servidor dedicado. Podéis enviarme un mensaje para que os envíe los detalles acerca de cómo proteger vuestros wordpress en esos casos.

Este ataque no sólo está afectando a nuestros servidores de alojamiento compartidos, está siendo operado a nivel global y lo están recibiendo otros alojadores.

Una opción interesante y que podría mitigar los efectos es daros de alta el CloudFlare que, como servicio CDN, bloquea automáticamente los threads que lleguen a vuestro sistema. Y es gratis.

Para solucionar de forma temporal el problema o para bloquear cualquier acceso a la zona wp-admin desde IPs que no sean vuestras, podéis utilizar el archivo .htaccess añadiendo o denegando IPs a la zona:

[alert color=blue title=”Bloquear IPs en .htaccess para WP-Admin/Wp-login.php” align=center][/alert]

1. Edita el archivo .htaccess que se encuentra en el directorio /home/nombreusuario/public_html/ o crea uno nuevo.
2. Añade el siguiente código:

[alert color=blue align=center] <Files ~ "^wp-login.php">
Order deny,allow
Deny from all
</Files>
[/alert]

3. Bajo  “Deny from all” añade la siguiente línea:

allow from XXX.XXX.XXX.XXX

Donde las XXX corresponden con la dirección IP pública de tu red. En http://whatismyip.com/ podéis consultar cuál es esa IP.

4. Debería quedar algo así:


[alert color=blue align=center]<Files ~ "^wp-login.php">
Order deny,allow
Deny from all
allow from XXX.XXX.XXX.XXX
</Files>[/alert]

5. Salva el archivo. A partir  de ahora sólo podrás acceder a wp-admin desde la red cuya IP sea la que has registrado. Si necesitas acceder desde otros sitios, tendrás que añadir tantas IPs como lugares diferentes.

En cuanto cesen los ataques, volveremos a abrir las zonas wp-admin pero, eso sí, os recomendamos que las dejéis cerradas con control por IP.