5 reglas simples para la seguridad de inicio de sesión de WordPress

Publicado: 2020-09-25

Una estrategia de seguridad de WordPress exitosa debe incluir pasos para fortalecer el inicio de sesión de WordPress. En esta publicación, cubrimos las cinco reglas simples para una mejor seguridad de inicio de sesión de WordPress.

Lo mejor de WordPress es cómo hace que la creación de un sitio web sea accesible para casi cualquier persona. Pero con esa accesibilidad viene la previsibilidad. Cualquiera con experiencia trabajando con WordPress sabe dónde se realizan los cambios en el sitio: a través del área wp-admin . Incluso saben a dónde deben ir para acceder a la página wp-admin , wp-login.php .

De forma predeterminada, la URL de inicio de sesión de WordPress es la misma para todos los sitios de WordPress y no requiere ningún permiso especial para acceder. Es por eso que la página de inicio de sesión de WordPress es la parte más atacada y potencialmente vulnerable de cualquier sitio de WordPress.

Desafortunadamente, crear un bot que vagará por Internet cometiendo ataques de fuerza bruta no requiere mucha habilidad, y cualquier pirata informático de nivel principiante puede crear uno. Debido a que los ataques a la página de inicio de sesión de WordPress tienen una barrera de entrada baja, la seguridad de inicio de sesión de WordPress es crucial para proteger cualquier sitio de WordPress.

Si sigue estas reglas y utiliza las mejores prácticas de seguridad de WordPress, puede evitar ser vulnerable a los errores comunes de inicio de sesión de los usuarios.

Seguridad de inicio de sesión de WordPress

1. Utilice contraseñas seguras

Hay mucha información confusa y contradictoria sobre las mejores prácticas de seguridad de contraseñas en Internet. En un esfuerzo por aclarar esa confusión, analicemos los conceptos básicos de cómo el uso de una contraseña segura mejora la seguridad de WordPress.

Siempre que cree una contraseña, el primer elemento que deberá considerar es la longitud de la contraseña. La siguiente lista muestra el tiempo estimado que lleva descifrar una contraseña con un procesador i5 de cuatro núcleos.

  • 7 caracteres tardarán 0,29 milisegundos en descifrarse.
  • 8 caracteres tardarán 5 horas en descifrarse.
  • 9 caracteres tardarán 4 meses en descifrarse.
  • 10 personajes tardarán 1 década en descifrarse
  • 12 caracteres tardarán 2 siglos en descifrarse.

Como puede ver, agregar un solo carácter a su contraseña puede aumentar significativamente la seguridad de su inicio de sesión. Una contraseña que tenga al menos 12 caracteres de longitud, aleatoria e incluya una gran cantidad de caracteres como " ISt8XXa! 28X3 " hará que sea muy difícil de descifrar.

Desafortunadamente, algunos piratas informáticos están aprovechando las GPU y las CPU más fuertes para disminuir la cantidad de tiempo necesario para descifrar contraseñas. Entonces, para fortalecer sus inicios de sesión, también tenga en cuenta la entropía de su contraseña. Cuanto mayor sea la entropía de la contraseña, más difícil será descifrar la contraseña.

Por ejemplo, basándose solo en el requisito de longitud, una contraseña como “ abcdefghijkl ” tiene 12 caracteres, lo cual es genial y debería tardar 200 años en descifrarse. Sin embargo, dado que la contraseña utiliza cadenas secuenciales de letras, hace que la contraseña sea mucho más predecible en comparación con una contraseña como " rfybolaawtpm ", que tiene caracteres aleatorios.

La asignación aleatoria de caracteres disminuye la previsibilidad y aumenta la seguridad de la contraseña. Pero ambas contraseñas tienen una cosa en común que, en última instancia, reduce la entropía de la contraseña. Ambos solo usan letras minúsculas, lo que limita el grupo de caracteres posibles a 26. Por eso es vital incluir letras alfanuméricas, mayúsculas y caracteres ASCII comunes para aumentar el grupo de caracteres necesarios para descifrar la contraseña a 92.

