GoDaddy Ayuda

Hicimos lo mejor que pudimos para traducir esta página para ti. La página en inglés también está disponible.

Ataques comunes de WordPress

Hay dos archivos que se usan comúnmente para los ataques de fuerza bruta de WordPress: xmlrpc.php y wp-login.php. Este artículo detallará cómo encontrar pruebas de un ataque.

Ataques a xmlrpc.php

¿Qué es XML-RPC?

XML-RPC (xmlrpc.php) permite actualizaciones remotas de WordPress desde otras aplicaciones. Esto ya no es necesario con las versiones actuales de WordPress y dejarlo habilitado deja tu sitio vunerable. Es común encontrar ataques de fuerza bruta usando este archivo.

¿Cómo puedo saber si me están atacando?

Si encuentras múltiples intentos de acceso desde la misma IP en un corto período de tiempo, puede indicar un ataque.

En el siguiente ejemplo, IP 12.34.56.789 ha intentado acceder a la página xmlrpc.php varias veces a la vez ( 10/Sep/2022: 05: 12: 02 ):

acoolexample.com -ssl_log: 12.34.56.789 - -[10/Sep/2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP/1.1" 200438 " -" "Mozilla/5.0 (Windows NT 10.0 ; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/80.0.3987.149 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 05: 12: 02 -0700]" POST //xmlrpc.php HTTP/1.1 "200438"-"" Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/80.0.3987.149 Safari/537.36 "acoolexample.com- ssl_log: 12.34.56.789 - - [10/Sep/2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP/1.1" 200 438 " -" "Mozilla/5.0 (Windows NT 10.0; Win64; x64 ) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/80.0.3987.149 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 05: 12: 02 -0700]" POST // xmlrpc .php HTTP/1.1 "200438"-"" Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/80.0.3987.149 Safari/537.36 "

Ataques a wp-login.php (wp-admin).

Los atacantes a menudo usarán bots que intentarán docenas, si no cientos, de conexiones a la vez para obtener acceso a tu panel de wp-admin.

¿Cómo puedo saber si me están atacando?

Si encuentras múltiples intentos de acceso desde la misma IP en un corto período de tiempo, puede indicar un ataque. Los usuarios autorizados que tienen problemas para recordar su contraseña normalmente mostrarán unos minutos entre intentos.

En el siguiente ejemplo, la IP 12.34.56.789 ha intentado acceder a la página wp-login.php varias veces a la vez ( 10/Sep/2022: 08: 39: 15 ):

acoolexample.com -ssl_log: 12.34.56.789 - -[10/Sep/2022: 08: 39: 15 -0700] "POST /wp-login.php HTTP/1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/103.0.0.0 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 08:39:15 -0700] "POST /wp-login.php HTTP /1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/103.0.0.0 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 08:39:15 -0700] "POST /wp-login.php HTTP /1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/103.0.0.0 Safari/537.36 "

Siguientes pasos

  • Verifica la propiedad de la IP usando una búsqueda Whois. Si la IP es de China y no tienes clientes/visitantes de China, puede ser maliciosa. Si la IP pertenece a (por ejemplo) Cloudflare, es poco probable que sea maliciosa.
  • Bloquea el ataque.