Programación Web Programación Web General Attack protection CAPTCHA en WordPress y Joomla, ¿por qué aparece?Attack protection CAPTCHA en WordPress y Joomla, ¿por qué aparece?
Protección WordPress contra Fuerza Bruta
Hace unos días, al acceder a la zona de administración de una web hecha con WordPress, apareció una ventana similar a esta:
La impresión inicial seguramente no sea buena tras leer ese "WordPress attack protection CAPTCHA" o "Joomla attack protection CAPTCHA" y lo primero que podrías pensar es que han hackeado tu sitio web o que alguien ha realizado la instalación de un plugin que tú, como administrador/a de la web, no recuerdas haber hecho.
En otro sitio web que estaba realizado con Joomla!, me pasó exactamente lo mismo y pensando que alguien había accedido a la web, descargué todos sus archivos en un disco local y la empecé a analizar de arriba a abajo, sin embargo, al loguearme en el backend de dicha web en modo local, la ventana de la imagen anterior de "Identificación requerida" no aparecía. ¿Por qué?
Si te aparece un formulario CAPTCHA como el anterior, debes leer el texto: "Enter username: qseda3", por eso introduzco ese nombre y de contraseña "the result of math 7+1", el resultado de la operación matemática 7+1 = 8.
Buscando respuestas
Antes de ir a mi solución particular, yo te recomendaría hacer una búsqueda de información inicial. Por ejemplo, a fecha de este artículo, acaba de salir una nueva versión de WordPress 3.9.2 que corrige varios errores de seguridad, este mismo mes se descubrió un fallo de seguridad en el Custom Contact Forms y hace unos meses se encontró también una vulnerabilidad en el plugin MailPoet. Los sitios con WordPress también han sido y son atacados con fuerza fruta para (el atacante) intentar acceder a las contraseñas de administrador. En el siguiente enlace sobre WordPress tienes varias medidas para intentar prevenir estos ataques.
Los administradores de los servidores también lo saben y en muchos de ellos se ha tomado la decisión de incorporar un sencillo sistema CAPTCHA de protección. En mi caso y en otros que he visto en la red, ese formulario ha sido añadido sin preguntar al usuario que ha contratado el hosting, aunque no cabe duda de que es una nueva barrera contra nuevos ataques.
Del mismo modo que existe un formulario para WordPress, también ha sido instalado en sitios realizados con Joomla! al acceder a la zona de administración. ¿Cómo puedes saber quién ha puesto ahí ese formulario? Si tienes un servidor compartido, examinando las últimas novedades de tu hosting en su sitio oficial y si no, creando finalmente un ticket de soporte.
Cómo deshabilitarlo en WordPress o en Joomla!
Esto lo tienen que explicar en la web de tu servidor. Siendo una medida de seguridad para prevenir ataques, deshabilitarlo puede poner en riesgo tu sitio y afectar a otras webs alojadas en tu mismo servidor. Sin embargo, es posible que tengas problemas de acceso y quieras eliminarlo por este motivo.
En WordPress
Desde tu directorio /public_html escribe en tu archivo .htaccess lo siguiente:
<filesmatch "wp-login.php">
Satisfy Any
</filesmatch>
En Joomla
En tu directorio administrator dentro de tu sitio Joomla!, escribe en tu archivo .htaccess lo siguiente:
Satisfy Any
