Una guía sobre cómo asegurar el administrador de WordPress - MalCare
Publicado: 2023-04-13Administrador seguro de WordPress: ¿Sabía que se realizan más de 90 000 intentos de pirateo en los sitios web de WordPress cada minuto del día? Lo que implica es que los intentos de pirateo en sus sitios web son inminentes, independientemente de si el sitio es grande o pequeño. La seguridad es una de las principales preocupaciones de un sitio web.
Los piratas informáticos recurren a varias técnicas para piratear un sitio web de WordPress y el ataque de fuerza bruta es una de esas técnicas. Se trata de probar una combinación de nombre de usuario y contraseñas de uso común en la página de inicio de sesión del sitio web.
Un ataque de fuerza bruta exitoso le da acceso al administrador de WordPress. El área de administración de WordPress es el centro administrativo de un sitio web con tecnología de WordPress. Cualquiera que tenga acceso completo al administrador tendrá control total sobre el sitio. Por lo tanto, es importante proteger a su administrador de WordPress de los ataques de fuerza bruta.
¿Cómo asegurar el administrador de WordPress?
Hemos ideado una serie de técnicas que lo ayudarán a proteger el administrador de WordPress de su sitio contra intentos de pirateo.
1. Usa contraseñas seguras
Uno de los errores más comunes que cometen los propietarios de sitios web es usar contraseñas débiles. A lo largo de los años, las técnicas de descifrado de contraseñas han madurado. Las contraseñas fáciles de adivinar se descifran en unos minutos. Las contraseñas seguras ayudan a defender su sitio contra las técnicas inteligentes de descifrado de contraseñas. Aquí hay un excelente artículo sobre cómo crear contraseñas realmente seguras para su sitio de WordPress.
Sin embargo, recordar contraseñas seguras puede ser un problema. Esta publicación explica cómo administrar contraseñas seguras de WordPress .
Otro error muy común que muchas personas cometen es cuando usan la misma contraseña en varios sitios. Cuando se compromete una contraseña, se comprometen todas las cuentas asociadas a la contraseña. Por lo tanto, usar diferentes contraseñas para las cuentas puede ayudar a evitar esta situación.
2. Evite usar un nombre de usuario común
Asegurar la contraseña de WordPress es un paso importante para asegurar la credencial de inicio de sesión de WordPress. El segundo componente de una credencial de inicio de sesión es el nombre de usuario. Si su nombre de usuario es fácil de adivinar, el pirata informático solo necesita concentrarse en la contraseña.
Uno de los nombres de usuario de WordPress más comunes es "admin". Hasta hace unos años, WordPress sugería automáticamente "admin" como nombre de usuario. Aunque WordPress dejó de recomendar "admin", muchos propietarios de sitios todavía lo usan. Se están creando varias cuentas de usuario nuevas con "admin" como nombre de usuario. Todos estos sitios web se están convirtiendo en un blanco fácil.
Dado que WordPress no impone el uso de nombres de usuario únicos, debe asegurarse de que ninguno de sus usuarios use nombres de usuario comunes y que no se cree una cuenta nueva con "admin". Eche un vistazo a esta lista exhaustiva de los nombres de usuario de uso común para que sepa qué nombres de usuario debe evitar.
3. Oculte su página de inicio de sesión de WordPress
Los sitios web de WordPress funcionan de una manera predeterminada. Por ejemplo, todos los sitios web de WordPress vienen con una página de inicio de sesión predeterminada que se parece a esto"www.anysite.com/wp-admin".Esto facilita el trabajo de un pirata informático porque puede lanzar un ataque automático en varios sitios de WordPress dirigidos simultáneamente. Pero si oculta la página de inicio de sesión cambiándola, puede evitar este tipo de ataques en su sitio.
Hay muchos complementos que puede usar para cambiar su página de inicio de sesión y usar una URL que el complemento le sugiere. Es probable que otros sitios web que usan el mismo complemento usen la misma URL. Y si los piratas informáticos conocen el formato de URL, ocultar su página de inicio de sesión no servirá de nada. Por lo tanto, utilice una herramienta que le permita crear su propia URL de página de inicio de sesión personalizada.
4. Implementar la autenticación HTTP
Para asegurar el administrador de WordPress, puede proteger con contraseña toda su carpeta wp-admin. La carpeta wp-admin contiene archivos administrativos que alimentan el tablero de WordPress. Cualquiera que tenga acceso a esta carpeta puede controlar todo el sitio. Si su contraseña protege toda la carpeta, cada vez que alguien solicita la sección de administración, el servidor inicia un proceso de autenticación. El navegador le pedirá al usuario una contraseña de autenticación HTTP. Hay muchas herramientas que puede usar para implementar la autenticación HTTP en su administrador de WordPress, como HTTP Auth , AskApache Password Protect , etc.
