10 excelentes consejos para proteger el área de administración de WordPress
Publicado: 2022-07-12Entre los 8000 sitios web infectados conocidos por Sucuri, el 74 % de ellos están basados en WordPress, según su Informe de Sitios Web Hackeados de 2016. Esta seria estadística en parte lo ayuda a darse cuenta de la preocupación permanente y constante por la seguridad web en su sitio.
Los terceros maliciosos utilizan varios métodos para atacar su sitio web de WordPress. El panel de administración sería el objetivo más vulnerable. Es como el centro de su sitio que contiene datos importantes. Una vez que ingresan a su panel de administración, toman acciones peligrosas que dañarán significativamente su sitio.
Para prevenir eficazmente ataques sospechosos, debe proteger al administrador de WordPress. Nuestro artículo de hoy se centra en 10 formas de reforzar su área de inicio de sesión. Antes de profundizar en los detalles, expliquemos brevemente algunas razones para proteger su inicio de sesión de administrador.
Por qué asegurar el administrador de WordPress
Cuando hablamos de exploits de sitios web, definitivamente pensamos en piratas informáticos que ingresan a su servidor utilizando sistemas informáticos sofisticados.
De hecho, el proceso es mucho más fácil que eso. Simplemente pueden obtener acceso al backend de su sitio web y controlarlo. Luego, sufre las consecuencias de perder datos, enfrentar problemas legales y gastar dinero en limpiar el sitio web.
En la mayoría de los casos, los piratas informáticos dejan malware en su sitio para robar datos de credenciales de clientes, como números de teléfono o detalles de tarjetas de crédito. Una vez que se roba esta información privada, sus clientes no solo pierden dinero y se molestan, sino que también daña la reputación de su marca.
Los compradores nunca volverán a su tienda en línea para comprar, ya que no están seguros de si su información está completamente protegida. También puede ser arrastrado a un litigio por no proteger los datos de los clientes con cuidado.
Además, limpiar el sitio web debido a un ciberataque es costoso. Tienes que contratar los servicios de mantenimiento de WordPress para lidiar con esto.
Existen múltiples técnicas que puede aplicar para proteger al administrador de WordPress. A continuación se encuentran las 10 soluciones más fáciles para cualquier propietario de un sitio, desde personas sin conocimientos técnicos hasta personas con conocimientos técnicos.
#1 Cambiar el nombre de usuario de administrador predeterminado
WordPress asigna administrador a los nombres de usuario predeterminados de todos los sitios web. Y los ciberdelincuentes lo saben, seguro. Ellos adivinan fácilmente su contraseña para iniciar sesión en su sitio. Pueden adquirirlo en algún lugar o intentar un ataque de fuerza bruta.
Debe tomar otro nombre de usuario en lugar del administrador para asegurar el inicio de sesión del administrador. Afortunadamente, cambiar nombres de usuario en WordPress es pan comido.
- Visite Usuarios en el menú de administración de su sitio web
- Elija Todos los usuarios y abra el perfil de administrador
- Actualizar el nombre de usuario y la contraseña
- Guarda tus cambios
#2 Use contraseñas seguras para proteger al administrador de WordPress
Se estima que el 8% de los sitios de WordPress pirateados se derivan de contraseñas débiles. Así que tenga en cuenta utilizar una contraseña segura para su cuenta. La contraseña debe contener al menos 8 caracteres, combinando letras, números y caracteres especiales. Puede ingresar la nueva contraseña directamente en la página Usuarios donde cambia el nombre de usuario.
Los generadores de contraseñas lo ayudan en gran medida a crear contraseñas seguras y aleatorias. Simplemente elija los elementos que desea incluir en la contraseña y deje que la herramienta se encargue del trabajo.
Sin embargo, memorizar todas sus contraseñas es doloroso ya que posee toneladas de contraseñas y cuentas para administrar. Afortunadamente, tiene a mano aplicaciones de administrador de contraseñas que lo ayudan a almacenar sus contraseñas de manera segura sin preocuparse de que lo pirateen.
