Los fundamentos de la seguridad de WordPress: cómo manejar múltiples intentos fallidos de inicio de sesión
Publicado: 2022-04-28Si está ejecutando un sitio web o simplemente está creando uno, sabrá que WordPress es uno de los mejores sistemas CMS utilizados por muchos en todo el mundo, que también es la razón por la que muchos piratas informáticos lo atacan.
No crea que solo los grandes sitios web son pirateados; los pequeños son igualmente atractivos para los piratas informáticos, ya que también almacenan datos de clientes privados. Una de las formas más comunes de atacar un sitio de WordPress es en múltiples intentos de inicio de sesión. Esa es la razón por la que explicaremos por qué es importante reconocer y observar múltiples intentos de inicio de sesión fallidos y la forma de prevenirlos.
Primero entraremos en más detalles sobre el alojamiento. Pero, en esencia, un excelente alojamiento es siempre su primera línea de defensa. El alojamiento WPMU DEV cumple todos los requisitos. Es asequible, rápido, seguro, totalmente dedicado y el host de WordPress número 1 en TrustPilot. Obtén un 20% de descuento en cualquiera de sus planes aquí.
Intentos de inicio de sesión fallidos
Para usar cualquier sitio de WordPress, debe tener un nombre de usuario y una contraseña, lo que significa que debe iniciar sesión. Hay una línea muy fina entre olvidar una contraseña y un bot que intenta entrar en su sitio. Así que aquí es donde entra en juego el monitoreo de los intentos fallidos de inicio de sesión como medida de seguridad.
Cuando su sitio muestre el mensaje de error "demasiados intentos de inicio de sesión fallidos", verifique lo que está sucediendo. No lo descarte simplemente como “ok. Alguien acaba de olvidar su contraseña”, ya que los ataques de fuerza bruta dirigidos pueden conducir a DDoS y su sitio puede colapsar.
El primer obstáculo para este ataque puede ser que después de que el usuario específico intente iniciar sesión con las credenciales incorrectas, WordPress establezca el tiempo de espera que debe expirar, incluso si el mismo usuario intenta iniciar sesión nuevamente con las credenciales correctas.
Aquí es donde la función de seguridad de OWASP.org puede ayudarlo. Este es un software de código abierto que ayuda a bloquear los ataques de fuerza bruta.
Cómo manejar varios intentos fallidos de inicio de sesión
Mantenga siempre actualizado su sitio de WordPress
WordPress lanza actualizaciones de software en un horario establecido, así que no las evite. Estas actualizaciones se encargan del rendimiento de su sitio y eso incluye configuraciones actualizadas de seguridad y privacidad. Al continuar con las actualizaciones, permite que WordPress proteja su sitio, y este es el paso número dos para proteger su sitio.
Límite de intentos de inicio de sesión
De forma predeterminada, WordPress permite intentos de inicio de sesión ilimitados, pero esto no significa que deba dejar que se ejecute de esa manera. Limite los intentos de inicio de sesión en su sitio a tres (que suele ser el número preferido de intentos fallidos permitidos). Hay dos formas de lograrlo, con un complemento o mediante un host de WordPress.
Los complementos gratuitos que le permitirán limitar los intentos fallidos de inicio de sesión son:
1. Limite los intentos de inicio de sesión (detenga los inicios de sesión falsos)
Limite los intentos de inicio de sesión (detenga los inicios de sesión falsos)
Este complemento bloqueará automáticamente la dirección IP que exceda el límite de intentos establecido. Este complemento le permite agregar manualmente la dirección IP a la lista de bloqueo, informar al usuario sobre los reintentos restantes y le brinda la posibilidad de desbloquear a los usuarios bloqueados por correo electrónico o panel. Limitará los reintentos por IP y es compatible con Google CAPTCHA.
2. Limite los intentos de inicio de sesión
Límite de intentos de inicio de sesión
Este es un complemento que limitará los intentos de inicio de sesión, aumentará la seguridad de inicio de sesión, la protección contra correo no deseado y proporcionará a su sitio protección contra ataques de fuerza bruta, bloqueará registros de usuarios falsos y podrá obtener informes y auditorías sobre actividades en su sitio web ( incluso puede exportar estos informes si lo necesita). Este es un software gratuito y de código abierto.
