¿Cómo proteger la página de inicio de sesión de WordPress? (con vídeo)

Publicado: 2019-11-14
WordPress login page

Última actualización - 8 de julio de 2021

La seguridad del sitio web es una de las preocupaciones comunes del propietario de un sitio de WordPress. Aunque WordPress es una plataforma segura, los sitios a menudo están sujetos a muchos intentos de piratería. Generalmente, los expertos de WordPress aconsejan usar una solución de seguridad para tener cuidado. Afortunadamente, hay varias soluciones de seguridad disponibles en el ecosistema de WordPress para ayudarlo a proteger su sitio web. Y hay varias estrategias que puede adoptar para mantener su sitio seguro contra malware y atacantes. Lo mejor es seguir estas prácticas para asegurarse de que su sitio no sea vulnerable a los ataques. En este artículo, discutiremos algunas estrategias para proteger su página de inicio de sesión de WordPress.

Utilice un nombre de usuario y una contraseña seguros

Debe tener un nombre de usuario y una contraseña seguros para su sitio de WordPress. Esto lo ayudará a proteger su sitio de ataques de fuerza bruta. Los ataques de fuerza bruta son casos en los que los piratas informáticos intentan violar el inicio de sesión de su sitio probando sin descanso diferentes combinaciones de nombre de usuario y contraseñas. Tener un nombre de usuario diferente al predeterminado "admin" es especialmente importante en este caso. Si mantiene admin como su nombre de usuario, los piratas informáticos no tendrán problemas para adivinar su nombre de usuario. Uno de los primeros pasos que puede tomar para asegurar su página de inicio de sesión de WordPress será cambiar el nombre de usuario de administrador a otra cosa.

Página de inicio de sesión de WordPress
Uno de los primeros pasos para obtener una página de inicio de sesión segura de WordPress es utilizar un nombre de usuario y una contraseña seguros.

Ahora, será de conocimiento común que debe usar una contraseña segura. WordPress, por defecto, genera contraseñas seguras aunque puedes optar por una más débil. Los expertos desaconsejan encarecidamente elegir una contraseña débil. Para esto, puede usar uno de los populares complementos de seguridad que exigirán el uso de una contraseña segura. Si tiene muchos usuarios externos, este podría ser un buen enfoque para hacer que su sitio sea más seguro.

Limite la cantidad de usuarios que agrega

Si permite que otros usuarios inicien sesión en el backend de su sitio, debe tener cuidado. El sitio se vuelve más vulnerable cuando se permite el acceso de administrador a varios usuarios en su sitio. Así que lo sensato será evitar esto a menos que sea extremadamente necesario. Si su sitio permite contenido generado por el usuario, puede crear roles de usuario y limitar las capacidades de cada rol de usuario de acuerdo con sus requisitos específicos.

Obtenga más información sobre los roles de usuario de WordPress y cómo puede personalizar las capacidades de los usuarios.

Limite los intentos de inicio de sesión

Una de las principales estrategias adoptadas por los piratas informáticos son los intentos de inicio de sesión de fuerza bruta. Para que esto tenga éxito, tendrán que intentar iniciar sesión en su sitio varias veces. Al limitar el número de intentos de inicio de sesión, puede evitar esta opción. Hay herramientas disponibles en el ecosistema de WordPress que te ayudarán a limitar los intentos de inicio de sesión en tu sitio. Discutiremos algunas de las opciones de seguridad populares que puede usar más adelante en este artículo.

Deshabilitar sugerencias de inicio de sesión

Otro aspecto en el que puede concentrarse para hacer que su página de inicio de sesión de WordPress sea más segura sería deshabilitar las sugerencias de inicio de sesión que ofrece WordPress. Básicamente, cuando ingresa una contraseña o nombre de usuario incorrecto, WordPress proporciona un indicador claro sobre qué credencial es incorrecta. Por ejemplo, mostrará claramente una advertencia que muestra cuál es correcto y cuál es incorrecto. Esto ayudará a los atacantes a saber que han adivinado correctamente el nombre de usuario o la contraseña.

Puede usar el fragmento de código a continuación para deshabilitar estas sugerencias de inicio de sesión. Simplemente pegue el código en el archivo functions.php de su tema.
function no_wordpress_errors(){
return 'You have entered the wrong credentials!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

Esto mostrará un mensaje de error genérico en lugar de un mensaje específico que ayude a los atacantes.

Personalizar URL de inicio de sesión

En otro artículo, hemos discutido cómo acceder a la página de inicio de sesión en su navegador. Ahora, este es el método predeterminado para acceder a la página de inicio de sesión, que es probablemente como también lo ven los piratas informáticos. Puede ocultar la página de inicio de sesión y hacer que sea menos obvio encontrarla para evitar que los piratas informáticos incluso intenten violar su muro de seguridad.

Hay formas de proteger la página de inicio de sesión y el directorio wp-admin para que su sitio sea más seguro. Puede usar el complemento WPS Hide Login para cambiar la página de URL de forma segura. Básicamente, solo interrumpe las solicitudes de la página y lo ayuda a mostrar una URL personalizada para iniciar sesión. Solo los usuarios de su sitio a los que proporcione esta URL podrán acceder a la página. Simplemente puede desactivar el complemento para revertir el sitio a la página de inicio de sesión predeterminada.

Página de inicio de sesión de WordPress
El complemento WPS Hide Login puede ayudarlo a ocultar la página de inicio de sesión predeterminada de WordPress y personalizar una nueva.