#3 Crear una URL de inicio de sesión personalizada
Además del nombre de usuario, WordPress también le proporciona un enlace de inicio de sesión predeterminado al agregar /wp-login.php al dominio del sitio web. Por ejemplo, www.example.com/wp-login.php . Si mantiene tanto la URL de inicio de sesión como el nombre de usuario predeterminados, los piratas informáticos están obteniendo acceso a la mitad del administrador de su sitio.
Aunque puede crear una URL de inicio de sesión de administrador personalizada editando el archivo wp-login.php, le recomendamos que utilice un complemento. No tiene que tocar el servidor ni realizar cambios en los archivos y carpetas que pueden destruir el sitio web.
Tenga en cuenta WPS Hide Login al elegir un complemento para personalizar el enlace de inicio de sesión de WordPress. El complemento se gana la confianza de más de 1 millón de usuarios en todo el mundo y demuestra ser la solución más popular en este nicho hasta el momento.
Siga los 4 pasos a continuación para comenzar con el complemento.
- Instale y active WPS Hide Login en su sitio
- Dirígete a Configuración en el menú de administración
- Seleccione WPS Ocultar inicio de sesión
- Ingrese el nuevo enlace de inicio de sesión en el cuadro URL de inicio de sesión
Recuerda guardar tus cambios. Una vez hecho esto, solo los usuarios con el nuevo enlace de inicio de sesión y los detalles de cuenta correctos pueden acceder a su página de administración.
#4 Proteger con contraseña la carpeta wp-admin
La carpeta wp-admin consta de archivos administrativos vitales, ubicados en el directorio raíz. Puede crear una capa de seguridad adicional para su administrador al proteger con contraseña esta carpeta wp-admin.
- Inicie sesión en su hosting cPannel o conéctese con un cliente FTP
- Pulse Proteger directorios con contraseña o Privacidad de directorios
- Busque la carpeta wp-admin en el directorio /public_html/
- Habilite la opción Proteger con contraseña este directorio
- Proporcione un nombre de usuario y una contraseña
- Haga clic en Guardar
Esto es lo que los usuarios ven cada vez que intentan obtener su página de administración de WordPress. Deben ingresar el nombre de usuario y la contraseña correctos para pasar la primera capa de autenticación antes de enviar los datos de credenciales de administrador.
#5 Restablecer contraseñas para todos los usuarios
Otra forma de proteger al administrador de WordPress consiste en obligar a todos los usuarios a restablecer sus contraseñas, especialmente en sitios web multiusuario. Para lograr esto rápidamente, necesita la ayuda del complemento Restablecimiento de contraseña de emergencia.
Tras la activación, permitirá a los administradores restablecer contraseñas y enviarles por correo electrónico el enlace de restablecimiento automáticamente con solo un clic. Tome los siguientes pasos:
- Instale el complemento de restablecimiento de contraseña de emergencia
- Vaya a Usuarios → Restablecimiento de contraseña de emergencia
- Presione el botón Restablecer todas las contraseñas
¡Eso es todo!
#6 Limite los intentos de inicio de sesión
WordPress permite a los usuarios ingresar la información de inicio de sesión tantas veces como deseen hasta que obtengan acceso con éxito a su área de administración. Aún así, esta opción les da a los piratas informáticos la oportunidad de atacar su sitio por fuerza bruta.
Estos usuarios mal intencionados suelen tener una biblioteca de contraseñas de las más comunes. Los piratas informáticos utilizarán un script automatizado y revisarán miles de contraseñas potenciales.
Para reducir el riesgo, puede limitar los intentos de inicio de sesión con el complemento Wordfence Security. Es más que un complemento para prevenir ataques de fuerza bruta, que está a cargo de la seguridad del sitio y el firewall de WordPress. Discutiremos la utilidad de este complemento en las próximas secciones.
