Seguridad de inicio de sesión de WordPress: 5 sencillos pasos para proteger su página de inicio de sesión

¿Se pregunta si debería preocuparse por la seguridad de inicio de sesión de WordPress?

WordPress es el CMS más popular del mundo porque es muy fácil crear un sitio web con él. Aunque es un CMS gratuito, hay que pagar un precio. WordPress es extremadamente predecible, lo que a veces lo convierte en un blanco fácil.

Tomemos, por ejemplo, la página de inicio de sesión.

Cada sitio web de WordPress tiene la misma página de inicio de sesión (/wp-admin.com o /wp-login.php). Combine la previsibilidad con la inclinación humana por usar credenciales débiles y la página se convierte en un objetivo atractivo para los piratas informáticos.

Los expertos en seguridad dicen que la página de inicio de sesión es la página más vulnerable de un sitio web. Todos los días, los piratas informáticos implementan bots para realizar ataques de fuerza bruta en esa página. Al averiguar sus credenciales de inicio de sesión, pueden acceder fácilmente a su CMS. Por lo tanto, debe hacer todo lo que esté a su alcance para protegerlo contra estos invitados no invitados.

En este artículo, le mostraremos cinco métodos avanzados para mejorar la seguridad de inicio de sesión de WordPress y evitar que lo pirateen.

Cómo asegurar una página de inicio de sesión de WordPress en 2022

Hay muchos consejos deficientes en el ámbito de la seguridad cibernética. La mayor parte tiene como objetivo llevar a las personas al miedo y hacer que se rindan a elecciones compulsivas. En lugar de aumentar el ruido, en este artículo le mostraremos métodos que realmente funcionan. Esos son:

Debe haber notado que no hemos incluido la aplicación de contraseñas seguras ni la instalación de certificados SSL. Eso es porque es un hecho. Esperamos que ya los estés usando. Consulte nuestras otras guías sobre cómo lograrlo.

Nota: Para llevar a cabo las medidas que mencionamos a continuación, deberá instalar uno o dos complementos. Y sabemos que incluso los mejores complementos pueden causar fallas. Así que haga una copia de seguridad de su sitio web antes de continuar.

Ahora, comencemos:

1. Cambiar la URL de la página de inicio de sesión

Como dijimos al comienzo del artículo, la página de inicio de sesión predeterminada de WordPress se ve así:

• www.website.com/wp-admin/
• www.website.com/wp-login.php/

Todo el mundo lo sabe, incluidos los piratas informáticos que diseñan bots que se dirigen a las páginas de inicio de sesión de WordPress. Y dado que el 59 % de los estadounidenses [1] usan contraseñas poco seguras, es demasiado fácil piratear un sitio web mediante la fuerza bruta en la página de inicio de sesión .

Una forma de proteger su página de inicio de sesión es cambiando la URL.

Crear una nueva URL de página de inicio de sesión personalizada es fácil. Hay una serie de complementos disponibles que le permiten hacerlo con un par de clics.

Usaremos el complemento WPS Hide Login para demostrar el proceso, pero si prefiere cualquiera de los otros complementos, continúe. Los pasos serán igualmente fáciles y rápidos.

Cómo cambiar su URL de inicio de sesión de WordPress

Instale y active WPS Hide Login. Vaya a Configuración → WPS Ocultar inicio de sesión .

Desplácese hacia abajo en la parte inferior de la página, inserte la nueva URL en la sección URL de inicio de sesión y presione Guardar cambios .

Intente iniciar sesión con la nueva URL. No olvides compartirlo con tus compañeros.

Si necesita ayuda, aquí está nuestra guía dedicada: cómo cambiar la URL de su página de inicio de sesión de WordPress.

2. Implemente la autenticación de dos factores

Debe haber encontrado la autenticación de dos factores al usar Facebook y Gmail. Los servicios generalmente envían un código único a su número de teléfono móvil registrado cada vez que intenta iniciar sesión en su cuenta. Esta medida de seguridad se implementa para asegurarse de que solo el propietario de la cuenta pueda acceder a ella. Incluso si los piratas informáticos pudieran obtener sus credenciales, no hay forma de que puedan robar el código único enviado a su número de teléfono móvil registrado.

La autenticación de dos factores también se puede aplicar a su sitio web de WordPress. Agregará una capa de seguridad a la página de inicio de sesión. Todo lo que necesita hacer es instalar cualquiera de los siguientes complementos:

• Autenticador de Google de miniOrange
• Autenticador de Google: autenticación de dos factores (2FA)
• WP 2FA de WP White Security

Configurar un complemento de autenticación de dos factores es muy fácil. Usaremos Google Authenticator de miniOrange para mostrarle el proceso de configuración.

