Control de contraseña comprometida o vulnerable en WordPress

Uno de los tipos de ataque más conocidos y antiguos son los denominados ataques de fuerza bruta, simplificando el procedimiento, consistiría en probar combinaciones de usuarios y contraseñas hasta lograr acertar con aquella que permite el acceso al área privada.

Aunque puede parecer difícil de llevar a cabo satisfactoriamente, hay varios factores que hacen que hoy en día siga siendo un ataque efectivo, por un lado, los usuarios siguen usando combinaciones inseguras, ya sea utilizando contraseñas de uso extendido (el famoso 123456) o débiles (palabras o combinaciones numéricas que podrían ser averiguadas con un número no muy elevado de intentos).

A esto se le une que en la red existen bases de datos expuestas en vulneraciones de servicios masivos (como por ejemplo a Facebook, hacking que dejó expuestos 500 millones de usuarios y contraseñas), que se podrían utilizar para tener correos y contraseñas que podrían estar en uso en otros servicios, y, por lo tanto, incrementar la efectividad de los ataques de fuerza bruta.

Gracias a los mecanismos de seguridad implementados, tenemos una muy alta fiabilidad a la hora de detectar cuando se está llevando a cabo un ataque de fuerza bruta, bloqueando los intentos posteriores a las IPs del atacante.

No obstante, el mejor escenario es que el propio usuario sepa que usa una contraseña vulnerable y la pueda cambiar antes de cualquier intento fructífero por parte de un atacante, por ello para mayor seguridad se ha implementado un nuevo mecanismo que detecta durante el acceso del usuario legítimo si este tiene definida una contraseña débil o comprometida (que aparezca en una base de datos como vulnerada), en caso afirmativo es redireccionado a la página de recuperación de contraseña de WordPress, que solicita a dicho usuario que cambie la contraseña por una nueva y segura.

De momento esta opción está implementada para WordPress, aunque en el futuro se aplicará al resto de aplicaciones de utilización más frecuente.