- Instale y active el complemento Wordfence Security para su sitio
- Abra Wordfence y seleccione Todas las opciones
- Active Habilitar protección de fuerza bruta en Opciones de firewall
- Ingrese el tiempo que los usuarios pueden enviar información de inicio de sesión fallida
Si pueden iniciar sesión aunque hayan alcanzado el número máximo de intentos, el complemento bloqueará su dirección IP de inmediato.
#7 Restringir el acceso de inicio de sesión por direcciones IP
Este método es ventajoso en caso de que tenga algunos usuarios que necesiten acceso a su área de administración. Requiere que edite el archivo .htaccess a través del Protocolo de transferencia de archivos (FTP) o el administrador de archivos de su servidor web.
Agregue el siguiente código al archivo:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Control de acceso de administrador de WordPress" Tipo de autenticación básico <LÍMITE OBTENER> orden denegar, permitir Negar todo # dirección IP de la lista blanca permitir desde xx.xx.xx.xxx </LIMITE>
Reemplace xx.xx.xx.xxx con la dirección IP real.
Modificar el archivo .htaccess es muy peligroso. Recuerde crear una copia de seguridad de su sitio antes de editar el archivo .htaccess. De esa manera, puede revertir la versión anterior si le sucede algo malo al sitio.
#8 Configure la autenticación de dos factores
La autenticación de dos factores (2FA) le permite agregar una capa de seguridad adicional a su administrador de WordPress. Por ejemplo, ingrese el código de seguridad enviado a su dispositivo móvil o use su identificación facial.
Si ha instalado el complemento de Wordfence que presentamos anteriormente, puede utilizar esta función sin la ayuda de ninguna solución adicional.
- Visite Wordfence y abra la sección Seguridad de inicio de sesión
- Escanee los códigos QR con su aplicación de autenticación
#9 Deshabilitar sugerencias de inicio de sesión
Cuando los usuarios no pueden iniciar sesión en el panel de administración, WordPress mostrará un mensaje de error informándoles si su nombre de usuario o contraseña son incorrectos. Esto brinda a los usuarios sugerencias sobre la credencial de inicio de sesión.
Tome un ejemplo de piratas informáticos que utilizan un nombre de usuario y una contraseña aleatorios para acceder a la página de administración. Si conocen uno de los detalles, solo necesitan buscar el otro correcto.
Puede detener esto editando el archivo functions.php de su tema. Dirígete a Apariencia → Editor de temas → functions.php en el backend de WordPress. Luego, ingrese el siguiente código en su archivo functions.php.
función no_wordpress_errors(){ volver '¡Algo anda mal!'; } add_filter('login_errors', 'no_wordpress_errors');
# 10 Use un firewall de aplicaciones de sitios web
Un firewall nunca es una solución antigua para proteger su administrador de WordPress. Supervisa el tráfico del sitio y bloquea las solicitudes maliciosas para que no accedan a su sitio. Algunos complementos populares que puede probar incluyen Wordfence, iThemes Security y Sucuri.
No solo mantienen alejados a los usuarios sospechosos, sino que estos complementos también buscan malware. Hay un montón de opciones de protección de inicio de sesión para seleccionar, desde prevención de ataques de fuerza bruta, autenticación de dos factores, CAPTCHA, etc.
Es hora de proteger al administrador de WordPress
Las consecuencias de los exploits de WordPress son devastadoras. Perderá clientes, reputación de marca y dinero debido a los delitos cibernéticos de inicio de sesión de administrador.
Siempre es mejor prevenir que curar. Ha repasado los 10 mejores consejos para proteger su área de administración de WordPress con y sin complementos.
Se necesitan unos pocos clics para cambiar el nombre de usuario y la contraseña del administrador. Puede instalar complementos para generar una URL de inicio de sesión personalizada, limitar los intentos de inicio de sesión, configurar 2FA y aplicar un firewall. Debe usar un código para proteger con contraseña la carpeta wp-admin, restringir el inicio de sesión por direcciones IP y deshabilitar las sugerencias de inicio de sesión.
¿Cuántos de estos métodos has aplicado? Comparta con nosotros en la sección de comentarios a continuación.