¿Está preocupado por la seguridad de su sitio de WordPress? ¿Recibe correo no deseado todos los días sobre intentos no autorizados de inicio de sesión? Cada día aumenta el número de usuarios de WordPress.
Si bien casi el 40% de los sitios web de todo el mundo se desarrollan en WordPress, es normal que muchos novatos se unan a la tendencia a diario. La mayoría de los nuevos usuarios de WordPress no le dan mucha importancia a la seguridad de su página de inicio de sesión de WordPress. Pero con herramientas de ataque de fuerza bruta de vanguardia, una y otra vez, es posible omitir la página de inicio de sesión de WordPress protegida con contraseña.
Los sitios de WordPress son uno de los objetivos más lucrativos para los ladrones digitales y los piratas informáticos por varias razones. Cada mes surgen cientos de casos nuevos en los que alguien perdió sus sitios de WordPress debido a estos atacantes de fuerza bruta. Si algunos piratas informáticos envían continuamente solicitudes de acceso utilizando su página de inicio de sesión, la accesibilidad de su sitio web se limita automáticamente debido a la enorme carga en el servidor. Al final, podría terminar perdiendo su precioso sitio web ante los atacantes.
Hay algunos métodos probados y comprobados en la práctica que pueden ayudar a uno a proteger su sitio de WordPress. Además, hay muchos complementos de WordPress disponibles que pueden ayudarlo a proteger aún más su sitio de WordPress. Usando tales medidas de precaución y complementos de WordPress, puede mantener su sitio a salvo de accesos no autorizados y ataques de fuerza bruta.
Utilice siempre una contraseña compleja y de cola larga
Una contraseña segura puede ser una pesadilla para un hacker de fuerza bruta. En realidad, las herramientas que utilizan estos molestos piratas informáticos tampoco son más que programas informáticos. También funcionan con una lógica preestablecida. Si usa una contraseña de cola larga que también tiene números y símbolos, tales contraseñas se vuelven lo suficientemente complicadas como para romper el algoritmo de las aplicaciones de ataque de fuerza bruta. Las contraseñas como "admin", "root", ID de correo electrónico, "1234", etc. nunca deben usarse bajo ninguna circunstancia para iniciar sesión en WordPress.
Puede utilizar el Administrador de contraseñas para crear contraseñas seguras y complejas, que se crean con letras, números y símbolos aleatorios. Pero los expertos recomiendan crear contraseñas desde dentro de su mente, ya que la mente humana es mucho más compleja que cualquier máquina. Trate de mantener su contraseña / frase de contraseña muy aleatoria, sin sentido y hágalo muy, muy difícil de recordar usando símbolos aleatorios y números múltiples. También puede utilizar varios complementos de generación de contraseñas de la tienda de WordPress.
Limite el número de intentos de inicio de sesión
Esta es una de las mejores armas contra los atacantes de fuerza bruta. De forma predeterminada, el número de intentos de inicio de sesión en WordPress es ilimitado, lo cual es una gran preocupación. Puede hacer frente a este riesgo de seguridad simplemente utilizando el complemento " Limitar intentos de inicio de sesión ". El complemento le permite limitar los intentos de inicio de sesión por dirección IP y le permite poner las direcciones IP en tiempo de espera durante un tiempo específico. Por ejemplo, puede configurar 3 intentos, después de los cuales ingresar la contraseña incorrecta pondría un tiempo de espera en la dirección IP durante 12 horas.
Con un complemento de este tipo, no es necesario implementar ningún proceso complejo de codificación o implementación. Es fácil, rápido y seguro. Si usted está buscando un inicio de sesión intentos limitador plug-in, hay muchas otras opciones para utilizar como - Límite de intentos de conexión Reloaded , WP límite de intentos de conexión , seguridad Wordfence , todo en uno WP Seguridad , WP intentos de conexión , sesión LockDown , etc. El uso de un complemento de este tipo "Limitar intentos de inicio de sesión" simplemente hace que los ataques de fuerza bruta sean obsoletos, ya que no pueden ejecutarse más de la cantidad de intentos de inicio de sesión permitidos por el complemento.
Habilite la autenticación doble con el autenticador de Google
Este proceso también se conoce como autenticación de dos factores y se considera uno de los métodos de inicio de sesión más seguros. Debe tener la aplicación de autenticación de Google y el complemento de WordPress Autenticador de Google para configurar la autenticación de dos factores. Todo funciona de tal manera que debe ingresar su nombre de usuario y contraseña cada vez, junto con un código adicional generado por la aplicación Google Authenticator. Este código adicional se genera cada vez que intenta iniciar sesión, por lo que el código es único cada vez.
