Ataques de fuerza bruta, DoS y DDoS: ¿cuál es la diferencia?
Este tipo de ciberataques son muy conocidos desde los inicios de Internet. ¿Representan un riesgo de seguridad para WordPress? ¿Qué herramientas de seguridad pueden mitigarlos eficazmente? ¿Cuáles son las posibilidades de que podamos hacerlo con éxito?
English version: Brute-force, DoS, and DDoS attacks – what’s the difference?
Un ataque de fuerza bruta es un método de prueba y error utilizado por los piratas informáticos para adivinar credenciales o datos cifrados, como inicios de sesión, contraseñas o claves de cifrado, mediante un esfuerzo exhaustivo (usando la fuerza bruta) con la esperanza de adivinar correctamente. El ataque de fuerza bruta es uno de los métodos más populares para descifrar contraseñas para hackear WordPress.
Un ataque de denegación de servicio (DoS) es un ataque destinado a cerrar un sitio web o un servidor web, haciéndolo inaccesible para sus usuarios previstos inundándolo con tráfico inútil (solicitudes basura) desde un único host (dirección IP). A veces, los ataques DoS se utilizan para destruir sistemas de defensa informática. Algunas funciones de WordPress pueden explotarse como vector de ataque para ataques DoS. Por ejemplo, CVE-2018-6389 .
Un ataque DDoS es la abreviatura de "ataque DoS distribuido". Estos ataques se organizan inundando el sitio web o el servidor web objetivo con tráfico inútil desde múltiples dispositivos o una botnet. Una botnet es una red de ordenadores infectados con software malicioso (malware) sin el conocimiento del usuario, organizados en un grupo y controlados por ciberdelincuentes. Las botnets modernas pueden contener decenas de miles de dispositivos móviles o computadoras de escritorio comprometidos. Debido a su naturaleza, los ataques DDoS modernos son costosos y requieren muchos recursos. Por lo general, eso significa que tienes un enemigo fuerte que tiene suficiente dinero gris para ordenar este tipo de ataque. Muy a menudo, los crecientes ataques DDoS son ordenados por competidores u oponentes políticos sin escrúpulos.
Entonces, ¿cuál es la diferencia?
Técnicamente se ven diferentes, pero desde el punto de vista del propietario de un sitio web, la diferencia está simplemente en el objetivo del ataque .
Tanto los ataques DoS como los DDoS tienen el mismo objetivo. Y este objetivo es derribar a la víctima , el sitio web objetivo o el servidor web y obtener ganancias de ello. A veces, el ataque DDoS se realiza para destruir un sistema de defensa y obtener acceso administrativo.
El objetivo de realizar ataques de fuerza bruta es obtener acceso de administrador al sitio web objetivo para realizar alguna actividad ilegal que el intruso/hacker quiera realizar. Sus actividades típicas son:
- Redirigir a usuarios legítimos a sitios web falsos para robar sus datos personales
- Crear páginas de phishing con formas de pago que imiten las legítimas en el sitio web de la víctima
- Robar datos personales de una base de datos de clientes
- Instalar puertas traseras y troyanos en el servidor web para usarlos como herramientas para atacar otros sitios web.
- Instalación de software malicioso para infectar computadoras de administradores y clientes
- Modificar el contenido de un sitio web confiable para insertar enlaces a sitios web de phishing
¿Cómo afectan estos ataques a WordPress?
De forma predeterminada, WordPress permite intentos de inicio de sesión ilimitados a través del formulario de inicio de sesión, API REST , XML-RPC o enviando cookies de autenticación especiales. Esto permite descifrar las contraseñas con relativa facilidad mediante el ataque de fuerza bruta mencionado anteriormente.
Cómo proteger WordPress y mitigar estos ataques
Tanto los ataques de fuerza bruta como los DoS se pueden mitigar con éxito con un software de seguridad instalado en un sitio web. En ambos casos, no necesitas ser un nerd y puedes obtener esa protección de forma gratuita.
- Los ataques de fuerza bruta contra WordPress se pueden mitigar con éxito con el complemento WP Cerber. Entre otras características de seguridad, protege las interfaces XML-RPC y REST API .
- Los ataques DoS se pueden mitigar con una configuración de servidor web especial. No puede lograrlo instalando un complemento de seguridad. La mejor práctica es utilizar reglas de limitación de velocidad de NGINX. Consulte nuestras recomendaciones: Convierta su WordPress en Fort Knox .
Desafortunadamente, los ataques DDoS no se pueden mitigar a nivel de servidor web o simplemente con un complemento de WordPress. Los ataques DDoS sólo se pueden mitigar con éxito con un hardware especial instalado en la red del proveedor de hosting. Debido a su naturaleza, mitigar los ataques DDoS requiere una gran cantidad de recursos computacionales y se proporciona como un servicio de los proveedores de alojamiento mediante suscripción. A diferencia de los ataques de fuerza bruta y DoS, no hay garantía de que todos los ataques DDoS se mitiguen con éxito . Todo depende de la potencia del ataque, de la potencia del sistema anti-DDoS y del ancho de banda de red que pueda asignar el proveedor de seguridad.
Una de las soluciones más asequibles para proteger WordPress de ataques DoS distribuidos es utilizar los servicios de Cloudflare. Pero existen algunas desventajas que debes conocer y considerar. Cloudflare tendrá control sobre todos los registros DNS de su dominio, el tráfico web hacia y desde su sitio web, incluidos los datos personales de sus clientes, porque todo el tráfico y todos esos datos pasan por los servidores proxy de Cloudflare sin cifrar. Algunos usuarios informaron que Cloudflare incluso tuvo problemas con el bloqueo de los propietarios de sus sitios web. Entonces, si no tienes problemas con DDoS, como muchos de nosotros, no hay razón para agregar una capa adicional que pueda generar dolor adicional en el cuello.
Una vez que haya decidido utilizar Cloudflare, le recomendamos utilizar un complemento especial de Cloudflare para WP Cerber .
Atrapar a un intruso
Puede identificar fácilmente una fuente física de un ataque: una computadora, un dispositivo móvil, etc.
Si tiene instalado WP Cerber Security & Antispam, consulte esta publicación: Conozca más sobre la IP del intruso . Lo más decepcionante es que la gran mayoría de esos ataques no pueden atribuirse a un artista o maestro real. Cada intento de rastrearlos termina con un conjunto de computadoras personales y dispositivos móviles infectados que se utilizan como títeres, puntos intermedios para un ataque.