5. Usa el Autenticador de Google
Dado que las técnicas de pirateo de sitios web se vuelven cada vez más sofisticadas en estos días, es común agregar otra capa de protección de inicio de sesión junto con las sólidas credenciales de usuario. Esta técnica se llama autenticación de dos factores (2FA). El método consiste en enviar un código que solo usted puede recibir en su teléfono inteligente. Antes de que se le otorgue acceso a su tablero de WordPress, debe ingresar el código único en su sitio. Los beneficios de este enfoque son que incluso si los piratas informáticos logran descifrar sus credenciales, aún necesitan que el código se envíe exclusivamente a su dispositivo.
Hay muchos complementos de WordPress que puede usar para la autenticación de 2 factores. Habilitamos 2FA en nuestro sitio usando Mini Orange para asegurar el administrador de WordPress y escribimos una guía sobre el mismo.
6. Limitación del número de intentos fallidos de inicio de sesión
Los sitios web bajo ataques de fuerza bruta experimentan cientos de intentos fallidos de inicio de sesión. Para evitar este ataque implacable en su administrador de WordPress, puede limitar la cantidad de intentos de inicio de sesión fallidos realizados en su sitio. El complemento de seguridad de MalCare evita que los usuarios intenten iniciar sesión después de 3 intentos fallidos de inicio de sesión. Deben resolver un CAPTCHA antes de poder acceder nuevamente a la página de inicio de sesión de WordPress. Esto ayuda a determinar si el usuario es humano o un bot automatizado que intenta ejecutar un ataque de fuerza bruta en el sitio.
7. Instalar certificado SSL
¡Mira la URL de nuestro sitio web! ¿Puedes ver un candado verde con la palabra "Seguro" al lado? Nuestro sitio tiene instalado un certificado SSL, lo que significa que nadie puede husmear y leer las credenciales de inicio de sesión de nuestros usuarios. Un sitio web sin un certificado SSL corre el peligro de exponer involuntariamente la información confidencial del sitio.
En los viejos tiempos, los certificados SSL eran para páginas de pago o áreas de administración de WordPress. Pero ahora el certificado SSL puede ayudar a proteger todo su sitio. En su afán por hacer de la web un lugar más seguro, Google ha declarado claramente que los certificados SSL son un factor de clasificación . Puede obtener un certificado SSL de proveedores como Comodo , Let's Encrypt y su servidor web lo ayudará a configurar el certificado en su sitio.
8. Lista negra de direcciones IP maliciosas
Todos los que usan Internet tienen una dirección IP. Incluso el hacker que lanza ataques en los sitios web de WordPress tiene una dirección IP. Si mantiene un registro de estas direcciones IP, puede bloquearlas para que no accedan a su sitio. MalCare : uno de los mejores complementos de seguridad de WordPress que existen ofrece detalles (direcciones IP) de los intentos fallidos de inicio de sesión realizados en el sitio. Si observa que se realizan muchos intentos fallidos desde las mismas IP casi con regularidad, puede bloquear el acceso de estas IP sospechosas a sus sitios web simplemente colocando los siguientes códigos en nuestro archivo .htaccess:
orden permitir, negar denegar desde 192.168.20.10 permitir de todos
“192.168.20.10” es la dirección IP que queríamos bloquear en uno de nuestros sitios. Puede reemplazarlo con la IP que desea bloquear.
9. Cambiar claves de seguridad
No tiene que ingresar sus credenciales de inicio de sesión cada vez que necesite iniciar sesión en su sitio. ¿Alguna vez se preguntó cómo su navegador almacena estas credenciales? Después de iniciar sesión en su cuenta, su información de inicio de sesión se almacena de forma cifrada en la cookie del navegador. Las claves de seguridad son solo variables aleatorias que ayudan a mejorar este cifrado. Si su sitio es pirateado, cambiar las claves secretas invalidará la cookie y obligará a todos los usuarios activos a cerrar la sesión automáticamente. Una vez descartado, el hacker pierde acceso a su administrador de WordPress.
A ti
No hay una sola forma de proteger a un administrador de WordPress, por lo tanto, asegúrese de utilizar varios métodos. Compartimos con usted algunas de las formas más recomendadas de proteger la administración de WordPress. Pero antes de implementar cualquiera de estos métodos, debe hacer una copia de seguridad de su sitio . Si algo sale mal, simplemente puede restaurar una copia de seguridad y tener nuestro sitio en funcionamiento en poco tiempo.
Además de estos, puede tomar algunas medidas de seguridad más, como el bloqueo de IP, proteger la página de inicio de sesión, asegurar el sitio con wp-config.php, seguir esta guía completa sobre seguridad de WordPress e instalar un complemento de seguridad de WordPress como MalCare.
MalCare lo ayudará a implementar algunas de las medidas que hemos mencionado anteriormente. Por ejemplo, MalCare Security Plugin lo ayudará a cambiar las claves de seguridad, limitar la cantidad de intentos de inicio de sesión fallidos, mantener actualizado su sitio web, entre otras cosas.
¡Pruebe el complemento de seguridad de MalCare ahora mismo!