Para utilizar este método, debe llevar su teléfono inteligente con usted en el momento en que inicie sesión en su administrador de WordPress. El proceso puede parecer un poco complejo al principio, pero ofrece una protección adicional muy segura contra los atacantes de inicio de sesión.
Aunque el proceso parece complejo, el proceso de configuración es muy sencillo. Primero, descargue el complemento de WordPress “Google Authenticator” e instálelo. Después de instalar el complemento, descargue e instale la “aplicación Google Authenticator” en ( aplicación Android , aplicación iOS ) su teléfono inteligente. Aquí puede simplemente usar el código de barras en la configuración del complemento de WordPress para vincular el complemento de WordPress a la aplicación de su teléfono inteligente.
Ahora, cada vez que abra la aplicación Google Authenticator, el código de inicio de sesión para su sitio de WordPress se generará una y otra vez a intervalos regulares. Puede verificar e ingresar el código en su pantalla de inicio de sesión de WordPress cada vez que intente iniciar sesión en su panel de administración de WordPress. También puede utilizar la misma "aplicación Google Authenticator" con varios sitios web y servicios para la autenticación de dos factores.
Configurar una contraseña adicional a través del archivo .htaccess
Como propietario y administrador de su sitio de WordPress, tiene acceso al archivo .htaccess. Con el acceso al archivo .htaccess, también tiene la opción de configurar una contraseña adicional. Si lo hace, puede tener una ventaja distintiva sobre los piratas informáticos brutales, ya que el inicio de sesión real de WordPress ni siquiera puede ser llamado por un usuario externo. De modo que los ataques de fuerza bruta se pueden bloquear antes de que ocurra el intento de ataque real.
De esta manera, puede ahorrar masivamente las llamadas a su sitio de WordPress y la accesibilidad del sitio web siempre está garantizada en cualquier caso. Configurar un inicio de sesión .htaccess tampoco es tan complicado como parece. Debe tener acceso a su archivo .htaccess a través de su acceso FTP, pero el problema es que depende de las ofertas de alojamiento de su proveedor de servicios de alojamiento. Si está disponible, tendrá un editor de código para editar el archivo .htaccess y un nuevo archivo .htpasswd (este archivo contiene su contraseña) para crear.
Cómo configurar la contraseña de .htaccess: así es como funciona
1. Primero, debe crear un archivo nuevo y vacío con el nombre .htpasswd en el directorio principal de su sitio web (es decir, donde ya debería estar el archivo .htaccess) a través de su acceso FTP. Recuerde, solo es posible si su proveedor de servicios le otorga dicho acceso a través de su oferta de paquete de alojamiento.
2. Si su proveedor de alojamiento ofrece Cpanel, puede utilizar fácilmente el Administrador de archivos para editar y crear archivos. Y si no es así, debe descargar el archivo .htpasswd nuevo, todavía vacío , localmente en su computadora y abrirlo y editarlo usando el Bloc de notas o el editor de código.
3. En el archivo, agregue el nombre de usuario y la contraseña que desea utilizar para proteger su sitio web en el siguiente formato:
Usuario Contraseña
Nota : Reemplace el nombre de usuario y la contraseña con el que desea configurar.
Por ejemplo , quiero agregar cuatro usuarios y sus correspondientes pueden acceder al sitio web:
usuario1: contraseña1
usuario2: contraseña2
usuario3: contraseña3
4. Guarde el archivo y cárguelo en su servidor de alojamiento.
De esta forma, podemos agregar uno o varios usuarios que pueden acceder al sitio web.
5. Ahora, edite el archivo existente. archivo htaccess . Agregue el siguiente código dado, pero recuerde determinar la ruta AuthUserFile a su. htpasswd y reemplácelo en el código.
[código]
Archivos wp-login.php
AuthType Basic
AuthName "Mi área protegida"
AuthUserFile /path/to/.htpasswd
Requerir usuario válido
/Files
[/ código]
Una vez que haya terminado de insertar el código en el archivo .htaccess y también haya terminado de cargar el nuevo archivo .htpasswd con su código al directorio principal de su sitio web, la consulta de contraseña ahora debería aparecer en el navegador y, por lo tanto, agregar una capa adicional de proteccion.
