12 pasos para proteger su área de administración de WordPress

Con WordPress, es muy fácil crear un blog o un sitio web. Sin embargo, hay casos (que aumentan a diario) cuando las personas sufren porque no prestan atención a las características de seguridad del sitio web o blog de WordPress. Hay muchos casos en los que miras los sitios web independientes, donde los sitios web y blogs de las personas son pirateados y piden algo de ayuda.

Estos incidentes muestran que cuando no prestas atención a tu Seguridad del sitio web de WordPress, hay posibilidades de que pueda ser atacado por piratas informáticos. Para evitar estos casos, debe mantener su área de administración de WordPress y su página de inicio de sesión protegida. En este artículo, le daré información sobre las formas y los pasos para proteger el área más sofisticada de su sitio de WordPress, el «área de administración de WordPress». Empecemos,

1. Cambie el nombre de usuario de administrador predeterminado y elija una contraseña segura

Si está instalando WordPress, nunca deje que la cuenta de administrador predeterminada sea como admin. Esto es tan predecible de intentar ataque de fuerza bruta o cualquier otro ataque.


contraseña segura

Elija una contraseña segura

Aquí, incluso si cambia su nombre de usuario de administrador como iamadmin, puede crear una gran diferencia y evitarle muchos problemas (pero no elija este nombre, es un ejemplo para mostrar cómo cambiar el nombre de usuario del administrador puede marcar la diferencia).

En términos de contraseñas, siempre sigue la guía de WordPress. Cuando ingresa la contraseña debajo del cuadro de entrada, muestra qué tan fuerte es su contraseña. Siempre haga que su contraseña sea segura en ese aspecto.

Ahora, incluso si su sitio web no proporciona ningún privilegio financiero al pirata informático, esto no impide que el pirata informático intente obtener acceso a su sitio web. Permítame presentarle un escenario simple que es algo común en los sitios web de WordPress. Eche un vistazo a la siguiente figura:


ataque de fuerza bruta

Ataque de fuerza bruta administrador de WordPress

Como puede ver, existen estos intentos de piratería en un sitio web de WordPress en un día. Entonces, a partir de la figura, está bastante claro que todos los intentos de bloqueo están dirigidos a admin nombre de usuario. Entonces, creo que he dejado claro mi punto aquí.

Ahora, la pregunta simplificada es ¿por qué siguen intentándolo? Una de las razones más importantes y predominantes es que «WordPress no tiene ninguna regla básica de prohibición para ninguno de los atacantes». Entonces, si no haces nada, no dejarán de intentarlo.

Esto nos lleva al siguiente punto.

2. Cree enlaces de inicio de sesión personalizados

Es muy obvio que para acceder al panel de administración de WordPress, todo lo que hay que hacer es escribir la URL del sitio con /wp-login.php. Ahora bien, si usó la misma contraseña en más de una ubicación y estaba en peligro, entonces es fácil para el pirata informático piratear su sitio.

Un complemento llamado Inicio de sesión sigiloso le permite crear URL personalizadas para iniciar sesión, cerrar sesión, administrar y registrarse en su blog de WordPress. También puede habilitar el «Modo sigiloso», que evitará que los usuarios puedan acceder wp-login.php directamente. Luego puede configurar su URL de inicio de sesión en algo más críptico. Esto no protegerá su sitio web a la perfección, pero si alguien logra descifrar su contraseña, puede dificultarle encontrar dónde iniciar sesión. Esto también evita que los bots que se utilizan con fines maliciosos accedan a su wp-login.php archivo e intentando entrar.


Cambiar URL de inicio de sesión

Cambiar URL de inicio de sesión

3. Limite los intentos de inicio de sesión

Como termino el punto anterior diciendo, WordPress no prohíbe a ningún usuario intentar iniciar sesión en una cuenta sin éxito. Por lo tanto, debe limitar el inicio de sesión a su área de administración y prohibir al usuario durante un tiempo determinado o, de lo contrario, seguirán tratando de adivinar con éxito para su blog o sitio web de WordPress.

