WordPress attack protection CAPTCHA

Y ahora qué sucede? Acabo de recibir un correo de un cliente porque tiene problema para ingresar a su blog. Me dirijo a la página, se despliega sin problema, pero cuando intento acceder, entonces aparece una ventana que jamás había visto:

Wordpress attack protection captcha

Obviamente, lo primero que vino a mi mente fue, “¡crackearon el sitio!”, y por ende decidí no ingresar nada en la ventana sin antes averiguar cómo y de dónde había surgido.

Dadas las circunstancias, realmente me sorprendió mucho que Google sólo regresara seis resultados después de buscar “WordPress attack protection CAPTCHA”. Según parece, todas las instalaciones de WordPress estuvieron bajo un brutal ataque coordinado. La Red de Entrega de Contenido de CloudFlare reportó que en tan sólo una hora había bloqueado 60 millones de solicitudes de acceso hechas contra sus clientes de WordPress.

El ataque fue realizado por una red de robots virtuales (botnets) contra el usuario “admin” de las cuentas, lo cual es lógico, ya que así tienen recorrida la mitad del camino, es decir, sólo deben preocuparse por encontrar la contraseña.

Ante esta situación, los proveedores de servicios de alojamiento implementaron un script para desplegar una ventana de autenticación e impedir el acceso a la página de ingreso de WordPress hasta haber ingresado el nombre de usuario indicado y de haber colocado el resultado de la operación matemática como contraseña:

http://misitio.com solicitó un nombre de usuario y una contraseña. El sitio dice: “WordPress attack protection CAPTCHA. Enter username: xxxxxx Password: The result of math 1+1”

No obstante podría parecer irrelevante querer acceder la cuenta de administrador de un blog, en realidad no lo es tanto. Por un lado podrían instalar plugins o extensiones para dañar la instalación o intentar dañar otras. Por otro lado, y más grave aun, dado que mucha gente suele utilizar la misma contraseña para todos sus sitios, el poder ingresar al blog podría ser la puerta para entonces acceder al servidor mismo e instalar más bots para ampliar la red e incrementar la fuerza del ataque.

Cómo proteger tu blog?

  1. Nunca utilices el nombre de usuario admin para una cuenta con privilegios de alto nivel (de administrador), ni en WordPress ni en ninguna otra aplicación. Si actualmente tienes configurado tu blog con “admin” como la cuenta del administrador, entonces corrige esta situación por utilizar un nombre diferente.
  2. Utiliza contraseñas seguras, es decir, de más de 10 caracteres y que incluyan letras minúsculas, mayúsculas, dígitos y caracteres especiales; por ejemplo !:=,%().
  3. Cuando el sistema o aplicación lo permita, más que emplear claves seguras (passwords) mejor utiliza frases seguras (passphrases).
  4. Nunca utilices la misma contraseña en más de un sitio.

Y ya que se toca el tema de las contraseñas, considero que la siguiente página (en inglés) pudiera ser de interés y utilidad para entender un poco más qué hace que una contraseña sea fuerte o débil: www.grc.com/haystack.htm