¿Está viendo muchos ataques en su área de administración de WordPress? La protección del área de administración del acceso no autorizado le permite bloquear muchas amenazas de seguridad comunes. En este artículo, le mostraremos algunos de los consejos y trucos vitales para proteger su área de administración de WordPress.
1. Utilice un firewall de aplicaciones de sitios web
Un firewall de aplicaciones de sitios web o WAF monitorea el tráfico del sitio web y bloquea las solicitudes sospechosas para que no lleguen a su sitio web.
Si bien hay varios firewalls de WordPress plugins por ahí, recomendamos usar Sucuri. Es un servicio de seguridad y monitoreo de sitios web que ofrece un WAF basado en la nube para proteger su sitio web.
Todo el tráfico de su sitio web pasa primero por su proxy en la nube, donde analizan cada solicitud y evitan que las sospechosas lleguen a su sitio web. Evita que su sitio web tenga posibles intentos de piratería, phishing, malware y otras actividades maliciosas.
Para obtener más detalles, vea cómo Sucuri nos ayudó a bloquear 450.000 ataques en un mes.
2. Directorio de administración de WordPress protegido con contraseña
Su área de administración de WordPress ya está protegida por su contraseña de WordPress. Sin embargo, agregar protección con contraseña a su directorio de administración de WordPress agrega otra capa de seguridad a su sitio web.
Primero inicie sesión en su panel de control de cPanel de alojamiento de WordPress y luego haga clic en el icono ‘Directorios protegidos con contraseña’ o ‘Privacidad del directorio’.
A continuación, deberá seleccionar su carpeta wp-admin, que normalmente se encuentra dentro del directorio / public_html /.
En la siguiente pantalla, debe marcar la casilla junto a la opción ‘Proteger con contraseña este directorio’ y proporcionar un nombre para el directorio protegido.
Después de eso, haga clic en el botón Guardar para configurar los permisos.
A continuación, debe presionar el botón Atrás y luego crear un usuario. Se le pedirá que proporcione un nombre de usuario / contraseña y luego haga clic en el botón Guardar.
Ahora, cuando alguien intente visitar el directorio admin de WordPress o wp-admin en su sitio web, se le pedirá que ingrese el nombre de usuario y la contraseña.
Para obtener instrucciones más detalladas, consulte nuestra guía sobre cómo proteger con contraseña el directorio de administración de WordPress (wp-admin).
3. Utilice siempre contraseñas seguras
Utilice siempre contraseñas seguras para todas sus cuentas en línea, incluido su sitio de WordPress. Recomendamos utilizar una combinación de letras, números y caracteres especiales en sus contraseñas. Esto dificulta que los piratas informáticos adivinen su contraseña.
Los principiantes a menudo nos preguntan cómo recordar todas esas contraseñas. La respuesta más simple es que no es necesario. Hay algunas aplicaciones de administración de contraseñas realmente geniales que puede instalar en su computadora y teléfonos.
Para obtener más información sobre este tema, consulte nuestra guía sobre la mejor manera de administrar las contraseñas para principiantes de WordPress.
4. Utilice la verificación en dos pasos para la pantalla de inicio de sesión de WordPress
La verificación en dos pasos agrega otra capa de seguridad a sus contraseñas. En lugar de usar solo la contraseña, le pide que ingrese un código de verificación generado por la aplicación Google Authenticator en su teléfono.
Incluso si alguien puede adivinar su contraseña de WordPress, aún necesitará el código del Autenticador de Google para ingresar.
Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo configurar la verificación de 2 pasos en WordPress usando Google Authenticator.
5. Limite los intentos de inicio de sesión
De forma predeterminada, WordPress permite a los usuarios ingresar contraseñas tantas veces como deseen. Esto significa que alguien puede seguir intentando adivinar su contraseña de WordPress ingresando diferentes combinaciones. También permite a los piratas informáticos utilizar scripts automatizados para descifrar contraseñas.
Para solucionar este problema, debe instalar y activar el Inicio de sesión LockDown plugin. Tras la activación, vaya a visitar Configuración »Iniciar sesión LockDown página para configurar el plugin ajustes.
Para obtener instrucciones detalladas, consulte nuestra guía sobre por qué debe limitar los intentos de inicio de sesión en WordPress.
6. Limite el acceso de inicio de sesión a las direcciones IP
Otra excelente manera de asegurar el inicio de sesión de WordPress es limitando el acceso a direcciones IP específicas. Este consejo es particularmente útil si usted o solo unos pocos usuarios de confianza necesitan acceder al área de administración.
Simplemente agregue este código a su archivo .htaccess.
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx </LIMIT>
No olvide reemplazar los valores xx con su propia dirección IP. Si usa más de una dirección IP para acceder a Internet, asegúrese de agregarlas también.
Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo limitar el acceso al administrador de WordPress usando .htaccess.
7. Deshabilitar las sugerencias de inicio de sesión
En un intento fallido de inicio de sesión, WordPress muestra errores que les dicen a los usuarios si su nombre de usuario era incorrecto o la contraseña. Alguien puede utilizar estas sugerencias de inicio de sesión para intentos maliciosos.
