Cómo asegurar su administrador de WordPress (Wp-Admin)

Publicado: 2022-08-27

La seguridad de WordPress es bastante vital en el ecosistema de WordPress. Uno de los enfoques de seguridad a tomar es asegurar su Wp-admin. Esto se debe a que es probable que Wp-admin sea el primer punto que los atacantes utilizarán para intentar obtener acceso a su sitio.

Por defecto, los archivos de administración de WordPress se almacenan en la carpeta Wp-admin. A pesar de que WordPress tiene varias medidas de seguridad para proteger la carpeta, el hecho de que el administrador predeterminado de WordPress sea ampliamente conocido lo convierte en un objetivo fácil para los piratas informáticos. Por lo tanto, es importante reducir el riesgo de ataques web desencadenados desde el administrador de WordPress.

En este artículo, analizaremos algunos de los enfoques que puede utilizar para proteger su administrador de WordPress.

Tabla de contenido

Enfoques para asegurar su Wp-admin

  • Evite usar el nombre de usuario "admin" predeterminado
  • Creación de contraseñas seguras
  • Proteja con contraseña el área de Wp-admin
  • Crear una URL de inicio de sesión personalizada
  • Incorporar una autenticación/verificación de dos factores
  • Habilitar cierres de sesión automáticos
  • Limite el número de intentos de inicio de sesión
  • Implementar restricción de IP
  • Deshabilitar errores en la página de inicio de sesión
  • Uso de un complemento de seguridad
  • Actualizar WordPress a la última versión

Conclusión

Enfoques para asegurar su Wp-admin

Hay varias formas que puede utilizar para proteger el área de administración de WordPress. A continuación se muestra una lista rápida de estas prácticas de seguridad.

1. Evite usar el nombre de usuario predeterminado "admin"

En una instalación nueva de WordPress, la primera cuenta creada es la cuenta de administrador. "admin" se establece como el nombre de usuario predeterminado en dicha instalación. Esto es en realidad de conocimiento público.

Una forma en que un pirata informático puede averiguar fácilmente si "admin" es su nombre de usuario es simplemente accediendo a la URL de inicio de sesión de su sitio y probando el nombre de usuario "admin". Si "admin" es en realidad un nombre de usuario dentro del sitio, tendrán un mensaje de error de este tipo en la pantalla de inicio de sesión; “ Error: la contraseña que ingresó para el administrador de nombre de usuario es incorrecta. ¿ Perdiste tu contraseña ?

Tal mensaje de error serviría como una confirmación para el pirata informático de que existe un nombre de usuario "admin" dentro del sitio.

En esta etapa, un pirata informático ya tiene dos piezas de información con respecto a su sitio. Estos son el nombre de usuario y la URL de inicio de sesión. Todo lo que necesita el hacker es la contraseña del sitio.

En este punto, un pirata informático intentará realizar ataques simplemente ejecutando contraseñas contra ese nombre de usuario para obtener acceso al sitio. Esto se puede llevar a cabo manualmente o incluso a través de bots.

Otro método que puede usar un pirata informático es simplemente agregar la consulta "?autor=1/" a la URL para que se lea como sudominio/?autor=1/. Si tiene un nombre de usuario con el administrador del usuario, la URL devolverá publicaciones del usuario o ninguna si no hay publicaciones asociadas. A continuación se muestra una ilustración de muestra:

En cualquiera de los casos, mientras no se devuelva un error 404, esto serviría como confirmación de que seguramente existe un usuario con el nombre de usuario “admin”.

Según los escenarios anteriores, si tiene el nombre de usuario predeterminado "admin", es vital que cree una nueva cuenta de administrador desde la sección Usuarios> Agregar nuevo dentro de su panel de control de WordPress.

Una vez hecho esto, asegúrese de eliminar la cuenta de "administrador" anterior.

2. Crear contraseñas seguras

Las contraseñas seguras son esenciales para cualquier sitio de WordPress. Las contraseñas débiles, por otro lado, facilitan que los piratas informáticos obtengan acceso a su sitio de WordPress.