Consejo: utilice un administrador de contraseñas como LastPass para generar y almacenar contraseñas de forma segura y fácil.
Consejo: como mínimo, debería exigir a los usuarios que pueden editar WordPress que utilicen contraseñas seguras. El uso de un complemento de seguridad de WordPress como iThemes Security Pro para obligar a los usuarios privilegiados a utilizar contraseñas seguras ayudará a aumentar la seguridad de inicio de sesión de WordPress.

2. Utilice una contraseña única para cada cuenta

Otra de las mejores prácticas para la seguridad en línea es usar contraseñas únicas para cada cuenta e inicio de sesión en el sitio web que tenga. Esto es tan importante que lo diremos de nuevo: debes usar una contraseña diferente para cada sitio.

¿Por qué es tan importante la reutilización de contraseñas? Si usa la misma contraseña para cada sitio y uno de esos sitios está comprometido, ahora está usando una contraseña comprometida para cada cuenta, en cada sitio. Los piratas informáticos pueden utilizar volcados de datos de contraseñas comprometidas junto con su dirección de correo electrónico o nombre de usuario para obtener acceso a sus cuentas. Es mejor ni siquiera correr el riesgo.

Cuantos más usuarios tenga que reutilicen contraseñas, más débil será la seguridad de inicio de sesión de WordPress. En una lista compilada por Splash Data, la contraseña más común incluida en todos los volcados de datos fue 123456. La seguridad de inicio de sesión de WordPress de su sitio es tan fuerte como el enlace más débil, así que sea proactivo con requisitos de contraseña estrictos.

Consejo: proteja WordPress de contraseñas comprometidas

Puede proteger WordPress de contraseñas comprometidas con un complemento como iThemes Security Pro. iThemes Security Pro aprovecha la API HaveIBeenPwned para detectar si ha aparecido o no una contraseña en una violación de datos.

Sugerencia: anime a los usuarios a que cambien las contraseñas con frecuencia

Las características de requisitos de contraseña de iThemes Security le permiten forzar a todos sus usuarios a cambiar su contraseña la próxima vez que inicien sesión. Obligar a los usuarios a crear una nueva contraseña, permite que todos comiencen de nuevo con una contraseña segura y sin compromisos, lo que aumentará su inicio de sesión de WordPress. seguridad.

Consejo: use un administrador de contraseñas

En última instancia, el uso de un administrador de contraseñas puede ayudarlo a realizar un seguimiento de sus inicios de sesión y contraseñas únicas. Con la ayuda de un administrador de contraseñas, no es necesario que recuerde sus contraseñas.

3. Limite los intentos de inicio de sesión

De forma predeterminada, no hay nada integrado en WordPress para limitar la cantidad de intentos fallidos de inicio de sesión que alguien puede realizar. Sin un límite en el número de intentos fallidos de inicio de sesión que puede realizar un atacante, puede seguir probando una cantidad infinita de nombres de usuario y contraseñas hasta que tengan éxito.

Aumente la seguridad de inicio de sesión de WordPress instalando un complemento de seguridad de WordPress como iThemes Security Pro para limitar el número de intentos fallidos de inicio de sesión. La función de protección de fuerza bruta de iThemes Security Pro WordPress le brinda el poder de establecer el número de intentos fallidos de inicio de sesión permitidos antes de que se bloquee un nombre de usuario o IP. Un bloqueo deshabilitará temporalmente la capacidad del atacante para realizar intentos de inicio de sesión. Una vez que los atacantes hayan sido bloqueados tres veces, se les prohibirá incluso ver el sitio.

Nota: Al decidir qué tan estrictas desea que sean sus reglas para los intentos fallidos de inicio de sesión, tenga en cuenta a los usuarios reales de su sitio. Si hace que las reglas de bloqueo sean demasiado implacables, corre el riesgo de bloquear inadvertidamente a usuarios reales.

