Cómo y por qué debería limitar los intentos de inicio de sesión en WordPress (complemento+código)
Publicado: 2024-04-13Su sitio de WordPress es como su hogar en el mundo en línea. Así como cerrarías tus puertas con llave para mantener alejados a los intrusos, es esencial proteger tu sitio web contra las amenazas cibernéticas.
Una forma inteligente de hacerlo es limitando los intentos de inicio de sesión. Es como poner un guardia en la puerta, listo para detener a cualquiera que intente colarse. Y como sabes, WordPress es un objetivo común para todos los piratas informáticos. Una estadística reciente sobre la seguridad de WordPress compartida por Colorlib muestra que
Al menos 13.000 sitios web de WordPress son pirateados cada día.
Por lo tanto, para proteger su sitio web, debe limitar los intentos de inicio de sesión en su sitio web de WordPress.
Si se pregunta cómo limitar los intentos de inicio de sesión, no se preocupe. En este tutorial paso a paso, le mostraremos cómo limitar los intentos de inicio de sesión en WordPress a menos de 10 minutos , garantizado.
¿Entusiasmado? Impresionante. ¡Empecemos!
Por qué debería limitar los intentos de inicio de sesión en WordPress
La razón principal para limitar los intentos de inicio de sesión en su sitio es proteger su sitio web. Aquí hay 3 razones principales para limitar los intentos de inicio de sesión:
(I) Detiene los ataques de fuerza bruta
Los ataques de fuerza bruta son una táctica común en la que los piratas informáticos utilizan herramientas automatizadas para adivinar nombres de usuario y contraseñas repetidamente hasta obtener acceso.
De forma predeterminada, WordPress permite intentos ilimitados, lo que facilita que los atacantes tengan éxito mediante prueba y error. Limitar los intentos reduce significativamente las posibilidades de que un ataque de fuerza bruta tenga éxito.
(II) Previene el relleno de credenciales
El relleno de credenciales implica el uso de combinaciones de nombre de usuario y contraseña robadas (de otras violaciones de datos) para intentar iniciar sesión en diferentes sitios web.
Con intentos limitados, incluso si se utilizan credenciales robadas, el atacante queda bloqueado antes de adivinar las correctas.
(III) Reduce la carga de seguridad
Los intentos ilimitados pueden generar una avalancha de solicitudes de inicio de sesión, abrumando su servidor y afectando el rendimiento del sitio web.
Limitar los intentos reduce la cantidad de inicios de sesión fallidos, lo que reduce la presión sobre los recursos de su servidor.
Lea también: Una lista de verificación detallada de seguridad del sitio web de WordPress para 2024
2 formas sencillas de limitar los intentos de inicio de sesión en WordPress
Ahora sabes por qué deberías limitar los intentos de inicio de sesión. Es hora de mostrarte cómo hacerlo. Principalmente existen dos formas de limitar los intentos de inicio de sesión en WordPress. Ellos son:
- Limitar los intentos de inicio de sesión mediante un complemento
- Limitar los intentos de inicio de sesión manualmente
Le mostraremos ambas formas con las capturas de pantalla y el código necesarios. Entonces, sin más preámbulos, ¡comencemos con el tutorial!
Método 01: limitar los intentos de inicio de sesión en WordPress mediante un complemento
Para ser honesto, hay varios complementos de intentos de inicio de sesión de límite de WordPress disponibles. Puede ir al repositorio de complementos de WordPress y simplemente buscar el complemento: "Complementos de límite de inicio de sesión de WordPress" y obtendrá varios complementos. Elija un complemento confiable según su elección.
Sin embargo, en este tutorial, usaremos el complemento “Limitar intentos de inicio de sesión recargados” para mostrarle cómo limitar los intentos de inicio de sesión en su sitio de WordPress. Este es el complemento más popular en esta categoría con más de 2 millones de instalaciones activas y una increíble calificación de 4,9 sobre 5.
¡Ahora comencemos con el tutorial!
Paso 01: Instale el complemento recargado para limitar los intentos de inicio de sesión
Inicie sesión en su backend de WordPress y navegue hasta Complementos -> Agregar nuevo complemento . Hay un cuadro de búsqueda para buscar el complemento. Escriba el nombre del complemento: Limitar intentos de inicio de sesión recargados y luego instale el complemento desde el resultado de la búsqueda.
