Ir al contenido principalIr al pie de página
reportedIP
Guías de plugins

12 sensores de ataque que detectan intrusiones en WordPress en tiempo real

Patrick Schlesinger
Portada de la guía del plugin ReportedIP — 12 sensores de detección de ataques para WordPress

La eficacia de la detección de ataques en WordPress depende de la calidad de las señales que analiza. ReportedIP cuenta con 12 sensores independientes que supervisan las interfaces de inicio de sesión, comentarios, REST, XML-RPC y errores 404, cada uno de ellos con un umbral ajustable y un valor predeterminado razonable.

En esta guía se enumeran los 12 sensores, los umbrales predeterminados con los que vienen de fábrica y el tipo de ataque que detiene cada uno.

¿Qué es ReportedIP ?

ReportedIP es un completo plugin de seguridad para WordPress que combina protección contra ataques de fuerza bruta, un conjunto completo de autenticación de dos factores (2FA) e inteligencia sobre amenazas de la comunidad (opcional). La capa de detección que aquí se describe es gratuita en todos los modos, incluido el modo «Local Shield», que funciona totalmente sin conexión. El conjunto completo de funciones ReportedIP se puede consultar en la página del producto.

Los 12 sensores de detección y sus valores predeterminados

Cada sensor cuenta los eventos por dirección IP dentro de una ventana móvil. Si se supera el umbral, la dirección IP pasa a la lista de bloqueados. Los valores predeterminados son deliberadamente conservadores; puedes ajustarlos al alza o a la baja en «Configuración» → «Protección».

  • Intentos fallidos de inicio de sesión: 5 fallos en 15 minutos.
  • Ataque de «spray» de contraseñas: nombres de usuario distintos desde una misma IP, 5/10 min. Los contadores están cifrados, por lo que no se almacenan nombres de usuario en texto plano.
  • Spam en los comentarios — 5 / 60 min, evaluado antes de que se active el filtro de comentarios.
  • Uso indebido de XMLRPC — 10 / 60 min, con system.multicall se ven por separado.
  • Uso indebido de contraseñas de aplicaciones: intentos de autenticación básica REST/XMLRPC que tratan de eludir la autenticación de dos factores, 5 / 15 min.
  • Límite de solicitudes de la API REST: 240 por cada 5 minutos en general; 20 por cada 5 minutos en rutas sensibles.
  • Defensa contra la enumeración de usuarios — bloques ?author=N, /wp-json/wp/v2/users y las búsquedas de oEmbed, y oculta los errores de inicio de sesión.
  • 404 / detección del escáner — 12 / 2 min, además de un bloqueo inmediato en rutas que se sabe que son defectuosas, como .env, wp-config.bak y /.git/.
  • Anomalía geográfica: un inicio de sesión desde un país en el que ese usuario nunca se ha conectado, lo que puede provocar, opcionalmente, la revocación de las cookies de dispositivos de confianza.
  • Política de contraseñas: longitud mínima, tipos de caracteres y una comprobación opcional de k-anonimato en «Have-I-Been-Pwned».
  • Ganchos de inicio de sesión de WooCommerce — Los formularios de pago y «Mi cuenta» se registran por separado de wp-login.php.
  • Puntos finales de consentimiento de banners de cookies: Real Cookie Banner, Complianz, Borlabs y CookieYes están excluidos de la lista de restricciones de velocidad REST de forma predeterminada.

¿Por qué los motores de búsqueda y los rastreadores de IA no los detectan?

Desde la versión 2.0.5, Googlebot, Bingbot, GPTBot, ClaudeBot, PerplexityBot y otros rastreadores verificados quedan excluidos de los desencadenantes de errores 404 y de ráfagas REST, por lo que un rastreo legítimo de URL obsoletas nunca hace que un bot entre en la lista de bloqueo. La excepción es intencionada: una solicitud a una ruta de trampa como /.env sigue activándose al instante, incluso si proviene de un «Googlebot» autoproclamado — esa solicitud es el indicador de ataque.

Cómo el hecho de contar se convierte en un obstáculo

Los sensores de tipo «fuerza bruta» comparten una escala de contador de fallos: 3 fallos → 30 s, 5 → 5 min, 10 → 30 min, 15 → 1 h. Tras el decimoquinto fallo, la dirección IP pasa a ser una entrada real en el blocked tabla a través del canon handle_threshold_exceeded() flujo de trabajo, que a continuación activa la escala de escalamiento progresivo y, en el modo «Comunidad», pone en cola un informe anonimizado.

Guías relacionadas

La documentación del plugin de WordPress describe detalladamente la configuración de cada sensor. Consulta las guías completas del pluginReportedIP o lee el código fuente en GitHub.

Explora ReportedIP →

Deja un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Introduce una dirección de correo electrónico válida.
Debes aceptar los términos para continuar