Seguridad de inicio de sesión de WordPress: Asegure fácilmente su página de inicio de sesión - MalCare

Publicado: 2023-04-19

¿Sabías que hay más de 90.000 ataques de pirateo en sitios web de WordPress por minuto? Esa es una estadística extremadamente alta y que simplemente no podemos ignorar.

Para piratear sitios de WordPress, los piratas informáticos se dirigen principalmente a la página de inicio de sesión. Esto se debe a que al acceder a su sitio a través de esta página, un pirata informático puede obtener el control total de su sitio.

El caos que se produzca tendrá un impacto severo en su sitio. Los piratas informáticos pueden vender productos ilegales a su nombre o enviar a sus visitantes a sitios web maliciosos. También podrían engañar a los visitantes para que compren productos duplicados o descarguen malware. Esto puede dañar gravemente su negocio y su reputación.

Afortunadamente, puede evitar que los piratas informáticos abusen de su sitio web protegiendo la página más específica: la página de inicio de sesión. En MalCare, nos ocupamos de estos ataques a diario y queremos abordar el problema para todos los usuarios de WordPress. Aquí, le mostraremos las mejores medidas de seguridad que puede tomar para proteger su página de inicio de sesión de los piratas informáticos. También puede consultar nuestra guía sobre cómo proteger su sitio web de los piratas informáticos.

TL;DR: si necesita una solución de seguridad de WordPress que sea fácil de implementar y que proteja automáticamente su página de inicio de sesión, instale nuestro complemento de seguridad MalCare. Permitirá limitar los intentos de inicio de sesión al instante y también le dará opciones para fortalecer su sitio web de WordPress.

[lwptoc skipHeadingLevel=”h3,h4,h5,h6″]

5 pasos para proteger su página de inicio de sesión de WordPress

Hay varias medidas que puede tomar para proteger su página de inicio de sesión de WordPress. Sin embargo, no todos los pasos que das son efectivos. A veces solo está agregando ruido mientras su página de inicio de sesión sigue siendo vulnerable.

En este artículo, nos centraremos en 5 pasos importantes que puede tomar que han demostrado ser efectivos y definitivamente mantendrán su sitio seguro.

Suponemos que ya tiene SSL instalado en su sitio. Si no tiene protección SSL, debe agregarla inmediatamente desde su proveedor de alojamiento o un proveedor de SSL. Cada sitio web debe tener instalado SSL como la primera medida básica de seguridad del sitio. Cifra los datos transferidos entre su sitio web y el servidor. Esto significa que los piratas informáticos no pueden robar sus datos cuando pasan entre su sitio y el servidor de alojamiento. Por lo tanto, los piratas informáticos que intenten robar las credenciales de usuario de la página de inicio de sesión no podrán hacerlo.

1. Uso de nombres de usuario y contraseñas seguros para proteger una página de inicio de sesión

Al crear cuentas de usuario en sitios de WordPress, las personas tienden a usar algo que sea fácil de recordar o que hayan usado para todas las demás cuentas. El problema con esto es que hace que el trabajo de un hacker sea mucho más fácil.

En primer lugar, los piratas informáticos utilizan una técnica llamada fuerza bruta en la que intentan diferentes nombres de usuario y contraseñas para tratar de adivinar cómo ingresar a su cuenta. Lo hacen mediante el uso de bots y algoritmos automatizados que son capaces de realizar miles de intentos en unos pocos segundos. Si está utilizando contraseñas simples como "contraseña123", un bot podrá adivinarla en los primeros intentos.

En segundo lugar, si está utilizando las mismas credenciales para todas sus cuentas, esto significa un problema. Ha habido tantas violaciones de datos de las principales empresas y solo en 2019, se expusieron 4.100 millones de registros. Si su nombre de usuario y contraseña fueron robados en, por ejemplo, un sitio web de compras, los piratas informáticos pueden usarlos para intentar piratear otras cuentas suyas, como su correo electrónico, banca por Internet o su sitio de WordPress.

Sus credenciales de inicio de sesión de administrador son como las llaves de su hogar u oficina. Es por eso que el primer paso en la seguridad de inicio de sesión es usar nombres de usuario y contraseñas sólidos como una roca.

  • Le recomendamos que nunca utilice el nombre de usuario predeterminado 'admin'. Si el nombre de su sitio web es thefirstexample.com , no haga que su nombre de usuario de administrador sea "thefirstexample". Estos son los primeros nombres de usuario que los piratas informáticos intentarán en la pantalla de inicio de sesión. En su lugar, utilice los inusuales y únicos que son difíciles de adivinar para cualquiera.
  • En cuanto a las contraseñas, debe usar una que sea difícil de adivinar para cualquiera. Recomendamos usar una frase de contraseña en combinación con símbolos y números. Esto hace que su contraseña sea realmente segura.

Mientras crea su contraseña, WordPress le indicará qué tan débil o fuerte es su contraseña. Para darle un ejemplo, creamos lo siguiente en nuestra cuenta de administrador de WordPress:

contraseña débil de wordpress

WordPress indicó que la contraseña es muy débil. Así que mejoramos nuestro juego con esto:

contraseña fuerte wordpress

Por último, dado que su sitio web de WordPress es un activo valioso, creemos que merece una contraseña única. Cree uno que no use en ningún otro sitio.