Puede ocultar fácilmente estas sugerencias de inicio de sesión agregando este código al archivo functions.php de su tema o un sitio específico plugin.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
8. Exigir a los usuarios que utilicen contraseñas seguras
Si ejecuta un sitio de WordPress de varios autores, esos usuarios pueden editar su perfil y usar una contraseña débil. Estas contraseñas se pueden descifrar y dar acceso a alguien al área de administración de WordPress.
Para solucionar este problema, puede instalar y activar el Forzar contraseñas seguras plugin. Funciona de inmediato y no hay opciones para configurar. Una vez activado, evitará que los usuarios guarden contraseñas más débiles.
No comprobará la seguridad de la contraseña de las cuentas de usuario existentes. Si un usuario ya está usando una contraseña débil, podrá continuar usando su contraseña.
9. Restablecer contraseña para todos los usuarios
¿Le preocupa la seguridad de las contraseñas en su sitio de WordPress multiusuario? Puede pedir fácilmente a todos sus usuarios que restablezcan sus contraseñas.
Primero, debe instalar y activar el Restablecimiento de contraseña de emergencia plugin. Tras la activación, vaya a visitar Usuarios »Restablecimiento de contraseña de emergencia página y haga clic en el botón ‘Restablecer todas las contraseñas’.
Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo restablecer las contraseñas de todos los usuarios en WordPress.
10. Mantenga WordPress actualizado
WordPress a menudo lanza nuevas versiones del software. Cada nueva versión de WordPress contiene importantes correcciones de errores, nuevas funciones y correcciones de seguridad.
El uso de una versión anterior de WordPress en su sitio lo deja abierto a exploits conocidos y vulnerabilidades potenciales. Para solucionar este problema, debe asegurarse de estar utilizando la última versión de WordPress. Para obtener más información sobre este tema, consulte nuestra guía sobre por qué siempre debe usar la última versión de WordPress.
Del mismo modo, WordPress plugins también se actualizan a menudo para introducir nuevas funciones o solucionar problemas de seguridad y otros. Asegúrese de que su WordPress plugins también están actualizados.
11. Cree páginas personalizadas de inicio de sesión y registro
Muchos sitios de WordPress requieren que los usuarios se registren. Por ejemplo, los sitios de membresía, los sitios de administración de aprendizaje o las tiendas en línea necesitan que los usuarios creen una cuenta.
Sin embargo, estos usuarios pueden usar sus cuentas para iniciar sesión en el área de administración de WordPress. Este no es un gran problema, ya que solo podrán hacer las cosas permitidas por su rol de usuario y sus capacidades. Sin embargo, le impide limitar correctamente el acceso a las páginas de inicio de sesión y registro, ya que necesita esas páginas para que los usuarios se registren, administren su perfil e inicien sesión.
La manera más fácil de solucionar este problema es creando páginas de inicio de sesión y registro personalizadas, de modo que los usuarios puedan registrarse e iniciar sesión directamente desde su sitio web.
Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo crear páginas personalizadas de inicio de sesión y registro en WordPress.
12. Obtenga más información sobre los permisos y las funciones de usuario de WordPress
WordPress viene con un poderoso sistema de administración de usuarios con diferentes roles y capacidades de usuario. Al agregar un nuevo usuario a su sitio de WordPress, puede seleccionar un rol de usuario para él. Este rol de usuario define lo que pueden hacer en su sitio de WordPress.
Asignar un rol de usuario incorrecto puede brindar a las personas más capacidades de las que necesitan. Para evitar esto, debe comprender qué capacidades vienen con diferentes roles de usuario en WordPress. Para obtener más información sobre este tema, consulte nuestra guía para principiantes sobre los roles y permisos de usuario de WordPress.
13. Limite el acceso al panel
Algunos sitios de WordPress tienen ciertos usuarios que necesitan acceso al tablero y algunos usuarios que no. Sin embargo, de forma predeterminada, todos pueden acceder al área de administración.
Para solucionar este problema, debe instalar y activar el Eliminar el acceso al panel plugin. Tras la activación, vaya a Configuración »Acceso al panel página y seleccione qué roles de usuarios tendrán acceso al área de administración en su sitio.
Para obtener instrucciones más detalladas, consulte nuestra guía sobre cómo limitar el acceso al panel de control en WordPress.
14. Cerrar sesión de usuarios inactivos
WordPress no cierra automáticamente la sesión de los usuarios hasta que se desconectan explícitamente o cierran la ventana de su navegador. Esto puede ser una preocupación para los sitios de WordPress con información confidencial. Es por eso que los sitios web y las aplicaciones de las instituciones financieras cierran automáticamente la sesión de los usuarios si no han estado activos.
Para solucionar este problema, puede instalar y activar el Cierre de sesión de usuario inactivo plugin. Tras la activación, vaya a Configuración »Cierre de sesión de usuario inactivo e ingrese el tiempo después del cual desea que los usuarios se desconecten automáticamente.
Para obtener más detalles, consulte nuestro artículo sobre cómo cerrar sesión automáticamente a los usuarios inactivos en WordPress.
Esperamos que este artículo le haya ayudado a aprender algunos consejos y trucos nuevos para proteger su área de administración de WordPress. Es posible que también desee ver nuestra última guía de seguridad de WordPress paso a paso para principiantes.
Si le gustó este artículo, suscríbase a nuestro Canal de Youtube . También puedes encontrarnos en Twitter y Facebook.
14 consejos vitales para proteger su área de administración de WordPress (actualizada) .