Límite de intentos de inicio de sesión de WordPress: ¿Cómo hacerlo?

Publicado: 2023-04-19

¿Le preocupa que los piratas informáticos estén intentando iniciar sesión en su sitio de WordPress? Tienes razón en serlo.

Los piratas informáticos están utilizando métodos de prueba y error para adivinar las credenciales de inicio de sesión y entrar en los sitios de WordPress. De hecho, en un sitio de WordPress, la página de inicio de sesión de WordPress es la página más atacada.

Una vez que un pirata informático ingresa en el área del panel de administración, puede tomar el control total de su sitio. Instalarán malware, puertas traseras, desfigurarán su sitio, publicitarán y venderán productos ilegales, robarán la información personal de su usuario, enviarán spam a los visitantes de su sitio y ejecutarán otras actividades maliciosas.

Afortunadamente, puede proteger su página de inicio de sesión limitando la cantidad de intentos de inicio de sesión que se le otorgan a un usuario para ingresar las credenciales correctas. En esta guía, le mostraremos cómo configurar el límite de intentos de inicio de sesión en un sitio de WordPress.

TL;RD: Al limitar los intentos de inicio de sesión en su sitio de WordPress, puede evitar que los piratas informáticos intenten ingresar a su sitio web. La forma más fácil y eficiente de habilitar esta función en su sitio es mediante el uso de un complemento. Instale MalCare en su sitio. Viene con firewall y protección de inicio de sesión. Esto asegura su sitio contra ataques de fuerza bruta.

¿Qué es el límite de intentos de inicio de sesión de WordPress?

De forma predeterminada, WordPress otorga intentos ilimitados para iniciar sesión en su sitio. Puede probar tantas combinaciones de nombres de usuario y contraseñas como desee.

página de inicio de sesión de wordpress

Los piratas informáticos son conscientes de esto y explotan esta configuración. Primero, compilan una base de datos de nombres de usuario y contraseñas de uso común, junto con datos robados o datos comprados. Luego, programan bots para visitar sitios de WordPress y prueban miles de combinaciones de nombres de usuario y contraseñas en menos de unos minutos.

Al hacerlo, los piratas informáticos pueden acceder a muchos sitios de WordPress. Esto se denomina ataque de fuerza bruta , ya que embisten su sitio web con miles de solicitudes de inicio de sesión en unos pocos minutos.

Usando este método de hacking, los hackers tienen una buena tasa de éxito (aproximadamente 10%) debido en gran parte al hecho de que los usuarios de WordPress tienden a establecer credenciales de inicio de sesión débiles. Si bien el 10% parece un número bajo, dado que hay millones de sitios de WordPress, pueden piratear miles de sitios en muy poco tiempo.

Al limitar la cantidad de intentos de inicio de sesión, puede detener a los piratas informáticos y sus bots en seco.

A un usuario se le otorgará un número limitado de veces para ingresar las credenciales de inicio de sesión correctas. Por ejemplo, puede conceder tres intentos. Si el usuario no ingresa las credenciales correctas las tres veces, se bloqueará su cuenta.

Se les presentarán opciones para recuperar sus credenciales de inicio de sesión, tales como:

  1. Póngase en contacto con el administrador.
  2. Utilice la opción 'Olvidé mi contraseña' para restablecer la contraseña respondiendo una serie de preguntas.
  3. Demostrar su identidad mediante verificación OTP o verificación por correo electrónico.
  4. Resuelve un captcha para demostrar que son humanos y no un bot.

Una vez que un bot intente iniciar sesión tres veces, se enfrentará a estos obstáculos. No podrán continuar y pasarán al siguiente objetivo.

Por lo tanto, esta medida de seguridad puede proteger su sitio de los piratas informáticos y evitar un mundo de problemas. A continuación, le mostraremos cómo configurar el límite de intentos de inicio de sesión en WordPress

¿Cómo limitar los intentos de inicio de sesión en su sitio de WordPress?