Algunas de las medidas de seguridad de contraseñas que puede incorporar incluyen:

  • Asegúrese de que la contraseña sea lo suficientemente larga (un mínimo de 10 caracteres)
  • La contraseña debe contener al menos caracteres alfanuméricos, espacios y caracteres especiales
  • Asegúrese de que las contraseñas se cambien o actualicen regularmente
  • Asegúrese de no reutilizar contraseñas
  • Las contraseñas no deben ser palabras de diccionario
  • Almacenar contraseñas usando un administrador de contraseñas
  • Asegúrese de que los usuarios que se registren en el sitio ingresen contraseñas seguras

Las contraseñas tampoco deben ser adivinables, ya que esto nuevamente representaría una amenaza para la seguridad.

3. Proteja con contraseña el área de Wp-admin

WordPress ofrece un nivel de seguridad para Wp-admin al permitir que los usuarios completen su nombre de usuario y contraseña para iniciar sesión. Sin embargo, esto puede no ser suficiente ya que los piratas informáticos pueden realizar ataques web al acceder a Wp-admin. Por lo tanto, es recomendable agregar una capa adicional de seguridad al Wp-admin. Esto se puede llevar a cabo a través de:

yo) cPanel

ii) .htaccess

A través de cPanel

Para proteger con contraseña el Wp-admin a través de cPanel, deberá realizar lo siguiente:

Primero acceda a su panel de control de cPanel y haga clic en "Privacidad del directorio".

A continuación, acceda a la carpeta public_html.

Dentro de él, haga clic en el botón "Editar" dentro del directorio wp-admin.

En la siguiente pantalla, habilite la opción “Proteger con contraseña este directorio” y dentro del campo “Ingrese un nombre para el directorio protegido”, ingrese un nombre de su preferencia y guarde sus cambios.

Una vez hecho esto, dé un paso atrás y cree un nuevo usuario con los detalles deseados (nombre de usuario y contraseña).

Una vez realizado lo anterior, si un usuario intenta acceder a la carpeta wp-admin, se le pedirá que complete el nombre de usuario y la contraseña recién creados antes de ser redirigido a la pantalla donde deberá completar su administrador de WordPress. cartas credenciales.

Vía .htaccess

El .htaccess es un archivo de configuración que utiliza Apache para realizar cambios en los directorios. Puede obtener más información sobre el archivo en este artículo.

En esta sección, veremos cómo usar el archivo .htaccess para restringir la carpeta wp-admin. Para ello necesitaremos crear dos archivos (.htaccess y .htpasswd) realizando lo siguiente:

i) Crear un archivo .htaccess

Usando un editor de texto de su preferencia, cree un nuevo archivo llamado .htaccess .

Agregue los siguientes contenidos al archivo:

 AuthType basic AuthName "Protected directory" AuthUserFile /home/user/public_html/mydomain.com/wp-admin/.htpasswd AuthGroupFile /dev/null require user usernamedetail

En el código anterior, deberá modificar la ruta "AuthUserFile" especificada (/home/user/public_html/mydomain.com/wp-admin/) con la ruta del directorio wp-admin, que es donde cargará el archivo .htpasswd . Además, también deberá modificar el "detalle del nombre de usuario" dentro de la línea "requerir usuario", con su nombre de usuario deseado.

ii) Crear un archivo .htpasswd

Todavía usando un editor de texto de su preferencia, cree un nuevo archivo llamado .htpasswd.

Accede al generador wtools.io.

Complete su nombre de usuario y contraseña en los campos dedicados dentro del formulario Htpasswd y haga clic en el botón "Generar".

Una vez hecho esto, copie el resultado en su archivo .htpasswd y guarde sus cambios.

iii) Subir los archivos a través de FTP

Para cargar los archivos a través de FTP, deberá utilizar una herramienta como Filezilla.

Para empezar, deberá cargar su archivo .htaccess en el directorio wp-admin de su sitio, seguido del archivo .htpasswd.

Una vez que un usuario intente acceder a /wp-admin, se le presentará una pantalla de inicio de sesión similar a la que se ve a continuación:

4. Cree una URL de inicio de sesión personalizada

Se accede a las URL de inicio de sesión de WordPress agregando wp-admin o wp-login.php? a tu dominio. El hecho de que estos sean los puntos finales de inicio de sesión predeterminados de WordPress significa que, siempre que un pirata informático tenga acceso al dominio, puede acceder fácilmente a su URL de inicio de sesión.

Si también usa el nombre de usuario "admin" predeterminado, eso significaría nuevamente que un pirata informático solo necesitaría averiguar una información, que es la "contraseña".

Por lo tanto, es importante contar con una URL de inicio de sesión personalizada para su sitio. Una forma de lograr esto es que necesitará instalar el complemento WPS Hide Login.