Para ello, puede utilizar complementos como Seguridad de Wordfence, Intentos de inicio de sesión de límite de WP, y Inicio de sesión LockDown. A continuación se muestra una captura de pantalla de WP Limit Login, como lo estoy usando actualmente. Entonces, cuando ingresa una credencial incorrecta, así es como se ve,


limitar los intentos de inicio de sesión

Limitar los intentos de inicio de sesión


prohibición por demasiados intentos de inicio de sesión

Prohibir por demasiados intentos de inicio de sesión

Pasemos al siguiente punto que es:

4. Forzar SSL en las páginas de inicio de sesión y el área de administración

Hay ocasiones en las que inicia sesión en su sitio web de WordPress a través de una red pública. Este es uno de los casos en los que podría estar expuesto a ser un «ataque de intermediario». Los piratas informáticos pueden escuchar el tráfico y pueden acceder a su Solicitud HTTP. Después de acceder a su solicitud en WordPress, pueden ver sus credenciales de WordPress en texto sin formato.

Esto se puede evitar mediante el inicio de sesión SSL. El inicio de sesión SSL permite que su sitio web de WordPress sea accesible a través de HTTPS. Por lo general, sus servicios de alojamiento lo proporcionan en su suscripción. De lo contrario, debe comprar un certificado SSL y configurarlo en el servidor de su sitio web. Es posible que desee consultar algunas opciones de algunas tiendas de certificados SSL como Tienda SSL barata. O puedes seguir esta guía para instalar SSL en su servidor si es el propietario.

Si su sitio web ya tiene un certificado SSL y se ejecuta en HTTPS, abra su wp-config.php archivo y edítelo con el siguiente código:

// Use SSL (HTTPS) for the login page.
define('FORCE_SSL_LOGIN', true);
// Use SSL (HTTPS) for the whole admin area.
define('FORCE_SSL_ADMIN', true);

El constante FORCE_SSL_LOGIN garantiza que la página de inicio de sesión se abra solo en HTTPS. El constante FORCE_SSL_LOGIN coloque en el segundo lugar una conexión segura en todo el área de administración de WordPress.

5. Proteger con contraseña el directorio WP-Admin

No hay nada de malo en tener dos contraseñas. Simplemente agrega otro nivel de seguridad a su Área de administración de WordPress. Esto se puede hacer usando un complemento llamado AskApache contraseña protegida. Cifra su contraseña y crea el .htpasswd archivo, así como establecer los permisos correctos de archivo con seguridad mejorada en ambos. También puede utilizar la protección con contraseña de cPanel en un directorio si está utilizando un servidor web cPanel para proteger con contraseña wp-admin directorio.


Proteger con contraseña el área de administración de WordPress

Proteger con contraseña el área de administración de WordPress

6. Ponga un CAPTCHA en la página de inicio de sesión.

El uso de un CAPTCHA en el área de administración puede reducir los intentos de piratería, ya que evita que los scripts automatizados sean de fuerza bruta o cualquier otra posibilidad automatizada de un ataque en su página de inicio de sesión. Vaya a su tablero y luego al Complementos → Agregar nuevo y luego escriba, ‘CAPTCHA’. Obtendrá muchos complementos de WordPress para habilitar CAPTCHA en su página de inicio de sesión.

Actualmente uso Complemento Captcha por BestWebSoft. Este complemento tiene más de 300,000 instalaciones activas y una buena calificación. Este complemento crea una nueva área en su página de inicio de sesión. Con solo activar este complemento, se creará una imagen CAPTCHA, sin la cual nadie puede iniciar sesión ni siquiera conociendo el nombre de usuario y la contraseña. Esto bloquea eficazmente los ataques de fuerza bruta automatizados con guiones. Eche un vistazo a la captura de pantalla dada de la utilidad del complemento.


captcha de inicio de sesión

Usando CAPTCHA para iniciar sesión

Aparte de esto, también puede optar por complementos captcha como SI CAPTCHA Anti-Spam, CAPTCHA realmente simple, y Captcha de matemáticas.

