Cómo limitar los intentos de inicio de sesión de WordPress

Publicado: 2023-06-22

¿Desea limitar los intentos de inicio de sesión de WordPress para proteger el área de administración? Este tutorial le mostrará el proceso exacto para limitar los intentos de inicio de sesión.

La popularidad de WordPress como CMS también trae su vulnerabilidad a las brechas de seguridad como ataques de fuerza bruta y más. Dado que WordPress no limita los intentos de inicio de sesión de forma predeterminada, hay aún más posibilidades de que estos ataques tengan éxito y obstaculicen su sitio web.

Por eso es esencial agregar intentos de inicio de sesión en su sitio web de WordPress. Pero limitar estos intentos tiene algunos beneficios más además de evitar ataques de fuerza bruta. Entonces, veamos las ventajas de limitar los intentos de inicio de sesión en WordPress antes de pasar al proceso real.

¿Por qué limitar los intentos de inicio de sesión de WordPress?

Es esencial limitar los intentos de inicio de sesión para su sitio web de WordPress. Aquí hay algunas razones por las que es importante:

  • Evite los ataques de fuerza bruta: los ataques de fuerza bruta dependen de la prueba y error automatizados de adivinar numerosas combinaciones de nombre de usuario y contraseña. Se continúan hasta que se encuentran las credenciales correctas. Por lo tanto, puede reducir significativamente las posibilidades de éxito de estos atacantes al restringir sus intentos de inicio de sesión.
  • Proteger las cuentas de usuario: limitar los intentos de inicio de sesión es muy importante si su sitio web permite el registro de usuarios o incluye funciones de membresía. Establece una protección que ayuda a defender las cuentas de usuario del acceso no autorizado al imponer restricciones a los intentos de inicio de sesión. Esto garantiza la protección de las cuentas de usuario asociadas con su sitio de WordPress y mejora la seguridad general de su sitio web.
  • Mantenga el rendimiento del sitio web: un ataque de fuerza bruta puede agotar los recursos del servidor de su sitio web cuando el atacante intenta obtener acceso con múltiples nombres de usuario y contraseñas. Cada intento de inicio de sesión fallido requiere potencia de procesamiento, memoria y otros recursos, lo que puede provocar una disminución del rendimiento del sitio web o incluso un tiempo de inactividad. Por lo tanto, puede reducir las posibilidades de que estos intentos afecten negativamente el rendimiento de su sitio web al limitar los intentos de inicio de sesión.
  • Mejore la seguridad general: la implementación de limitaciones de intentos de inicio de sesión es una medida de seguridad proactiva que fortalece la protección de su sitio de WordPress. Agrega una capa adicional de defensa contra el acceso no autorizado, incluidas otras medidas de seguridad esenciales, como contraseñas seguras, autenticación de dos factores y actualizaciones periódicas. En conjunto, estas medidas pueden crear un sólido sistema de defensa para proteger su sitio de posibles amenazas.

En la siguiente sección, le mostraremos el proceso paso a paso para limitar los intentos de inicio de sesión de WordPress usando un complemento.

Cómo limitar los intentos de inicio de sesión de WordPress

La forma más fácil de limitar los intentos de inicio de sesión en WordPress es mediante un complemento . Los complementos aumentan las funcionalidades y características de su sitio web que no se proporcionaron en la instalación o los temas predeterminados de WordPress. Y dado que WordPress no limita los intentos de inicio de sesión de forma predeterminada, deberá usar un complemento para ello.

Muchos complementos en WordPress le permiten limitar los intentos de inicio de sesión en su sitio web. Pero usaremos el complemento Limitar intentos de inicio de sesión recargados para esta demostración.

limitar los intentos de inicio de sesión de wordpress recargados

Es el complemento más popular en WordPress diseñado para proteger su sitio web de ataques de fuerza bruta al limitar los intentos de inicio de sesión. El complemento también tiene una interfaz sencilla para configurar la cantidad máxima de reintentos de inicio de sesión y la duración de los bloqueos. Incluso le proporciona registros detallados para que pueda realizar un seguimiento de cada intento de inicio de sesión y estar al tanto de cualquier amenaza de seguridad relacionada.

Pero para comenzar a usar el complemento, debe instalarlo y activarlo.

1) Instalar y activar el complemento

Primero, vaya a Complementos> Agregar nuevo desde su panel de WordPress e ingrese las palabras clave para el complemento. Después de ver el complemento en los resultados de búsqueda, haga clic en Instalar ahora para instalar el complemento.

La instalación tomará solo unos segundos. Active el complemento tan pronto como se complete la instalación.

También puede cargar e instalar el complemento si desea usar uno que no esté incluido en el repositorio oficial de complementos de WordPress. Puede consultar nuestra guía completa sobre cómo instalar un complemento de WordPress manualmente si necesita ayuda.

2) Limite los intentos de inicio de sesión usando la configuración del complemento

Después de activar el complemento, ahora puede ajustar el límite de intentos de inicio de sesión para su sitio web de WordPress utilizando la configuración del complemento. Para eso, simplemente vaya a Configuración> Limitar intentos de inicio de sesión y abra la pestaña Configuración .