Hay dos formas de limitar los intentos de inicio de sesión en su sitio de WordPress:

  1. Usar un complemento (fácil)
  2. Manualmente (difícil)

Primero le mostraremos cómo usar un complemento porque es simple, rápido y sin riesgo de errores.

1. Limite los intentos de inicio de sesión con un complemento

Hay varios complementos que permiten inicios de sesión limitados en su sitio de WordPress. Entonces, ¿cómo eliges el correcto?

Busque un complemento que sea fácil de configurar y que automatice el proceso por usted. Además, asegúrese de que su complemento proporcione un informe sobre los intentos que ha bloqueado para que pueda ver si el complemento realmente funciona.

Hemos seleccionado el complemento de seguridad de MalCare para ilustrar cómo limitar los intentos de inicio de sesión en su sitio. Cumple con los requisitos que enumeramos anteriormente. También va más allá de limitar los intentos de inicio de sesión y mantiene su sitio web protegido en todo momento.

Con MalCare, su sitio web tendrá un límite de intentos de inicio de sesión basado en CAPTCHA. Esto significa que si un usuario ingresa las credenciales incorrectas más de diez veces, se le pedirá que resuelva un CAPTCHA.

Al resolver el CAPTCHA, el usuario puede intentar iniciar sesión nuevamente. O pueden usar la contraseña olvidada? opción para recuperar sus credenciales.

Vamos a empezar:

Paso 1: Instale MalCare en su sitio. Active el complemento y acceda a él desde su panel de WordPress.

Paso 2: Ingrese su dirección de correo electrónico y seleccione Sitio seguro ahora.

escaneo mal cuidado

Paso 3: MalCare lo redirigirá a su tablero independiente donde ejecutará automáticamente un escaneo en su sitio web.

Paso 4: los intentos de inicio de sesión limitados se habilitan automáticamente en su sitio. Ahora, debe preguntarse cómo uso el límite de intentos de inicio de sesión de WordPress.

Si intenta iniciar sesión con las credenciales incorrectas, no podrá volver a intentarlo.

Protección de inicio de sesión de BV

Cuando seleccione Haga clic aquí, se le presentará un CAPTCHA como este:

Captcha en BV.png

Al resolver el CAPTCHA, puede volver a iniciar sesión en su sitio. En caso de que no pueda recordar sus credenciales, puede usar el ¿Perdió su contraseña? opción.

Contraseña perdida en WordPress

Eso es todo. Ha limitado con éxito los intentos de inicio de sesión en su sitio web. Aparte de esto, MalCare también erige un firewall robusto para evitar que los bots malos o el tráfico malicioso accedan a su sitio. Le proporciona un informe de todos los intentos de inicio de sesión. Puede acceder a esto en el tablero:

Cortafuegos activo en MalCare

Puede ver los intentos fallidos y los intentos de inicio de sesión exitosos. También puede ver los que MalCare ha identificado como sospechosos y bloqueados automáticamente.

Malcare bloqueó los detalles de inicio de sesión.

Ahora, si un complemento de WordPress no es el método para usted, hemos detallado cómo puede implementar el límite de intentos de inicio de sesión de WordPress sin un complemento. Pero este método es complejo y propenso a errores, así que proceda con precaución.

2. Limite los intentos de inicio de sesión manualmente

Puede agregar protección de inicio de sesión limitada a su sitio insertando manualmente un fragmento de código en un archivo de WordPress en su sitio. Sin embargo, debemos advertirle que cada vez que realiza un cambio manual en un archivo de WordPress, corre el riesgo de romper su sitio web . El más pequeño de los errores conduce a grandes problemas.

Si desea continuar con este método, le recomendamos encarecidamente que realice una copia de seguridad completa de su sitio web. En caso de que algo salga mal, puede restaurar rápidamente su copia de seguridad y hacer que su sitio vuelva a la normalidad. Puede realizar una copia de seguridad fácilmente instalando el complemento de copia de seguridad de BlogVault en su sitio, o elija uno de los mejores complementos de copia de seguridad.