7. Eliminar mensaje de error en la página de inicio de sesión

Cuando ingresa una contraseña incorrecta o un nombre de usuario no válido, aparece un mensaje de error en la página de inicio de sesión. Entonces, si un hacker hace algo bien, el mensaje de error lo ayudará a identificarlo. Por lo tanto, debe eliminar ese mensaje de error por completo. Abre tu functions.php ubicado en su carpeta de temas y pegue el siguiente código:

add_filter('login_errors',create_function('$a', "return null;"));

Un complemento llamado WordPress seguro también logra esto y tiene otras características también. Y este es el resultado:


Eliminar mensajes de error de inicio de sesión

Eliminar mensajes de error de inicio de sesión

8. Permitir que solo se conecten IP específicas.

Antes de profundizar en este punto, quiero ser claro. Recomiendo este paso solo para aquellos que tienen una dirección IP estática.

Si conoce su dirección IP, incluya esa IP en la lista blanca con el .htaccess archivo de su wp-admin carpeta. Sin embargo, puede permitir que muchas direcciones IP inicien sesión en su área de administración, pero aún así, mi recomendación es solo para propietarios de IP estáticas.

Para incluir una IP en la lista blanca, debe abrir su wp-admin carpeta y edite un archivo llamado .htaccess y simplemente agregue los siguientes códigos:

order deny,allow
# Replace 99.99.99.99 with the desired IP address
allow from 99.99.99.99
# Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address
# allow from 98.98.98.98
deny from all

Como puedes ver, cambia 99.99.99.99 de su dirección IP deseada, de manera similar también para la segunda IP.

Cuando no agrega ninguna dirección IP e intentan acceder a su área de administración, recibirán este mensaje:


Bloquear el acceso por dirección IP

Bloquear el acceso por dirección IP

Puede usar la autenticación de dos factores para agregar una capa adicional de seguridad en su área de administración de WordPress. Para aplicarlo en su sitio web, solo tiene que instalar y activar un complemento. Cuando busque Autenticación de dos factores en la página de complementos del sitio web de WordPress, verá los siguientes resultados:


Complementos de autenticación de dos factores

Complementos de autenticación de dos factores

Leer Este artículo para saber exactamente cómo configurar la autenticación de dos factores.

10. Utilice una contraseña cifrada para iniciar sesión

Cuando no tiene SSL habilitado, este método es útil. Hay un complemento que le permite hacer este trabajo y se llama Inicio de sesión semiseguro reinventado. El inicio de sesión semiseguro reinventado aumenta la seguridad del proceso de inicio de sesión utilizando una clave pública RSA para cifrar la contraseña en el lado del cliente cuando un usuario inicia sesión. A continuación, el servidor descifra la contraseña cifrada con la clave privada. Se requiere JavaScript para habilitar el cifrado.

11. Contraseña de un solo uso

Contraseña de un solo uso El complemento le permite iniciar sesión en su blog de WordPress utilizando contraseñas que son válidas solo para una sesión. Las contraseñas de un solo uso evitan el robo de su contraseña principal de WordPress en entornos menos confiables, como los cibercafés, por ejemplo, por keyloggers.

12. Actualice WordPress a la última versión

Por último, pero definitivamente no menos importante, es mantenerse actualizado con la última versión de WordPress porque después de que se lanza cada versión, WordPress también libera los errores y vulnerabilidades de la versión anterior, lo que pone en riesgo su Área de administración si no actualiza.

Al final

WordPress es muy fácil de usar y por eso a todo el mundo le encanta. Pero, olvidamos que esta facilidad de funcionalidad puede ser brutal si alguien más encuentra acceso a su sitio web. Entonces, mi recomendación es seguir todos los pasos que mencioné anteriormente en el artículo.

Si tiene algún problema, hágamelo saber a través de los comentarios y lo ayudaré a abordar ese problema.

Biografía del autor Kerin Miller es una bloguera apasionada y entusiasta de WordPress. Está asociada con Stellen Infotech y proporciona soluciones óptimas para desarrollo de sitios web personalizados en WordPress. También le gusta dedicar su tiempo a los blogs sobre su área de especialización. Puedes seguirla en Facebook, y Gorjeo!

Entradas relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.