4. Limite los intentos de autenticación externa por solicitud

Hay otras formas de iniciar sesión en WordPress además de usar un formulario de inicio de sesión. Con XML-RPC, un atacante puede realizar cientos de intentos de nombre de usuario y contraseña en una sola solicitud HTTP. El método de amplificación de fuerza bruta permite a los atacantes realizar miles de intentos de nombre de usuario y contraseña utilizando XML-RPC en solo unas pocas solicitudes HTTP. Cuando sabe que un atacante puede usar volcados de bases de datos como punto de partida y hacer miles de conjeturas por solicitud, aclara la importancia de la seguridad de inicio de sesión de WordPress.

Con la configuración de ajustes de WordPress de iThemes Security Pro, puede bloquear varios intentos de autenticación por solicitud XML-RPC. Limitar el número de intentos de nombre de usuario y contraseña a uno por cada solicitud contribuirá en gran medida a asegurar su inicio de sesión de WordPress.

Además, cuando esté desarrollando su plan de seguridad de inicio de sesión de WordPress, es importante tener en cuenta que la API de WordPress Rest agrega formas adicionales de autenticar a un usuario de WordPress. La autenticación de cookies es un método de autenticación cuando inicia sesión. WordPress almacena automáticamente una cookie para que los complementos y temas puedan realizar una función en su nombre. La autenticación de cookies se beneficiará de las protecciones que ha agregado a wp-login.php.

5. Utilice la autenticación de dos factores

Guardé el mejor método para aumentar la seguridad de inicio de sesión de WordPress para el final: la autenticación de dos factores de WordPress. La autenticación de dos factores requiere un código adicional junto con su nombre de usuario y contraseña de WordPress para iniciar sesión.

Hay muchos métodos de autenticación de dos factores, pero no todos son iguales. Si puede, evite usar texto para la autenticación de dos factores. El Instituto Nacional de Estándares y Tecnología ya no recomienda el uso de SMS para enviar y recibir códigos de autenticación.

Con un complemento de seguridad de WordPress, como iThemes Security Pro, debe habilitar el método de correo electrónico o aplicación móvil de dos factores.

Solo tenga en cuenta que muchos sitios requieren que use una dirección de correo electrónico como nombre de usuario. Si un atacante piratea uno de estos sitios, el siguiente paso será intentar iniciar sesión en las cuentas de correo electrónico utilizando las nuevas direcciones de correo electrónico y contraseñas que robó. Si uno de sus usuarios o clientes está reutilizando contraseñas comprometidas en cada sitio, su cuenta de correo electrónico, junto con sus códigos de correo electrónico de dos factores, se verán comprometidos.

El método de aplicación móvil de dos factores hará más para aumentar la seguridad de inicio de sesión de WordPress. El código de autenticación adicional que se requiere para iniciar sesión se enviará al teléfono del usuario. Por lo tanto, incluso si un atacante tiene acceso a las credenciales de correo electrónico y de WordPress, todavía no habrá forma de que inicien sesión.

Resumen: una lista de verificación de seguridad de inicio de sesión de WordPress simple

La seguridad de inicio de sesión de WordPress debe ser la máxima prioridad en todos los sitios. Ahora que sabe cómo aumentar la seguridad de inicio de sesión en su sitio, puede aprovechar esta eficaz estrategia de prevención de piratería.

  • 1. Utilice contraseñas seguras
  • 2. Utilice contraseñas únicas para cada cuenta
  • 3. Limite los intentos de inicio de sesión
  • 4. Limite los intentos de autenticación
  • 5. Utilice la autenticación de dos factores

complemento de seguridad de wordpress

Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web de WordPress

iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 30 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con la autenticación de dos factores de WordPress, la protección contra la fuerza bruta, la aplicación estricta de contraseñas y más, puede agregar una capa adicional de seguridad a su sitio web.

Obtenga iThemes Security ahora