Una vez que tenga una copia de seguridad en su lugar, siga los pasos a continuación:

Paso 1: inicie sesión en su cuenta de alojamiento y acceda a su cPanel. Aquí, seleccione Administrador de archivos.

Paso 2: Abra la carpeta public_html (o la carpeta en la que reside su sitio web). Vaya a wp-content > Temas.

Paso 3: Seleccione su carpeta de tema activa. Dentro, busque el archivo functions.php . Para ilustrar, el nombre de nuestro tema activo es Personal Blogily, por lo que seleccionamos esta carpeta.

archivo de funciones de tema

Paso 4: Haga clic derecho y seleccione Editar. El archivo se abrirá y podrá realizar cambios aquí. Inserte el siguiente código en el archivo:

función check_attempted_login ($ usuario, $ nombre de usuario, $ contraseña) {

if ( get_transient( 'intento_login' ) ) {

$datos = get_transient('attempted_login');

if ( $datos['probado'] >= 3 ) {

$hasta = get_option( '_transient_timeout_' . 'attempted_login' );

$tiempo = tiempo_para_ir ($hasta);

return new WP_Error( 'too_many_tried', sprintf( __( '<strong>ERROR</strong>: Ha alcanzado el límite de autenticación, podrá volver a intentarlo en %1$s.' ) , $time ) );

}

}

devolver $usuario;

}

add_filter( 'autenticar', 'check_attempted_login', 30, 3 );

función login_failed ($ nombre de usuario) {

if ( get_transient( 'intento_login' ) ) {

$datos = get_transient('attempted_login');

$datos['probado']++;

if ( $datos['probado'] <= 3 )

set_transient('attempted_login', $datos, 300);

} demás {

$datos = matriz(

'probado' => 1

);

set_transient('attempted_login', $datos, 300);

}

}

add_action('wp_login_failed', 'login_failed', 10, 1);

función time_to_go ($ marca de tiempo)

{

// convirtiendo la marca de tiempo de mysql a la hora de php

$períodos = matriz(

"segundo",

"minuto",

"hora",

"día",

"semana",

"mes",

"año"

);

$longitudes = matriz(

"60",

"60",

"24",

"7",

“4.35”,

"12"

);

$marca_de_hora_actual = hora();

$diferencia = abs($actual_timestamp – $timestamp);

for ($i = 0; $diferencia >= $longitudes[$i] && $i < cuenta($longitudes) – 1; $i ++) {

$diferencia /= $longitudes[$i];

}

$diferencia = ronda($diferencia);

si (isset($diferencia)) {

si ($diferencia != 1)

$períodos[$i] .= “s”; $salida = “$diferencia $períodos[$i]”;

Este código limitará los intentos de inicio de sesión a tres veces.

Paso 5: Guarde el archivo y salga.

Una vez que este código está incrustado en su sitio web, los usuarios tienen tres intentos para ingresar las credenciales de inicio de sesión correctas. Si no lo hacen, se les bloqueará el acceso a su cuenta por un período de tiempo temporal.

Alcanzó el límite en el inicio de sesión de WordPress

La única razón por la que debería optar por este método es si desea minimizar el uso de complementos en su sitio y habilitar la función por su cuenta. Aparte de eso, es mucho más seguro y fácil usar un complemento para manejar esta tarea por usted.

¡Eso es todo! ¡Ha limitado con éxito los intentos de inicio de sesión en su sitio y, por lo tanto, ha evitado que los piratas informáticos y los bots accedan a su sitio!

Lea también: Cómo solucionar problemas de inicio de sesión no seguro de WordPress

¿Debería limitar los intentos de inicio de sesión en su sitio de WordPress?

