Ataques de fuerza bruta, DoS y DDoS: ¿cuál es la diferencia?
Este tipo de ciberataques son bien conocidos desde los inicios de Internet. ¿Representan un riesgo de seguridad para WordPress? ¿Qué herramientas de seguridad pueden mitigarlos de manera efectiva? ¿Cuáles son las posibilidades de que podamos hacer eso con éxito?
English version: Brute-force, DoS, and DDoS attacks – what’s the difference?
Un ataque de fuerza bruta es un método de prueba y error que utilizan los piratas informáticos para adivinar las credenciales o los datos cifrados, como el inicio de sesión, las contraseñas o las claves de cifrado, mediante un esfuerzo exhaustivo (utilizando la fuerza bruta) con la esperanza de finalmente adivinar correctamente. El ataque de fuerza bruta es uno de los métodos de descifrado de contraseñas más populares para hackear WordPress.
Un ataque de denegación de servicio (DoS) es un ataque destinado a cerrar un sitio web o un servidor web, haciéndolo inaccesible para los usuarios previstos al inundarlo con tráfico inútil (solicitudes basura) desde un solo host (dirección IP). A veces, los ataques DoS se utilizan para destruir los sistemas de defensa informáticos. Algunas funciones de WordPress pueden explotarse como un vector de ataque para ataques DoS. Por ejemplo, CVE-2018-6389 .
Un ataque DDoS es la abreviatura de "ataque DoS distribuido". Dichos ataques se montan al inundar el sitio web o el servidor web objetivo con tráfico inútil de múltiples dispositivos o una red de bots. Una botnet es una red de computadoras infectadas con software malicioso (malware) sin el conocimiento del usuario, organizadas en un grupo y controladas por ciberdelincuentes. Las botnets modernas pueden contener decenas de miles de dispositivos móviles o computadoras de escritorio comprometidos. Debido a su naturaleza, los ataques DDoS modernos son costosos y requieren muchos recursos. Por lo general, eso significa que tienes un enemigo fuerte que tiene suficiente dinero gris para ordenar este tipo de ataque. Muy a menudo, los competidores sin escrúpulos o los opositores políticos ordenan los crecientes ataques DDoS.
Entonces, ¿cuál es la diferencia?
Técnicamente se ven diferentes, pero desde el punto de vista del propietario de un sitio web, la diferencia está solo en el objetivo de un ataque .
Tanto los ataques DoS como los DDoS tienen el mismo objetivo. Y este objetivo es empujar hacia abajo a la víctima , el sitio web objetivo o el servidor web y obtener ganancias de eso. A veces, el ataque DDoS se realiza para destruir un sistema de defensa y obtener acceso administrativo.
El objetivo de realizar ataques de fuerza bruta es obtener acceso de administrador al sitio web objetivo para realizar alguna actividad ilegal que el intruso/hacker quiera realizar. Sus actividades típicas son:
- Redirección de usuarios legítimos a sitios web falsos para robar sus datos personales
- Creación de páginas de phishing con formularios de pago que imitan a los legítimos en el sitio web de la víctima
- Robo de datos personales de una base de datos de clientes
- Instalación de puertas traseras y troyanos en el servidor web para usarlos como herramientas para atacar otros sitios web
- Instalación de software malicioso para infectar las computadoras del administrador y del cliente
- Alteración del contenido del sitio web confiable para insertar enlaces a sitios web de phishing
¿Cómo afectan estos ataques a WordPress?
De forma predeterminada, WordPress permite intentos de inicio de sesión ilimitados a través del formulario de inicio de sesión, REST API , XML-RPC o mediante el envío de cookies de autenticación especiales. Esto permite que las contraseñas se descifren con relativa facilidad a través del ataque de fuerza bruta mencionado anteriormente.
Cómo proteger WordPress y mitigar estos ataques
Tanto los ataques de fuerza bruta como los DoS se pueden mitigar con éxito con un software de seguridad instalado en un sitio web. En ambos casos, no necesita ser un nerd y puede obtener esa protección de forma gratuita.
- Los ataques de fuerza bruta contra WordPress pueden mitigarse con éxito mediante el complemento WP Cerber. Entre otras funciones de seguridad, protege las interfaces XML-RPC y REST API .
- Los ataques DoS se pueden mitigar con una configuración de servidor web especial. No puede lograr eso instalando un complemento de seguridad. La mejor práctica es usar las reglas de limitación de velocidad de NGINX. Consulta nuestras recomendaciones: Convierte tu WordPress en Fort Knox .
Desafortunadamente, los ataques DDoS no se pueden mitigar a nivel de servidor web o solo con un complemento de WordPress. Los ataques DDoS se pueden mitigar con éxito solo con un hardware especial instalado en la red del proveedor de alojamiento. Debido a su naturaleza, la mitigación de los ataques DDoS requiere una gran cantidad de recursos informáticos y se proporciona como un servicio de los proveedores de alojamiento mediante suscripción. A diferencia de los ataques de fuerza bruta y DoS, no hay garantía de que todos los ataques DDoS se mitiguen con éxito . Todo depende de qué tan poderoso sea el ataque, qué tan poderoso sea un sistema anti-DDoS y qué cantidad de ancho de banda de red pueda asignar el proveedor de seguridad.
Una de las soluciones más asequibles para proteger WordPress de los ataques DoS distribuidos es utilizar los servicios de Cloudflare. Pero hay algunas desventajas que debes conocer y considerar. Cloudflare tendrá control sobre todos sus registros DNS para su dominio, el tráfico web hacia y desde su sitio web, incluidos los datos personales de sus clientes, porque todo el tráfico y todos esos datos pasan por los servidores proxy de Cloudflare sin cifrar. Algunos usuarios informaron que Cloudflare incluso tuvo problemas con los propietarios bloqueados de sus sitios web. Entonces, si no tiene problemas con DDoS, como muchos de nosotros, no hay razón para agregar una capa adicional que pueda generar dolor adicional en el cuello.
Una vez que haya decidido optar por Cloudflare, le recomendamos que utilice un complemento especial de Cloudflare para WP Cerber .
Atrapar a un intruso
Cerber shows additional WHOIS information about the intruder IP address in the WordPress dashboard
Puede identificar fácilmente una fuente física de un ataque: una computadora, un dispositivo móvil, etc.
Si tiene instalado WP Cerber Security & Antispam, consulte esta publicación: Conozca más sobre la IP del intruso . Lo más decepcionante es que la gran mayoría de esos ataques no se pueden rastrear hasta un artista o maestro real. Cada intento de rastrearlos termina con un conjunto de computadoras personales y dispositivos móviles infectados que se utilizan como títeres, puntos intermedios para un ataque.
¿Limitar los intentos de inicio de sesión sin un complemento?
WP Cerber Security 2.7.2
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.