5 pasos para una página de inicio de sesión segura de WordPress

Artículo escrito por:
  • WordPress
  • Actualizado: Oct 17, 2019

La protección de su página de inicio de sesión no se puede lograr con ninguna técnica específica, pero ciertamente hay pasos y complementos de seguridad gratuitos Puede tomar para hacer que cualquier ataque sea menos probable que tenga éxito.

La página de inicio de sesión de su sitio es sin duda una de las páginas más vulnerables de su sitio web, así que comencemos a hacer que la página de inicio de sesión de su sitio de WordPress sea un poco más segura.

1. Use una contraseña fuerte y un nombre de usuario extraño

Brute forzar páginas de inicio de sesión es una de las formas más comunes de ataques web que su sitio web probablemente enfrentará. Si tiene una contraseña o un nombre de usuario fáciles de adivinar, es casi seguro que su sitio web no será solo un objetivo, sino también una víctima.

Datos Splash compiló una lista de contraseñas de uso frecuente para 2014.

Contraseña por rango en términos de uso.

  1. 123456
  2. contraseña
  3. 12345
  4. 12345678
  5. QWERTY
  6. 123456789
  7. 1234
  8. béisbol
  9. dragón
  10. fútbol

Si utiliza una de esas contraseñas y su sitio web recibe algún tipo de tráfico, es muy probable que su sitio web sea retirado tarde o temprano.

Utilice contraseñas seguras y nombres de usuario inusuales. Anteriormente con WordPress, tenía que comenzar con un nombre de usuario de administrador predeterminado, pero eso ya no es así. Sin embargo, la mayoría de los nuevos administradores web utilizan el nombre de usuario predeterminado y necesitan cambiar su nombre de usuario. Puedes usar Admin Renamer Extended para cambiar su nombre de usuario de administrador.

Con los complementos de seguridad, puede aplicar fácilmente contraseñas seguras a todos sus usuarios. No querría que alguien con acceso de nivel de editor use contraseñas débiles ahora, ¿verdad? Se compromete su seguridad en gran medida.

Utilice una herramienta de generador de contraseñas aleatorias disponible en línea como Generador de contraseña segura or Norton Password Generator or Ultimo pase. Todos ellos son de uso gratuito.

Si tiene dificultades para recordar sus contraseñas, puede usar Contraseña de KeePass segura or Administrador de contraseñas de Dashlane.

2. Ocultar la página de inicio de sesión y la página de administración de Wp

Un hacker necesita encontrar su página de inicio de sesión, si él o ella tiene la intención de la fuerza bruta La página de inicio de sesión para acceder. Puede evitar esto empleando lo que algunos llaman seguridad a través de la oscuridad, la idea de que ocultar su página de inicio de sesión lo protegerá, ya que el atacante no puede identificar un posible punto de entrada. Su sitio web sería el equivalente a un banco sin puerta o cualquier otro punto de acceso público.

La mayoría de los sitios web de WordPress tienen el punto de entrada de inicio de sesión en yourwebsite.com/login.php.

Intenta escribir webhostingsecretrevealed.net/login.php en la barra de direcciones de tu navegador. No funciona, ¿verdad? Porque no existe La entrada de inicio de sesión para WHSR se encuentra en una URL diferente.

Del mismo modo, puede cambiar el punto de acceso en su sitio web a otra cosa. Esencialmente nosotros cambiar la URL de la página de inicio de sesión.

Protege tu administrador

Similar a la página login.php, está el directorio wp-admin que también necesita protección. Es bastante fácil de hacer con cualquiera de los dos complementos - WPS Hide Login y Proteja a su administrador.

3. SSL

SSL o Secure Socket Layer es una capa adicional de seguridad que hace que cualquier información que envíe y reciba entre su navegador y servidor sea ilegible. Si alguien interceptara la información, no podría leerla y no tendría ningún sentido.

SSL siempre se usa para portales de transacciones financieras y siempre que se comparte información confidencial. Los sitios web almacenan una gran cantidad de información sobre los usuarios y SSL ayuda a mantener esa información segura.

De manera similar, SSL funciona en las páginas de inicio de sesión al hacer que el proceso de comunicación del navegador al servidor sea mucho más seguro.

SimpleSSl

Para bloggers individuales y pequeñas empresas, un SSL compartido y gratuito, que generalmente puede obtener de su proveedor de alojamiento, Encriptemoso CloudFlare - Es usualmente más que suficientemente bueno.

Para las empresas que procesan el pago de los clientes, es mejor que usted comprar un certificado SSL dedicado desde su servidor web o una autoridad de certificación (CA). SSL muy simple y WP Force SSL ambos lo ayudan a configurar SSL en su sitio web, una vez que haya comprado el certificado SSL.

4. Limitar el número de intentos de inicio de sesión

Esta es una técnica increíblemente sencilla para detener los ataques de fuerza bruta en su página de inicio de sesión. Un ataque de fuerza bruta funciona intentando obtener su nombre de usuario y contraseña correctamente al intentar múltiples combinaciones una y otra vez.

Si se realiza un seguimiento de la IP particular que está perpetrando el ataque, entonces puede bloquear los intentos de forzados brutos repetidos y mantener su sitio seguro. Esta es también la razón por la que los ataques DDOS globales se producen con varias direcciones IP con diferentes orígenes de ataque, para poner a los servicios de alojamiento y la seguridad del sitio web por sorpresa.

LoginLockdown

Login LockDown y Solución de seguridad de inicio de sesión ambos ofrecen excelentes soluciones para proteger las páginas de inicio de sesión de su sitio web. Realizan un seguimiento de las direcciones IP y limitan el número de intentos de inicio de sesión para proteger su sitio web.

5. Autenticación de dos factores

google Authenticator es un complemento de WordPress que funciona a través de una aplicación instalada en su Android / iPhone / Blackberry. El complemento genera un código QR que puede escanear con su dispositivo móvil o puede ingresar el código secreto manualmente.

Código de autenticación

Su inicio de sesión requerirá un código de autenticación que se genera en su dispositivo móvil para iniciar sesión. El complemento se puede utilizar usuario por usuario y no se recomienda para usuarios con menos privilegios. Dado que es muy poco probable que el hacker tenga acceso físico a su dispositivo móvil, la página de inicio de sesión de su sitio web será muy segura (suponiendo que no haya otras vulnerabilidades).

Seguridad adicional

Hemos discutido cómo ocultar / renombrar la página de inicio de sesión y el directorio wp-admin, habilitar SSL en las páginas de inicio de sesión, usar autenticación de dos factores, limitar los intentos de inicio de sesión y usar contraseñas seguras y nombres de usuario inusuales. También debe tener en cuenta que algunos servidores web imponen algunas de estas prácticas de seguridad a sus usuarios.

Si lo desea, también puede usar un complemento de seguridad completo como Seguridad iThemes or Wordfence que ofrecen muchas funciones de protección de inicio de sesión además de las medidas de seguridad generales del sitio de WordPress.

No Artículo de seguridad de WordPress está completo sin mencionar que la seguridad siempre puede verse comprometida. Planifique con anticipación y haga una copia de seguridad de su sitio web con una herramienta gratuita como Updraft Plus o un proveedor de soluciones premium como VaultPress or BackUp Buddy.

Espero que el artículo haya sido útil y haya hecho de su sitio un poco más seguro.

Acerca de Vishnu

Vishnu es un escritor independiente de noche, trabaja como analista de datos durante el día.