Al instalar el complemento, vaya a la sección Configuración > Ocultar inicio de sesión de WPS y especifique la URL de inicio de sesión deseada y una URL de redirección a la que se accederá cuando un usuario que no haya iniciado sesión intente acceder a Wp-login.php o Wp-admin.

Una vez hecho esto, guarde sus cambios.

Esto hará que sea difícil para cualquier persona que intente acceder al inicio de sesión de su sitio web, lo que reducirá las posibles tareas.

5. Incorporar una autenticación/verificación de dos factores

La autenticación de dos factores es un mecanismo de seguridad mediante el cual se proporciona una capa adicional de seguridad al agregar un requisito de autenticación adicional.

Para implementar la autenticación de dos factores dentro de su sitio de WordPress, puede usar un complemento de terceros de su preferencia. En esta guía, sugerimos usar el complemento WP 2FA: autenticación de dos factores para WordPress debido a su facilidad de uso.

Para utilizar el complemento, vaya a la sección Complementos > Agregar nuevo dentro del panel de control de WordPress y busque WP 2FA.

Instalar y activar el complemento.

Una vez hecho esto, vaya a la sección Usuarios > Perfil y haga clic en el botón "Configurar 2FA".

En la siguiente pantalla, seleccione el método 2FA que desee. En nuestro caso aquí, seleccionaremos la opción "Código de un solo uso generado con la aplicación de su elección".

Tras la selección, continúe con el siguiente paso. Aquí, seleccione la aplicación deseada para la autenticación de la lista de iconos proporcionada. Al hacer clic en un icono, se le redirigirá a la guía sobre cómo configurar la aplicación.

En nuestro caso aquí, usaremos la aplicación "Google Authenticator". Por lo tanto, primero puede comenzar instalando primero la aplicación Google Authenticator en su dispositivo deseado, como en un dispositivo móvil.

Una vez hecho esto, abra la aplicación y toque el icono flotante "+" en la parte inferior derecha de la aplicación.

A continuación, se le pedirá que escanee el código QR dentro de la captura de pantalla ilustrada arriba.

Al hacerlo, será redirigido a una pantalla con la cuenta recién agregada, junto con el código 2FA.

Luego, regrese a su sitio y complete su código 2FA, valide y guarde la configuración. A continuación se muestra una ilustración de muestra:

Una vez hecho esto, ahora tendrá un mensaje de éxito y luego podrá realizar una copia de seguridad de sus códigos.

Para obtener ilustraciones detalladas sobre cómo hacer esto, puede consultar la guía aquí.

Una vez que un usuario intente iniciar sesión en el sitio, incluso pasando por alto el primer inicio de sesión, se le presentará una capa de autenticación adicional donde se le pedirá que complete el código de autenticación.

6. Habilitar cierres de sesión automáticos

Después de iniciar sesión en un sitio web y los usuarios no cierran la ventana del navegador, las sesiones no finalizan durante bastante tiempo. Esto hace que un sitio web de este tipo sea propenso a los piratas informáticos a través del secuestro de cookies. Esta es una técnica mediante la cual un pirata informático puede comprometer una sesión robando o accediendo a las cookies dentro del navegador de un usuario.

Como mecanismo de seguridad, es importante cerrar automáticamente la sesión de los usuarios inactivos dentro del sitio web. Para lograr esto, puede usar un complemento como el complemento de cierre de sesión inactivo.

El complemento se puede instalar desde la sección Complementos > Agregar nuevo, primero buscándolo, instalándolo y activándolo.

Tras la activación del complemento, vaya a la sección Configuración > Cierre de sesión inactivo, establezca el "Tiempo de espera inactivo" y guarde los cambios.

Puede establecer el valor en cualquiera de sus preferencias, pero 5 minutos sería lo ideal.

7. Limite el número de intentos de inicio de sesión

De forma predeterminada, WordPress no ofrece un límite para la cantidad de intentos de inicio de sesión dentro de un sitio web. Esto hace posible que los piratas informáticos ejecuten secuencias de comandos que contienen detalles comunes de inicio de sesión de usuario para intentar penetrar en el sitio web. Si la cantidad de intentos es demasiado, pueden causar una sobrecarga en su servidor y, eventualmente, es probable que haya un tiempo de inactividad en el sitio web. En el caso de que esté utilizando datos de inicio de sesión comunes, también es probable que un pirata informático acceda con éxito al sitio.

