Security Blog
Security Blog
Posted By Gregory

Fuerza bruta, DoS y DDoS – ¿cuál es la diferencia?

¿Cómo son peligrosos? ¿Qué herramientas o complementos de WordPress pueden mitigarlos? ¿Qué posibilidades hay de que podamos hacer eso con éxito? Aclaremos las cosas con estas actividades de intrusos que vemos todos los días en cualquier sitio web.


English version: Brute-force, DoS, and DDoS attacks – what’s the difference?


Un ataque de fuerza bruta es un método de prueba y error utilizado por los piratas informáticos para adivinar credenciales o datos cifrados, como el inicio de sesión, las contraseñas o las claves de cifrado, mediante un esfuerzo exhaustivo (con el uso de la fuerza bruta) con la esperanza de adivinarlo correctamente. El ataque de fuerza bruta sigue siendo uno de los métodos de descifrado de contraseñas más populares para hackear WordPress hoy.

Un ataque de denegación de servicio (DoS) es un ataque destinado a cerrar un sitio web, por lo que es inaccesible para sus usuarios previstos al inundarlo con tráfico inútil (solicitudes de correo no deseado). A veces, los ataques DoS se utilizan para destruir los sistemas de defensa informática. Algunas funcionalidades de WordPress pueden ser explotadas como un vector de ataque. Por ejemplo, CVE-2018-6389 .

Un ataque DDoS es la abreviatura de ataque DoS distribuido. Dichos ataques se realizan inundando el sitio web de destino con tráfico inútil desde múltiples dispositivos o una red de bots. Una botnet es una red de computadoras infectadas con software malicioso (malware) sin el conocimiento del usuario, organizadas en un grupo y controladas por delincuentes cibernéticos. Las botnets modernas pueden contener decenas de miles de dispositivos móviles o computadoras de escritorio comprometidos. Debido a su naturaleza, los ataques DDoS modernos son costosos y requieren muchos recursos. Por lo general, eso significa que tienes un enemigo fuerte que tiene suficiente dinero gris para ordenar este tipo de ataque. Muy a menudo, los ataques DDoS que realizan son ordenados por competidores sin escrúpulos u opositores políticos.

Entonces, ¿cuál es la diferencia?

Técnicamente se ven diferentes, pero desde el punto de vista del propietario de un sitio web, la diferencia está en el objetivo de un ataque .

Ambos, DoS y DDoS tienen el mismo objetivo. Y este objetivo es empujar hacia abajo a la víctima , el sitio web o servidor web objetivo y obtener un beneficio de eso. A veces, el ataque DDoS se realiza para destruir el sistema de defensa y obtener acceso administrativo.

El objetivo de los ataques de fuerza bruta es obtener acceso de administrador al sitio web para realizar alguna actividad ilegal que el intruso / pirata informático quiera hacer. Sus actividades típicas son:

  • Robo de datos personales de una base de datos de clientes
  • Redirigir a los usuarios legítimos a sitios web falsos para robar sus datos personales allí
  • Instalar puertas traseras y troyanos en el servidor web para usarlos a largo plazo
  • Instalación de software malicioso para infectar computadoras de administración y clientes
  • Agregar enlaces a sitios web infectados al contenido del sitio web

¿Estos ataques realmente afectan a WordPress?

De forma predeterminada, WordPress permite intentos de inicio de sesión ilimitados a través del formulario de inicio de sesión, XML-RPC o mediante el envío de cookies de autenticación especiales. Esto permite que las contraseñas se descifren con relativa facilidad mediante el ataque de fuerza bruta mencionado anteriormente.

Cómo proteger WordPress y mitigar estos ataques.

Los ataques de fuerza bruta y DoS se pueden mitigar con éxito con el software de seguridad instalado en un sitio web. En ambos casos, no es necesario ser un nerd y puede obtener esa protección de forma gratuita.

  1. Los ataques de fuerza bruta contra WordPress se pueden mitigar con éxito con el complemento gratuito WP Cerber. Entre otras características de seguridad, tiene protección para interfaces XML-RPC y REST API.
  2. Los ataques DoS se pueden mitigar con una configuración de servidor web especial. No puedes lograr eso instalando un complemento de seguridad. La mejor práctica es usar las reglas de limitación de velocidad de NGINX. Echa un vistazo a nuestras recomendaciones: Convierte tu WordPress en Fort Knox .

Desafortunadamente, los ataques DDoS no se pueden mitigar a nivel de servidor web o simplemente con algún complemento de WordPress. Los ataques DDoS se pueden mitigar con éxito solo con un hardware especial instalado en la red del proveedor de alojamiento. Debido a que la mitigación de los ataques DDoS implica una gran cantidad de recursos, cuesta dinero y se proporciona como un servicio de proveedores de alojamiento en forma de suscripción. A diferencia de los ataques de fuerza bruta y DoS, no hay garantía de que todos los ataques DDoS se mitiguen con éxito . Todo depende de qué tan poderoso sea el ataque y qué tan poderoso es el sistema anti-DDoS proporcionado por el proveedor de alojamiento y qué cantidad de proveedor de alojamiento tiene el ancho de banda de la red.

Una de las soluciones más asequibles para proteger WordPress de los ataques DDoS es usar el servicio Cloudflare. Pero hay algunas desventajas menores. Esos tipos tendrán control sobre todos sus registros DNS, el tráfico web entrante y saliente hacia y desde su sitio web porque todo el tráfico pasa a través de los servidores Cloudflare. Algunos usuarios informaron que Cloudflare incluso tuvo problemas con el bloqueo de los propietarios de sus sitios web. Por lo tanto, si no tiene problemas con DDoS, como muchos de nosotros, no hay razón para agregar una capa adicional que pueda generar dolor adicional en el cuello.

Ponerse al día con un intruso

WordPress IP address information

Cerber shows additional WHOIS information about the intruder IP address in the WordPress dashboard

Puede identificar fácilmente la fuente física de un ataque: una computadora, un dispositivo móvil, etc.

Si tiene instalado WP Cerber Security & Antispam, consulte esta publicación: conozca más sobre la IP del intruso . Lo más decepcionante es que la gran mayoría de esos ataques no se pueden rastrear hasta un ejecutante real o un maestro. Cada intento de rastrearlos de nuevo termina con un conjunto de PC o dispositivos móviles infectados que se utilizan como títeres, puntos intermedios para un ataque.

Tal vez, un día, no haya un acceso anónimo a Internet y cualquier persona en el mundo será responsable de todo el tráfico saliente de sus dispositivos conectados a Internet, pero por el momento, todos los sitios web están bajo la presión de la actividad de los piratas informáticos. .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.