Siempre hay una ventaja y una desventaja en cualquier cosa que implementes en tu sitio de WordPress. Entonces, antes de continuar con la habilitación de Limitar intentos de inicio de sesión en su sitio, lo guiaremos a través de las ventajas y desventajas. Esto lo ayudará a determinar si esta función es adecuada para su sitio web.

Ventajas de limitar los intentos de inicio de sesión

  • Prevenir el acceso no autorizado

Al limitar los intentos de inicio de sesión en su sitio, puede evitar que los piratas informáticos y los bots maliciosos forcen bruscamente su página de inicio de sesión y obtengan acceso.

Un bloqueo temporal es suficiente para desalentar a un bot y hacer que se aleje de su sitio.

  • Prevenga el aumento de tráfico y la falla del servidor

Como mencionamos, en un ataque de fuerza bruta, los bots intentan miles de combinaciones de nombres de usuario y contraseñas. Con cada intento, el bot envía una solicitud a su servidor web.

Su servidor web proporciona recursos para ejecutar tareas y funciones en su sitio web, incluidas las solicitudes de inicio de sesión. Si un bot bombardea su sitio con miles de solicitudes en un minuto, puede sobrecargar su servidor y provocar que se bloquee.

Su sitio dejará de estar disponible temporalmente para los visitantes.

  • Evitar la suspensión del alojamiento web

Su servidor web tiene recursos limitados para ejecutar su sitio web. Si excede sus recursos, su servidor se sobrecarga.

Si está utilizando un plan de alojamiento compartido, esto puede afectar a otros sitios web que se encuentran en el mismo servidor.

Cuando los bots hacen cientos de intentos para iniciar sesión, su sitio está utilizando recursos de servidor excesivos. Esto hace que su proveedor de alojamiento suspenda temporalmente... el sitio para evitar cualquier impacto en otros sitios web en el servidor. También lo hacen para proteger sus propios intereses.

Contras de limitar los intentos de inicio de sesión

  • Cuenta bloqueada: si olvida accidentalmente su nombre de usuario y contraseña, su cuenta podría quedar bloqueada. Deberá seguir un proceso de verificación para recuperar su contraseña, lo que podría llevar tiempo.

Esa es la única estafa que se nos ocurre. No hay otra razón por la que no deba implementar la protección de inicio de sesión en su sitio. Si está buscando una alternativa de límite de intentos de inicio de sesión de WordPress, entonces puede probar la autenticación de 2 factores. Esto también protegerá su página de inicio de sesión de WordPress. MalCare ha lanzado una versión beta de autenticación de 2 factores o puede usar Google Authenticator para esto.

Dicho esto, los intentos de inicio de sesión limitados de WordPress son fáciles de implementar y protegen su sitio de los piratas informáticos. Podemos ver que las ventajas superan con creces las desventajas cuando se trata de limitar los intentos de inicio de sesión y proteger su sitio web.

Pensamientos finales

WordPress es el CMS (Content Management System) más popular del mundo. Pero esta popularidad llama la atención de los piratas informáticos.

Los sitios de WordPress son constantemente atacados por piratas informáticos. Por lo tanto, es aún más importante que tome amplias medidas de seguridad en su sitio. Dado que la página de inicio de sesión de WordPress es la página más atacada, limitar los intentos de inicio de sesión es un buen punto de partida.

Si desea proteger aún más su página de inicio de sesión de WordPress, puede encontrar útiles estos recursos:

Seguridad de inicio de sesión de WordPress

Página de inicio de sesión protegida con contraseña con autenticación HTTP

Proteja su sitio de WordPress contra ataques de fuerza bruta

Autenticación de dos factores

Si está buscando una solución de seguridad completa, sencilla pero robusta, le recomendamos que utilice el complemento MalCare. Escanea regularmente su sitio, configura un firewall fuerte, limita los intentos de inicio de sesión y lo alerta si hay algo sospechoso. Protege su sitio durante todo el día.

¡Asegure su sitio de WordPress contra piratas informáticos con MalCare!