Podrá ver la configuración general del complemento aquí. Pero lo primero que debe hacer es desplazarse hacia abajo hasta la sección Configuración de la aplicación para limitar los intentos de inicio de sesión o bloqueos en su sitio web de WordPress. Los bloqueos se refieren a una característica de seguridad que bloquea o restringe temporalmente el acceso a una cuenta o sistema después de una cierta cantidad de intentos fallidos de inicio de sesión.

El complemento incluye algunas opciones para el bloqueo de los intentos de inicio de sesión. En primer lugar, puede agregar el número de reintentos de inicio de sesión que desea proporcionar a sus usuarios en el cuadro de número de " reintentos permitidos ". El número que ingresa aquí es el límite de intentos de inicio de sesión que desea permitir para los usuarios de su sitio web de WordPress.

la configuración de la aplicación limita los intentos de inicio de sesión de wordpress

De manera similar, puede ajustar el período en forma de minutos para los bloqueos si un usuario no ingresa las credenciales correctas dentro de los reintentos permitidos. También hay algunas opciones de bloqueo más, como aumentar el número de bloqueo después de un período determinado y el período para restablecer los reintentos.

Por último, también puede cambiar la opción Orígenes de IP de confianza. Sin embargo, se recomienda enfáticamente que no lo cambie y lo deje como está por razones de seguridad. Después de realizar todos los cambios necesarios, haga clic en Guardar configuración .

Luego, podrá ver los intentos de inicio de sesión cuando cierre sesión en su panel de WordPress e intente iniciar sesión nuevamente cuando se ingrese un nombre de usuario o contraseña incorrectos. También puede abrir la URL de inicio de sesión desde el modo de incógnito para probarla rápidamente. Si observa la siguiente captura de pantalla, solo hay 6 de 7 porque el primer intento incluyó un nombre de usuario o contraseña incorrectos.

intentos restantes límite de intentos de inicio de sesión de wordpress

3) Ajustar la configuración de complementos adicionales

También puede ajustar algunas configuraciones de complementos adicionales después de configurar las opciones de bloqueo para limitar los intentos de inicio de sesión para su sitio web de WordPress. Simplemente desplácese hacia arriba hasta la sección Configuración general , donde la primera opción que verá es configurar el complemento como compatible con GDPR. Incluso puede agregar un mensaje GDPR si marca la opción.

Además, el complemento puede notificarle después de un cierto número de bloqueos directamente a su correo electrónico seleccionado. También puede mostrar u ocultar el elemento de menú de nivel superior, la insignia de advertencia y el widget del tablero. Pero recuerde que la insignia de advertencia y el elemento del menú de nivel superior solo se mostrarán cuando vuelva a cargar los cambios.

la configuración general limita los intentos de inicio de sesión de wordpress

No olvide guardar los cambios después de realizar todos los cambios adicionales.

Además, si abre la pestaña Registros , también podrá ver el número total de bloqueos aquí. También puede agregar direcciones IP, rangos de IP o nombres de usuario al área de lista segura y lista de bloqueo según corresponda. Nuevamente, es necesario guardar estos cambios para que estas direcciones IP surtan efecto en su sitio web.

Además, también puede ver una descripción general de la cantidad de intentos de inicio de sesión fallidos durante las últimas 24 horas desde la pestaña Panel . También obtiene un gráfico de la cantidad de intentos de inicio de sesión fallidos junto con la fecha exacta de los intentos fallidos al lado. Si desea más opciones para los intentos de inicio de sesión, siempre puede actualizar a la versión premium.

la pestaña del tablero limita los intentos de inicio de sesión de wordpress

Bonificación: Cómo cambiar la URL de la página de inicio de sesión de WordPress

Si desea que su sitio web sea más seguro para reducir las posibilidades de ataques de fuerza bruta , también puede cambiar la URL de inicio de sesión de WordPress de su sitio web. La URL de inicio de sesión predeterminada de WordPress es muy predecible y directa. Como resultado, los piratas informáticos pueden encontrar fácilmente su URL de inicio de sesión para ataques de fuerza bruta.

Puede encontrar fácilmente la página de inicio de sesión de su sitio web agregando la ruta /wp-admin/ al final de su dominio. Luego, será redirigido a la página de inicio de sesión de WordPress de su sitio web, desde donde podrá acceder a su panel de control de WordPress. Si la ruta /wp-admin/ no funciona, también puede probar la ruta /wp-login/, /login/ o /admin/ .

Como puede ver, cualquier persona familiarizada con el diseño y desarrollo web puede acceder a su página de inicio de sesión, incluso en la más mínima cantidad. Esto puede generar más amenazas de seguridad en su sitio web, incluso si limita los intentos de inicio de sesión de WordPress. Por lo tanto, también es esencial cambiar la URL de inicio de sesión de su sitio web de WordPress.

Puede cambiar la URL de inicio de sesión de su sitio web sin problemas en solo unos minutos. Y al igual que limitar los intentos de inicio de sesión, la forma más fácil de cambiar la URL de inicio de sesión en WordPress es mediante el uso de un complemento. Entonces, para esta demostración, usaremos el complemento WPS Hide Login .