Utilice siempre un nombre de usuario único
La mayoría de los usuarios suelen pasar por alto este paso, pero recuerde que un nombre de usuario único también puede disuadir de intentos de inicio de sesión no autorizados. Mientras realizan un ataque de fuerza bruta, los atacantes no solo tienen que descifrar la contraseña, sino que también necesita descifrar el nombre de usuario de esa contraseña. Si está utilizando su correo electrónico o el nombre de su identificación de usuario, es más fácil de adivinar. Usando una herramienta de ataque de fuerza bruta, en un minuto cualquier atacante puede determinar la identificación de administrador si está usando una identificación de usuario tan simple. De esta manera, está ayudando al atacante configurando una identificación de usuario semanal deliberadamente.
Por lo tanto, nunca use su ID de correo electrónico, nombre o name123, name @ 123 , anyword123 como su identificación de usuario. Al igual que crear una contraseña de cola larga, cree una cola larga, difícil de detectar la identificación de usuario usando una combinación de letras, símbolos y números.
Asegúrese de estar utilizando un complemento de firewall para aplicaciones de sitios web
El deber de un complemento de firewall de aplicaciones de sitios web (WAF) es monitorear el tráfico del sitio web. También bloquea cualquier solicitud sospechosa o intentos de inicio de sesión de administrador desde el servidor remoto y las direcciones IP. Puede usar cualquier complemento WAF como Wordfence Security , MalCare Security , Cloudflare , Sucuri Security , Shield Security , etc.
El uso de un complemento de firewall de aplicaciones de este tipo garantiza que cualquier tráfico entrante pase primero por su proxy en la nube, donde se puede escanear y analizar. Aumenta la seguridad de los sitios web, protege su sitio de ataques de phishing, intentos de piratería informática, infección de malware, etc. Además, estos complementos bloquean con frecuencia la mayor parte del tráfico entrante no deseado y sospechoso para que no acceda a los datos del sitio.
Proteja el directorio de administración con una contraseña
Junto con el panel de administración de WordPress, también debe proteger el directorio de administración de WordPress con una contraseña segura. La mayoría de las personas no utilizan ninguna contraseña para proteger su directorio de administración, lo cual no es una buena práctica, especialmente si le preocupa la seguridad de su sitio de WordPress.
Cómo configurar la contraseña en el directorio de administración de WordPress
- 1. Primero, inicie sesión en su panel de control de cPanel del alojamiento de WordPress;
- 2. Ahora haga clic en el icono ' Directorios protegidos con contraseña ' o ' Privacidad del directorio ';
- 3. Ahora seleccione su carpeta wp-admin (normalmente ubicada en el directorio - / public_html /);
- 4. Luego haga clic en la casilla de verificación de la opción “Proteger este directorio con contraseña” y ponga un nombre para el directorio de administración.
- 5. Ahora, debe hacer clic en el botón " Guardar " y se establecerá el permiso.
- 6. Luego vaya a la página anterior y cree un nuevo usuario. Ponga un " nombre de usuario y contraseña " cuando se le solicite y "guarde" una vez que haya terminado.
- 7. A partir de ahora, para visitar el directorio de administración de WordPress de su sitio web, se le pedirá el nombre de usuario y la contraseña.
Desactivar la función de pista de inicio de sesión
Esta función no es necesaria en absoluto y de alguna manera debilita las funciones de seguridad de su sitio. Por lo tanto, asegúrese de eliminar la función de sugerencias de inicio de sesión de la página de inicio de sesión de WordPress. La mayoría de los temas de WordPress tienen esta función incorporada y habilitada automáticamente todo el tiempo. Para ocultar las sugerencias de inicio de sesión, puede copiar y pegar el siguiente código en el archivo functions.php de su tema (péguelo al final y guarde el mismo).
function no_wordpress_errors () {
return '¡Algo está mal!';
}
add_filter ('login_errors', 'no_wordpress_errors');
Mantenga siempre WordPress actualizado
Mantener sus complementos de WordPress y la versión de WordPress es muy importante tanto para la seguridad como para el rendimiento. Con las actualizaciones periódicas, mantiene su sitio compatible con los nuevos complementos y también mejora la capacidad de los complementos instalados, lo que garantiza un mejor rendimiento y una mayor seguridad.
Si está utilizando una versión anterior de WordPress, es posible que nunca sepa qué amenazas de seguridad y lagunas tiene. Los piratas informáticos pueden aprovechar estas vulnerabilidades para acabar con su obsoleto sistema de seguridad. La misma lógica también se aplica a los complementos. Debes mantener siempre actualizados todos tus complementos, especialmente los de seguridad. Las actualizaciones corrigen errores, mejoran la seguridad y, a menudo, agregan nuevas funciones y opciones, así que no se pierda las actualizaciones.
Fecha actualización el 2021-07-20. Fecha publicación el 2021-07-20. Categoria: wordpress Autor: Oscar olg Mapa del sitio Fuente: how2shout