Ahora sabe que sus credenciales de inicio de sesión son seguras. Si tiene varios usuarios en su sitio de WordPress, es importante que todos sigan estas recomendaciones porque es un paso muy importante para proteger su página de inicio de sesión de WordPress.

2. Limite el número de intentos de inicio de sesión para una mayor seguridad

Por defecto, WordPress permite un número ilimitado de intentos de inicio de sesión. Los piratas informáticos aprovechan esta función mediante ataques de fuerza bruta. Puede obtener protección de fuerza bruta simplemente limitando la cantidad de intentos de inicio de sesión fallidos que se le otorgan a un usuario.

Es posible que haya visto este aviso cuando ingresó una contraseña incorrecta en un sitio web, especialmente uno de banca en línea:

intentos fallidos de inicio de sesión

Esto se debe a que el sitio web ha implementado intentos de inicio de sesión limitados. Un usuario tiene tres oportunidades para ingresar las credenciales correctas para ingresar a su cuenta. Después de tres intentos erróneos, su cuenta sería bloqueada y tendrían que usar la opción 'Olvidé mi contraseña'.

Puede implementar esta característica de dos maneras:

  • Uso de un complemento: recomendamos el complemento de seguridad MalCare. Una vez instalada, la protección limitada de inicio de sesión de WordPress se implementa automáticamente. El complemento también le brinda protección basada en Captcha que evitará que los bots maliciosos accedan a su sitio.
  • Manualmente: para limitar manualmente la cantidad de intentos de inicio de sesión, debe acceder a su archivo functions.php. Debe agregar una acción de WordPress y un filtro de gancho con una función de devolución de llamada correspondiente. Este método es técnico y arriesgado. Si no está familiarizado con la codificación, es mejor no intentarlo.

Con estas dos medidas implementadas, su sitio web de WordPress tiene las medidas de seguridad básicas para su página de inicio de sesión. Ahora, podemos pasar a medidas más avanzadas.

[ss_click_to_tweet tweet=”WordPress permite un número ilimitado de intentos de inicio de sesión de forma predeterminada. Use MalCare para implementar intentos de inicio de sesión limitados automáticamente”. content=”WordPress permite un número ilimitado de intentos de inicio de sesión de forma predeterminada. Use MalCare para implementar intentos de inicio de sesión limitados automáticamente”. estilo = "predeterminado"]

3. Uso de autenticación de 2 factores para una mayor seguridad de inicio de sesión

Debe haber notado que cuando intenta iniciar sesión en su cuenta de Gmail, debe seguir dos pasos.

El primer paso implica ingresar sus credenciales. En el paso dos, Gmail le envía un código de verificación a su número de teléfono registrado o dirección de correo electrónico. Después de eso, deberá ingresar este número en su cuenta de Gmail para acceder a sus correos electrónicos. Esta es la verificación de dos pasos o la autenticación de dos factores.

verificación de dos factores para la seguridad de inicio de sesión

Para garantizar que el usuario que accede a la cuenta sea auténtico, el proceso utiliza credenciales regulares más una contraseña de un solo uso (OTP) que se genera en tiempo real.

Entonces, incluso si un pirata informático adivina sus credenciales, aún necesitará ingresar el código único que se le envió y puede asegurar su página de inicio de sesión de WordPress fácilmente.

Puede implementar la autenticación de dos factores mediante un complemento. Dos complementos que recomendamos son Google Authenticator 2FA y Two Factor Authentication.

Nota: si está utilizando el complemento MalCare, la autenticación de 2 factores pronto estará disponible.

4. Bloqueo geográfico: evite que un pirata informático llegue a su sitio web de WordPress

Cuando configura un sitio de WordPress, recibe automáticamente tráfico de todo el mundo, a menos que lo configure para una región en particular.

Para ver dónde se origina su tráfico, debe registrarse en Google Analytics. En el tablero, verá la opción '¿Dónde están sus usuarios?' Al hacer clic en 'Descripción general de la ubicación', puede ver exactamente de dónde provienen sus visitantes.

tráfico principal del blog

Alternativamente, un complemento como MalCare también le muestra dónde se origina su tráfico.

Muchas veces, nos hemos encontrado con propietarios de sitios web que han descubierto que reciben tráfico no deseado de determinados países.

Para mostrarle lo que queremos decir, tomemos un ejemplo. Digamos que tiene un sitio web que atiende solo al Reino Unido: example.co.uk. Pero cuando revisa Analytics, ve que gran parte del tráfico de su sitio web proviene de otros países como Rusia, Singapur y los Estados Unidos. Deberías considerarlo una bandera roja.

Esto es solo indicativo de piratas informáticos, puede usar el complemento MalCare para ver si el tráfico es realmente malicioso o no.

Después de instalar el complemento MalCare, acceda al tablero. En "Seguridad", verá la cantidad de intentos de inicio de sesión realizados en su sitio web y cuántos bloqueó el complemento.