1) Instalar y activar el complemento

Para instalar el complemento, vaya a Complementos> Agregar nuevo desde su panel de WordPress nuevamente. Luego, busque las palabras clave del complemento y haga clic en Instalar ahora, al igual que uno de los pasos mencionados anteriormente en este tutorial.

Ahora todo lo que tiene que hacer es activar el complemento.

2) Cambiar la URL de la página de inicio de sesión de WordPress

Tras la activación del complemento, ahora puede comenzar a personalizar las opciones del complemento desde Configuración> WPS Ocultar inicio de sesión en su panel de WordPress.

Aquí, debe personalizar dos opciones:

  • URL de inicio de sesión
  • URL de redirección

En el campo URL de inicio de sesión , ingrese la nueva ruta deseada para su página de inicio de sesión. Hemos agregado " nuevo inicio de sesión " para este ejemplo. Entonces, su URL de inicio de sesión única se convierte en www.yourdomain.com/newlogin/ .

Es importante tener en cuenta que una vez que realice este cambio, deberá usar la nueva URL para acceder al panel de administración de WordPress. Por lo tanto, la ruta /wp-admin/ anterior o cualquier otra URL de inicio de sesión que estaba usando ya no podrá acceder a la página de inicio de sesión. Por lo tanto, deberá redirigir a los usuarios desde la URL de inicio de sesión anterior a la nueva.

Aquí es donde entra en juego la URL de redirección . Cuando alguien ingrese el antiguo www.yourdomain.com/wp-admin/ en su navegador, será redirigido automáticamente a la URL de redirección.

Pero como queremos que el sitio web sea más seguro después de limitar los intentos de inicio de sesión de WordPress, agregue 404 como la URL de redirección. Esto permitirá a los usuarios saber que la página web ingresada no está disponible.

Finalmente, guarda todos los cambios .

Una vez que haya actualizado la nueva configuración, WordPress mostrará una advertencia en la parte superior de la página que indica que la página de inicio de sesión ha cambiado. Es aconsejable marcar este enlace y proporcionarlo solo a los usuarios del sitio web administrativo.

wps oculta la advertencia de inicio de sesión

Si necesita más información sobre cómo cambiar las URL, también puede consultar nuestro tutorial detallado sobre cómo cambiar la URL de la página de inicio de sesión de WordPress.

Consejo: asegúrese de que su contraseña de inicio de sesión sea segura

Al igual que agregar un límite a los intentos de inicio de sesión de WordPress y cambiar la URL de inicio de sesión, también es esencial asegurarse de que su contraseña de inicio de sesión sea sólida y no se pueda adivinar fácilmente. Si no tiene uno, puede crearlo fácilmente a través del panel de administración de WordPress. Entonces, como un consejo adicional, también lo guiaremos a través de la adición de una contraseña segura para su cuenta de inicio de sesión de WordPress.

Primero, vaya a Usuarios > Perfil desde su panel de WordPress y desplácese hacia abajo hasta la sección Administración de cuentas. Luego, haga clic en Establecer nueva contraseña . Generará automáticamente una nueva contraseña segura para su perfil de usuario de WordPress.

establecer un nuevo límite de contraseña para los intentos de inicio de sesión de wordpress

Asegúrese de guardar la contraseña de forma segura copiándola y pegándola en un lugar seguro para usarla o consultarla en el futuro. Finalmente, desplácese hacia abajo hasta la parte inferior de la página y haga clic en Actualizar perfil para guardar los cambios.

Conclusión

Así es como puede limitar los intentos de inicio de sesión de WordPress en su sitio web. Limitar los intentos de inicio de sesión es esencial para agregar una capa adicional de seguridad a su sitio web de WordPress, y el proceso también es sencillo. Todo lo que tiene que hacer es instalar un complemento que le permita limitar los intentos de inicio de sesión y luego ajustar los bloqueos, y el inicio de sesión se retira según la configuración del complemento.

Dependiendo del complemento que use, también obtendrá algunas opciones adicionales para los límites de inicio de sesión. Además, el complemento también puede proporcionar estadísticas y registros para los intentos de inicio de sesión, como se muestra en el ejemplo anterior de este tutorial.

Del mismo modo, también le proporcionamos un tutorial adicional sobre cómo cambiar la URL de inicio de sesión de WordPress como medida de seguridad adicional. Puede cambiar la URL de inicio de sesión utilizando un complemento dedicado, al igual que limitar los intentos de inicio de sesión. Pero asegúrese de tener una contraseña de inicio de sesión sólida para su cuenta de usuario de WordPress para obtener la máxima seguridad.

Entonces, ¿puedes limitar los intentos de inicio de sesión en un sitio web de WordPress ahora? ¿Alguna vez has probado? Por favor, háganoslo saber en los comentarios.

Mientras tanto, aquí hay algunos artículos más que pueden resultarle útiles para personalizar aún más su sitio web de WordPress:

  • Cómo crear un inicio de sesión temporal de WordPress: 3 métodos
  • ¿El inicio de sesión de WordPress no funciona? Como arreglarlo
  • Cómo agregar CAPTCHA al inicio de sesión de WooCommerce