Proteger el directorio de administración de WordPress

Su sitio de WordPress está básicamente protegido por la contraseña que utiliza. Según los expertos, puede agregar una opción de protección adicional protegiendo con contraseña el directorio de administración de WordPress. Puede hacerlo manualmente iniciando sesión en el cPanel de su servicio de alojamiento. Aquí podrá encontrar el directorio wp-admin, al que puede proteger con contraseña y crear usuarios que puedan acceder. También puede hacer esto manualmente creando un archivo .htpasswds también.

Obtenga un certificado SSL

SSL o Secure Socket Layer crea una opción de seguridad adicional para los sitios web. Encripta la comunicación entre el servidor y el navegador. Esto evitará que los piratas informáticos accedan a la información, en particular a las transacciones financieras en línea. Tener un certificado SSL para su sitio web hará que la página de inicio de sesión de WordPress también sea más segura. Puede comprar el SSL de un proveedor externo como Comodo. O incluso puede obtener un certificado SSL gratuito de Let's Encrypt. Muchos servicios de alojamiento brindan SSL compartido gratis cuando opta por uno de sus planes de alojamiento.

Puede obtener más información sobre los beneficios de obtener un certificado SSL aquí.

Autenticación de dos factores

La autenticación de dos factores agrega otro paso de inicio de sesión cuando los usuarios intentan iniciar sesión en su sitio. Básicamente, cuando un usuario intenta iniciar sesión, junto con el nombre de usuario y la contraseña, deberá ingresar un código de verificación adicional. Este código de verificación se enviará a otro dispositivo, que en su mayoría es un teléfono móvil. Solo una vez que el usuario ingrese este código de verificación, podrá ingresar a su sitio web.

Google Authenticator crea códigos de verificación de 2 pasos en el teléfono. Del mismo modo, reCAPTCHA ayudará a reducir los inicios de sesión de spam en su sitio.

Actualizar WordPress regularmente

Como propietario de un sitio de WordPress, es posible que ya haya visto actualizaciones periódicas del software de WordPress. Así es como WordPress presenta nuevas funciones y realiza actualizaciones de seguridad y correcciones de errores. Es muy importante actualizar su sitio web a la última versión de WordPress. Si no actualiza, su sitio seguirá siendo vulnerable a muchas amenazas de las que ya se ha hecho cargo. Además, con las últimas actualizaciones, también obtendrá nuevas funciones.

Si está utilizando varios complementos y configuraciones personalizadas en su sitio, asegúrese de que la nueva actualización no rompa nada. Puede tener un programa de actualización para asegurarse de que todo esté en orden. Lea nuestro artículo para comprender cómo administrar las actualizaciones de WordPress sin problemas.

Usar un complemento de seguridad

Puede tomar muchas precauciones específicas para proteger su página de inicio de sesión de WordPress. Sin embargo, también hay opciones que lo ayudarán a cuidar la seguridad de su sitio web de manera integral. En el ecosistema de WordPress, encontrará numerosas soluciones que se encargan de múltiples aspectos de la seguridad del sitio. Lo ayudarán con el monitoreo continuo del sitio, la protección contra malware, ofrecen firewalls y mucho más que fortalecen las defensas de su sitio web.

Echemos un vistazo a algunos de los importantes complementos de seguridad de WordPress que pueden ayudarlo a proteger su sitio web de WordPress:

mochila propulsora

Jetpack garantizará la protección de su sitio mediante un monitoreo continuo, copias de seguridad periódicas y una sólida protección contra cualquier intruso no deseado. Estas son algunas de las características relevantes de Jetpack:

  • Ayuda a prevenir ataques de fuerza bruta
  • Autenticación segura para su página de inicio de sesión de WordPress.
  • Escaneo de malware
  • Notifique cualquier tiempo de inactividad del sitio con prontitud.
  • Las copias de seguridad se guardan en una ubicación diferente y las opciones de restauración son fáciles.
  • Informe toda la actividad del sitio con una línea de tiempo precisa.
  • Filtro de comentarios.

valla de palabras

Wordfence es otra solución popular que ofrece protección integral para su sitio de WordPress. Encontrará muchas características útiles como se indica a continuación:

  • Firewall de aplicaciones web para bloquear el tráfico malicioso a su sitio.
  • Escáner de seguridad para verificar cualquier intento de violación.
  • Identificar contraseñas violadas y evitar que esos usuarios inicien sesión.
  • Supervise el tráfico en vivo y bloquee las amenazas percibidas.
  • Autenticación de dos factores
  • Reparación de archivo.

MalCare

Esta es una de las opciones confiables que ofrece seguridad completa de WordPress sin afectar el rendimiento de su sitio. Encontrará una opción para la eliminación instantánea de malware con este complemento. Algunas de las otras características a tener en cuenta son:

  • Escaneo y eliminación de malware
  • Cortafuegos de WordPress
  • Protección de la página de inicio de sesión de WordPress.
  • endurecimiento de la seguridad

Espero que este artículo le haya dado una comprensión básica sobre cómo proteger su página de inicio de sesión de WordPress. Déjanos un comentario si tienes una consulta o una idea para compartir.

También puede ver el siguiente video tutorial para una mejor comprensión.

Otras lecturas

  • Complementos de seguridad de WordPress
  • Errores comunes de inicio de sesión de WordPress