logo-manteniment-WP-W
Hablemos

Com protegir WordPress contra atacs de força bruta

Entradeta

Els atacs de força bruta són un dels intents de hackeig més comuns a WordPress. Els hackers utilitzen programes automàtics que proven milers de combinacions de noms d’usuari i contrasenyes fins que troben l’encertada. Tot i que pugui semblar un atac bàsic, és sorprenentment efectiu si no tens mesures de protecció. En aquest article veuràs què són exactament aquests atacs, com detectar-los i, sobretot, com protegir la teva web perquè no en siguis víctima.

Resum ràpid — Accions per protegir-te

  • Canvia l’usuari predeterminat “admin”
  • Utilitza contrasenyes llargues i úniques
  • Activa l’autenticació en dos passos (2FA)
  • Limita intents d’inici de sessió
  • Instal·la un plugin de seguretat amb tallafocs
  • Bloqueja l’accés al fitxer wp-login.php i al directori wp-admin

1. Què és un atac de força bruta

Un atac de força bruta és un intent automàtic d’accedir a un compte provant combinacions de contrasenya fins que es troba la correcta. Els hackers utilitzen llistes amb milions de contrasenyes filtrades i eines capaces de provar-ne centenars per minut.

A WordPress, l’objectiu principal és l’àrea d’inici de sessió (wp-login.php). Si aconsegueixen entrar, poden controlar completament la web, injectar codi maliciós, enviar spam o robar dades dels usuaris.

2. Per què WordPress és un objectiu freqüent

  • Popularitat: WordPress alimenta més del 40% de totes les webs.
  • Usuari predeterminat “admin”: encara hi ha moltes webs que el fan servir.
  • Contrasenyes febles: molts usuaris utilitzen claus senzilles com “123456” o “wordpress”.
  • Plugins i temes vulnerables: poden donar pistes o punts d’accés alternatius.

Els bots que executen aquests atacs no busquen una web concreta: escanegen milers de dominis alhora i ataquen qualsevol WordPress exposat.

3. Conseqüències d’un atac amb èxit

Si un hacker aconsegueix entrar al teu WordPress, pot:

  • Instal·lar codi maliciós per enviar spam o fer phishing.
  • Robar dades d’usuaris o clients (perillós en botigues online).
  • Modificar contingut per incloure enllaços fraudulents.
  • Fer que la teva web acabi en llistes negres de Google i navegadors.
  • Saturar el servidor i fer caure el web.

A més, netejar un hackeig acostuma a ser més car i lent que prevenir-lo.

4. Com detectar que estàs patint un atac de força bruta

Els atacs de força bruta es poden detectar amb alguns símptomes clars:

  • Augment sobtat del consum de CPU i memòria al servidor.
  • Logs d’errors plens de peticions d’inici de sessió fallides.
  • Notificacions d’intents d’accés sospitosos a WordPress.
  • El web es torna més lent sense motiu aparent.
  • Bloquejos temporals d’accés a la teva pròpia web.

Un plugin de seguretat et pot avisar automàticament quan això passa.

5. Com protegir-te de manera efectiva

Canvia l’usuari “admin”

Mai facis servir l’usuari per defecte. Crea un nou administrador amb un nom únic i elimina el “admin”.

Utilitza contrasenyes fortes

Oblida’t de les claus curtes. Una contrasenya segura hauria de tenir més de 12 caràcters i combinar lletres, números i símbols.

Autenticació en dos passos (2FA)

Amb la 2FA, encara que algú endevini la contrasenya, necessitarà un codi addicional generat al teu mòbil. Plugins com Wordfence o Google Authenticator permeten activar-ho fàcilment.

Limita intents d’inici de sessió

Amb plugins com Limit Login Attempts Reloaded pots bloquejar un usuari després de diversos intents fallits. Això redueix moltíssim l’eficàcia dels atacs.

Instal·la un plugin de seguretat

Eines com Wordfence, iThemes Security o Sucuri bloquegen bots, registren intents sospitosos i afegeixen capes de protecció extra.

Protegeix wp-login.php i wp-admin

  • Canvia l’URL d’accés amb plugins com WPS Hide Login.
  • Limita l’accés al directori wp-admin per IP si només accedeixes des de llocs concrets.
  • Activa verificació CAPTCHA a l’inici de sessió.

6. Bones pràctiques a llarg termini

  • Mantén sempre WordPress, plugins i temes actualitzats.
  • Fes còpies de seguretat regulars i guarda-les fora del servidor.
  • Revisa periòdicament els usuaris amb permisos d’administrador.
  • Fes servir un hosting segur i especialitzat en WordPress.
  • Monitora l’activitat del web amb plugins o serveis externs.

Cas real

Un portal de notícies local va començar a patir caigudes constants del servidor. Revisant els logs es va veure que rebia més de 10.000 intents d’inici de sessió fallits en un sol dia. La solució va ser canviar l’URL de wp-login.php, limitar intents i activar la 2FA. Des de llavors, no han tornat a patir saturacions ni intents d’accés massius.

Preguntes freqüents

Es poden evitar completament els atacs de força bruta?
No, però es poden bloquejar gairebé tots abans que tinguin èxit.

És suficient amb instal·lar un plugin de seguretat?
Ajuda molt, però la clau és combinar-ho amb bones pràctiques (contrasenyes, actualitzacions, 2FA).

Com sé si ja han entrat a la meva web?
Si veus usuaris desconeguts, fitxers estranys o redireccions sospitoses, probablement ja han aconseguit accés.

Punts clau

Els atacs de força bruta són inevitables, però no han de ser una amenaça real si configures bé la seguretat del teu WordPress. Amb mesures senzilles com canviar l’usuari predeterminat, utilitzar contrasenyes fortes, activar la 2FA i instal·lar un plugin de seguretat, la majoria d’aquests intents queden neutralitzats. I si vols oblidar-te’n per complet, pots comptar amb el nostre servei de manteniment WordPress perquè ens encarreguem de protegir la teva web 24/7.

Et pot interessar...

Oscar Botella

Consultor SEO, especialista en WordPress i gerent de l’agència SEO Market.

Articles destacats

Urgència amb la teva web WordPress?

Omple el formulari i un tècnic es posarà en contacte amb tu el més aviat possible.

Informació sobre protecció de dades

El responsable del tractament és Òscar Botella Mejias. Les dades seran utilitzades únicament per gestionar la teva sol·licitud de suport tècnic i manteniment web. Pots exercir els teus drets d’accés, rectificació i supressió, així com altres drets, segons s’indica a la nostra Política de privacitat.

*Resposta prioritària. Recorda: si no recuperem la teva web, no pagues res.