Por lo tanto, es importante limitar el número de intentos de inicio de sesión dentro de un sitio web. Para esta implementación, puede usar un complemento como Login Lockdown.

Al igual que otras instalaciones de complementos en wordpress.org, puede instalar el complemento Bloqueo de inicio de sesión desde la sección Complementos > Agregar nuevo. Dentro de la sección, busca el complemento, instálalo y actívalo.

Tras la activación, vaya a Configuración > Bloqueo de inicio de sesión y especifique la configuración de bloqueo que desee, como Reintentos máximos de inicio de sesión, Restricción del período de tiempo de reintento, Duración del bloqueo y muchos más, según sus preferencias.

8. Implementar restricción de IP

La restricción de IP es un enfoque que también puede implementar para denegar el acceso a Wp-admin. Sin embargo, este método es recomendable si está utilizando una IP estática.

Para implementar la restricción de IP, deberá crear un archivo .htaccess dentro del directorio wp-admin si aún no tiene uno, y agregar el siguiente código al archivo:

 AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny, allow deny from all # Allow First IP allow from xx.xx.xx.xxx # Allow Second IP allow from xx.xx.xx.xxx # Allow Third IP allow from xx.xx.xx.xxx </LIMIT>

Una vez hecho esto, deberá reemplazar el xx.xx.xx.xxx dentro del código con las direcciones IP a las que desea otorgar acceso.

Si también cambia su red, deberá acceder a los archivos de su sitio y agregar la nueva IP para poder iniciar sesión en el sitio.

Si ahora un usuario cuya IP no tiene permiso para acceder a wp-admin intenta acceder, encontrará un mensaje de error Prohibido similar a la ilustración a continuación.

9. Deshabilitar errores en la página de inicio de sesión

WordPress de forma predeterminada generará errores en la página de inicio de sesión si un usuario intenta iniciar sesión en el sitio con credenciales incorrectas. Algunos ejemplos de estos mensajes de error son:

  • ERROR: Nombre de usuario no válido. ¿Perdiste tu contraseña?
  • ERROR: Contraseña incorrecta. ¿Perdiste tu contraseña?

Con dichos mensajes que se procesan, en realidad están brindando pistas sobre el detalle de inicio de sesión incorrecto y eso significaría que un hacker se quedaría con solo un detalle para descubrir. Por ejemplo, el segundo mensaje es una pista de que la contraseña es incorrecta. Por lo tanto, el pirata informático solo necesitaría averiguar la contraseña para acceder al sitio.

Para deshabilitar estos mensajes de error, deberá agregar el siguiente código dentro del archivo functions.php en el tema:

 function disable_error_hints(){ return ' '; } add_filter( 'login_errors', 'disable_error_hints' );

Si un usuario ahora intenta iniciar sesión en el sitio con credenciales incorrectas, no se mostrará ningún mensaje de error. A continuación se muestra una ilustración de muestra sobre esto:

10. Uso de un complemento de seguridad

Los complementos de seguridad de WordPress ayudan a reducir las amenazas de seguridad dentro de su sitio web. Algunos de estos complementos de seguridad ofrecen funciones como la adición de reCaptcha, restricción de IP y muchas más.

Por lo tanto, es importante que considere usar un complemento de seguridad para reducir la probabilidad de ataques dentro de Wp-admin. Algunos complementos de seguridad de muestra que puede considerar usar son: WordFence y Malcare.

11. Actualiza WordPress a la última versión

WordPress es un software actualizado periódicamente. Algunas de las actualizaciones incorporan correcciones de seguridad. Si, por ejemplo, hubo una versión de seguridad dirigida a Wp-admin y, en su caso, no actualiza su versión de WordPress, eso significaría que su Wp-admin es propenso a sufrir ataques.

Por lo tanto, es importante actualizar periódicamente su versión de WordPress para reducir el riesgo de vulnerabilidades en su sitio web.

Conclusión

El administrador de WordPress es un objetivo importante de los piratas informáticos para que obtengan el control total de su sitio web. Por lo tanto, es importante que proteja la sección de administración de WordPress de su sitio web.

En este artículo, hemos analizado varias formas que puede usar para proteger su administrador de WordPress. Esperamos que el artículo sea informativo y útil. Si tiene alguna pregunta o sugerencia, no dude en utilizar la sección de comentarios a continuación.