Cómo implementar la autenticación de dos factores

Instale Google Authenticator de miniOrange en su página de inicio de sesión de WordPress. Tan pronto como active el complemento, aparecerá un widget de configuración. Elija la primera opción, es decir, Google Authenticator .

A continuación, descargue la aplicación Google Authenticator en su teléfono inteligente. Abre la aplicación y escanea el código QR .

La aplicación genera un código . Ingréselo en el widget de configuración y presione Guardar .

La seguridad de inicio de sesión de 2FA WordPress ahora está activa en su página de inicio de sesión.

3. Limite los intentos fallidos de inicio de sesión

WordPress permite a sus usuarios intentos de inicio de sesión ilimitados. Esto puede parecer inofensivo, pero para ser honesto, es una laguna de seguridad evidente.

Los intentos de inicio de sesión ilimitados permiten a los piratas realizar ataques de fuerza bruta. En este tipo de ataque, los piratas informáticos implementan bots para encontrar la combinación correcta de nombre de usuario y contraseña. Los bots fallan varias veces antes de encontrar las credenciales correctas. Una de las formas más efectivas de contrarrestar los ataques de bots es limitar los intentos de inicio de sesión.

Los complementos a continuación lo ayudarán a hacer precisamente eso:

• Límite de intentos de inicio de sesión recargados
• Límite de WPS Inicio de sesión
• Límite de intentos de inicio de sesión de WP por Arshid

Cómo limitar los intentos de inicio de sesión fallidos

Instale el complemento y luego vaya a Limitar intentos de inicio de sesión → Configuración → Aplicación local . Aquí puede establecer cuántas veces se deben permitir los intentos de inicio de sesión en su sitio web. Y por cuánto tiempo alguien permanecerá bloqueado después de dicho número de intentos de inicio de sesión.

4. Evitar el descubrimiento del nombre de usuario

Normalmente, el nombre de usuario se considera menos importante que la contraseña. Es un registro disponible públicamente, y es por eso que asumimos que debe ser de bajo valor. No es verdad.

El nombre de usuario constituye la mitad de sus credenciales. Debe estar protegido, al igual que la contraseña.

En un sitio web de WordPress, encontrará nombres de usuario que se muestran en publicaciones y archivos de autor. Afortunadamente, hay una manera de deshabilitarlos a ambos.

Cómo deshabilitar los archivos de autor

Esto se puede hacer con la ayuda de cualquier plugin de SEO. En el tutorial a continuación, estamos usando Yoast SEO para mostrarlo.

Vaya a SEO → Apariencia de búsqueda → Archivos y luego deshabilite los Archivos de autor. Pulse Guardar cambios .

Cómo cambiar el nombre para mostrar

El nombre para mostrar aparece en los artículos y comentarios publicados. De forma predeterminada, el nombre para mostrar y el nombre de usuario (el que usa para iniciar sesión) son los mismos. Para evitar que se descubra el nombre de usuario, puede cambiar el nombre para mostrar por otro.

Vaya a Usuarios → Perfil → Apodo . No puede cambiar directamente el nombre para mostrar. En su lugar, cambie el apodo. Luego seleccione el nuevo apodo del menú desplegable a continuación.

5. Cierre de sesión automático

Los cierres de sesión automáticos protegen los sitios web de los intrusos. Cuando los usuarios dejan las sesiones desatendidas, los cierres de sesión automáticos finalizan la sesión, protegiendo el sitio web.

El comportamiento predeterminado de WordPress es cerrar la sesión del usuario 48 horas después de que caduque la cookie de la sesión de inicio de sesión. Y si el usuario marcó la casilla “Recordarme”, permanecerá conectado durante 14 días. Para finalizar sesiones debido a un poco de tiempo de inactividad, debe instalar un complemento por separado.

Los complementos a continuación lo ayudan a cerrar sesión automáticamente para finalizar las sesiones de usuario inactivas:

• Cierre de sesión inactivo
• iThemes Seguridad

Cómo habilitar el cierre de sesión automático

Active el complemento y luego vaya a Configuración → Cierre de sesión inactivo → Administración básica . Configure el reloj para un tiempo de inactividad. También hay opciones para tiempos de espera basados ​​en roles. Compruébalo si quieres.

Conclusión sobre la seguridad de inicio de sesión de WordPress

A pesar de que implementó medidas para evitar que los piratas informáticos ingresen por fuerza bruta a su sitio web, los intrusos aún pueden obtener acceso a través de complementos y temas vulnerables. Por lo tanto, mantenga su sitio actualizado durante todo el día.

Para proteger aún más su sitio web, le recomendamos encarecidamente que tome todas las medidas de seguridad cubiertas en esta guía: 10 consejos clave de seguridad de WordPress.

Si tiene alguna pregunta sobre cómo manejar la seguridad de inicio de sesión de WordPress, háganoslo saber en los comentarios a continuación.