Seguridad del alojamiento web
Incluso cuando protege su sitio de WordPress contra entradas no autorizadas, no olvide que la seguridad de su proveedor de alojamiento es tan importante como la de su sitio de WordPress. Así que eche un vistazo a las características de su proveedor de alojamiento web.
Tal vez solo necesite actualizarlo a un plan superior de su proveedor actual, pero también considere migrar su sitio a un nuevo proveedor de alojamiento web confiable con actualizaciones fuertes y frecuentes en su software de servidor y seguridad de hardware.
Busque uno que brinde un equipo de soporte técnico 24/7 que pueda resolver los problemas de seguridad de su sitio y proteger su información. Un host que ofrece copias de seguridad automatizadas de su sitio web completo también es una excelente opción.
Como ya hemos mencionado, nuestra mejor opción para esto es WPMU DEV. Lo que más nos gusta de WPMU DEV Hosting es que está repleto de funciones de alojamiento únicas y potentes que no encontrará en ningún otro lugar (como 7 complementos pro-WP integrados). Compruébelo usted mismo y obtenga un 20% de descuento en cualquiera de sus planes de alojamiento aquí.
Aumente la seguridad de inicio de sesión
Use un complemento de seguridad de WordPress que habilitará un proceso de autenticación de dos pasos como una capa de seguridad adicional. Hay diferentes maneras de hacer esto; códigos enviados al teléfono del usuario, verificación de correo electrónico, etc. Lo que funcione mejor para su equipo.
1. Seguridad de iThemes
iThemes Security (anteriormente Better WP Security)
Este complemento, entre otras funciones, asegurará su inicio de sesión de WordPress con estas funciones: autenticación de dos factores (2FA) que requerirá que su usuario ingrese un código de seguridad (junto con una contraseña), correo electrónico, códigos de respaldo y autenticación de Google.
2. Seguridad de SiteGround
Seguridad de SiteGround
Este complemento requerirá que todos los usuarios administradores proporcionen un token que se genera desde la aplicación de autenticación de Google al iniciar sesión.
3. Seguridad WP todo en uno
Todo en uno WP Seguridad y cortafuegos
Este complemento tiene reglas de seguridad clasificadas en reglas "básicas", "intermedias" y "avanzadas". Es 100% gratuito y algunas de sus características son la seguridad de la cuenta de usuario, la seguridad de inicio de sesión de usuario que protegerá su sitio de los "ataques de inicio de sesión de fuerza bruta" y la seguridad de registro de usuario.
Seguridad de la red
La red que está utilizando también puede representar una amenaza para la seguridad de su sitio. Las redes públicas no suelen estar muy bien protegidas; estamos hablando de lugares como cafeterías, bibliotecas, redes públicas en centros comerciales, etc.
Una estrategia de seguridad importante para protegerte en una red Wi-Fi pública es usar una red privada virtual, una VPN. También es una gran protección cuando se usa Wi-Fi doméstico para negocios o cualquier otra cosa, así que considere consultar algunos proveedores.
Seguridad fuera del sitio
Esta es también una característica de seguridad muy importante a tener en cuenta para la protección de su sitio de WordPress. Todas las aplicaciones y bases de datos que se utilizan en modo sin conexión son un riesgo potencial para la seguridad, así que asegúrese de que estén integradas de forma segura con su sitio de WordPress.
Conclusión
Como creador de sitios web fácil de usar, millones utilizan WordPress. Para tener un sitio seguro, el primer paso es prevenir los ataques de fuerza bruta monitoreando y manejando correctamente todos los intentos fallidos de inicio de sesión. Esta es una forma de protección imprescindible para los sitios web y el tipo de ataque que los piratas informáticos utilizan con demasiada frecuencia.
Además, todos los demás aspectos de seguridad que mencionamos en este artículo protegerán su sitio, así que no los subestime.