Una de las medidas para prevenir ataques de fuerza bruta en WordPress es protegiendo el inicio de sesión con contraseña usando HTTP Basic Authentication. Esta capa de seguridad se configura directamente en el servidor web, Apache2 por ejemplo. Este método permite proteger con contraseña el acceso a determinadas áreas de un servidor, archivos o carpetas, previamente a la ejecución de PHP. Al no ejecutar PHP, el consumo de recursos del servidor es mucho menor y el colapso es más difícil. Por esta razón es una manera más eficaz que usar un plugin.
Si en tu sitio utilizas servicios que utilizan XML-RPC, como algunos plugins como Jetpack o la aplicación móvil de WordPress quizás te interese deshabilitar únicamente los pingbacks, que son en realidad la puerta de entrada de los ataques de fuerza bruta a WordPress.
Añade la siguiente función al functions.php de tu theme:
Desde la versión 3.5, el protocolo XML-RPC viene activado por omisión en WordPress lo que hace que cualquier instalación de WordPress sea vulnerable. Para eliminar esta vulnerabilidad no queda otra que desactivar completamente el soporte XML-RPC de WordPress.
Imagina que llegas un día a tu casa y al ir a meter la llave en la cerradura del portal, un señor policía te sujeta la mano y te dice, con mucha educación, que no puedes pasar. Tú le dices que vives allí, y le enseñas la llave como prueba. Él te explica que hay una banda de ladrones rubios en el barrio y que no dejan pasar a ningún rubio como medida preventiva, por orden del propietario. Maldita ascendencia nórdica, piensas, sin acabar de creértelo. Llamas a tu casero que te confirma que él mismo he contratado a los policías. Te dice que lo siente, pero que por la seguridad de tu vivienda, no puede dejarte pasar. Una historia absurda pero real: esto es lo que les pasó hace un mes a los inquilinos de CDMon.