Solicitudes de inicio de sesión de MalCare

Al hacer clic en 'mostrar más', los registros de auditoría le mostrarán exactamente de dónde se origina el tráfico y qué nombre de usuario se intentó.

Malcare que limita los intentos de inicio de sesión para una mejor seguridad de WordPress

Si cree que dicho tráfico es un riesgo no deseado, simplemente puede bloquear países enteros. Para hacer esto, MalCare tiene una opción llamada 'geobloqueo' que agregará una capa de seguridad al bloquear cualquier dirección IP del país que seleccione. Así es cómo:

  • En el tablero, seleccione su sitio y luego haga clic en 'Bloqueo geográfico'.
geobloqueo mal cuidado
  • A continuación, en el menú desplegable, seleccione los países que desea bloquear. Una vez que haga clic en "Bloquear país", se mostrará el mensaje "Las direcciones IP de los países seleccionados se han bloqueado con éxito".
bloqueo geográfico malcare

El bloqueo geográfico o el bloqueo de países ayuda a mitigar el riesgo de ser pirateado. No es recomendable bloquear países enteros ya que parte del tráfico podría ser legítimo. Sin embargo, si está 100% seguro de que no necesita ningún tráfico proveniente de ese país, es mejor simplemente bloquearlo para que pueda proteger su página de inicio de sesión de WordPress al no permitir que un pirata informático acceda a ella.

Lea también: Cómo solucionar problemas de inicio de sesión no seguro de WordPress

5. Cierre de sesión automático

No es raro tener la costumbre de iniciar sesión en una cuenta y dejarla abierta. Es posible que se encuentre cerrando el navegador sin cerrar sesión en las cuentas. Si deja su sistema desatendido, un pirata informático podría volver a abrir su navegador y se conectará automáticamente a sus cuentas.

Tales hábitos aumentan el riesgo de ataques. Para mitigar tales riesgos, muchos sitios web implementan el 'cierre de sesión automático'. Esta es una práctica común con la banca en línea. Si está inactivo durante un período de tiempo, el sitio web automáticamente cierra su sesión. Es posible que vea un mensaje como el siguiente:

error que causa el cierre de sesión

Esta es una medida esencial que puede implementar en su sitio web de WordPress. Garantiza que no haya posibilidad de que alguien pueda explotar una cuenta que haya iniciado sesión mientras el usuario está fuera de su sistema.

Esta medida está especialmente recomendada para personas que trabajan a distancia o desde sus propios dispositivos personales. Como propietario de un sitio web, nunca puede asegurarse de que recordarán cerrar la sesión cuando estén inactivos. Si están usando una computadora pública o una wifi pública no segura, su sitio web corre un mayor riesgo.

A diferencia de los servicios de banca electrónica, WordPress no cierra automáticamente la sesión de los usuarios cuando están inactivos. Pero puede implementar esta medida de seguridad utilizando complementos como Bulletproof Security.

El complemento tiene una función de seguridad llamada 'Cierre de sesión inactivo' que puede habilitar. Puede seleccionar el período de tiempo de inactividad después del cual se cerrará la sesión de un usuario automáticamente.

cierre de sesión automático

Esta medida evitará que su sitio caiga en manos equivocadas.

[ss_click_to_tweet tweet=”Aseguré mi página de inicio de sesión de WordPress fácilmente con esta guía de seguridad de MalCare.” content=”Aseguré mi página de inicio de sesión de WordPress fácilmente con esta guía de seguridad de MalCare”. estilo = "predeterminado"]

En conclusión: no es solo su página de inicio de sesión

Proteger la seguridad de su página de inicio de sesión de WordPress lo acerca un paso más a un sitio web seguro de WordPress. A los piratas informáticos les gusta aprovecharse de los sitios web que son fáciles de piratear. Entonces, al proteger su sitio web con medidas básicas, los piratas informáticos probablemente lo intentarán algunas veces y luego pasarán a un objetivo más fácil.

Pero esto no garantiza que los piratas informáticos no puedan piratear su sitio. Los piratas informáticos identifican y explotan cualquier vulnerabilidad que encuentren en su sitio web. Podría estar en un nuevo complemento que instaló que tiene una falla de seguridad. Puede ser que un tema que instaló hace mucho tiempo y olvidó actualizar desarrolló una vulnerabilidad con el tiempo. Hay muchas oportunidades de este tipo que los piratas informáticos aprovechan.

Lo que realmente necesita es un plan de protección integral. Recomendamos encarecidamente tomar algunas medidas de seguridad más, como el bloqueo de IP, asegurar el sitio con wp-config.php, seguir esta guía completa sobre seguridad de WordPress y usar uno de los mejores complementos de seguridad de WordPress: MalCare, que protegerá su sitio durante todo el día. Le da acceso a informes de análisis regulares y también puede implementar las medidas recomendadas de refuerzo de WordPress. ¡De esta manera, su sitio de WordPress será extremadamente difícil de penetrar!


 ¡Mantenga su sitio protegido con nuestro complemento de seguridad MalCare !