Finalmente, active el complemento para usarlo en su sitio.
Paso 02: Configurar el complemento recargado para limitar los intentos de inicio de sesión
Después de activar el complemento, navegue hasta su panel de WordPress. Allí encontrará una nueva opción en el panel izquierdo: Limitar intentos de inicio de sesión .
Ahora coloque el cursor sobre la opción Limitar intentos de inicio de sesión y haga clic en el botón Configuración . Te llevará a una nueva interfaz.
Aquí puede hacer clic en la opción de cumplimiento de GDPR para mostrar el mensaje de GDPR en su página de inicio de sesión. Además, debe insertar su correo electrónico aquí para recibir actualizaciones sobre quién está bloqueado en su sitio.
Ahora desplácese un poco hacia abajo y concéntrese en el segmento de aplicaciones locales.
Hay algunas opciones para configurar:
- Reintentos permitidos: número de intentos fallidos permitidos antes del bloqueo.
- Minutos de bloqueo: Tiempo de bloqueo en minutos.
- Tiempo de bloqueo : después del número especificado de bloqueos, el tiempo de bloqueo aumentará en las horas especificadas.
- Horas hasta que se restablezcan los reintentos: tiempo en horas antes de que se eliminen los bloqueos.
Después de configurar estas opciones, no olvide presionar el botón Guardar configuración para guardar todos los cambios.
Paso 03: comprueba si está funcionando
Ahora cierre sesión en su sitio web de WordPress e intente iniciar sesión nuevamente con las credenciales incorrectas. Si muestra cuántos intentos quedan o te bloquea, podemos decir que está funcionando perfectamente.
Ahora navegue hasta Limitar intentos de inicio de sesión -> Panel de control para verificar el informe de inicio de sesión fallido.
¡Eso es todo!
Así es como puedes limitar los intentos de inicio de sesión en tu sitio web utilizando un complemento de WordPress.
Método 02: limitar los intentos de inicio de sesión manualmente (codificación)
Si no desea agregar un complemento adicional para limitar los intentos de inicio de sesión, puede hacerlo accediendo a su archivo funciones.php.
Para hacer eso, debe iniciar sesión en su panel de control (cPanel). Luego navegue hasta Administrador de archivos -> public_html -> wp-content -> temas -> su tema actualmente activado.
Allí encontrará el archivo funciones.php .
Haga clic en el archivo y pegue este código en la parte inferior del archivo.
Finalmente, guarde el archivo para completar este proceso.
function check_attempted_login( $user, $username, $password ) { if ( get_transient( 'attempted_login' ) ) { $datas = get_transient( 'attempted_login' ); if ( $datas['tried'] >= 3 ) { $until = get_option( '_transient_timeout_' . 'attempted_login' ); $time = time_to_go( $until ); return new WP_Error( 'too_many_tried', sprintf( __( '<strong>ERROR</strong>: You have reached authentication limit, you will be able to try again in %1$s.' ) , $time ) ); } } return $user; } add_filter( 'authenticate', 'check_attempted_login', 30, 3 ); function login_failed( $username ) { if ( get_transient( 'attempted_login' ) ) { $datas = get_transient( 'attempted_login' ); $datas['tried']++; if ( $datas['tried'] <= 3 ) set_transient( 'attempted_login', $datas , 300 ); } else { $datas = array( 'tried' => 1 ); set_transient( 'attempted_login', $datas , 300 ); } } add_action( 'wp_login_failed', 'login_failed', 10, 1 ); function time_to_go($timestamp) { // converting the mysql timestamp to php time $periods = array( "second", "minute", "hour", "day", "week", "month", "year" ); $lengths = array( "60", "60", "24", "7", "4.35", "12" ); $current_timestamp = time(); $difference = abs($current_timestamp - $timestamp); for ($i = 0; $difference >= $lengths[$i] && $i < count($lengths) - 1; $i ++) { $difference /= $lengths[$i]; } $difference = round($difference); if (isset($difference)) { if ($difference != 1) $periods[$i] .= "s"; $output = "$difference $periods[$i]"; return $output; } }Ahora cierre sesión en su sitio de WordPress y vuelva a intentar iniciar sesión con las credenciales incorrectas. Si lo bloquea de su sitio web, eso significa que ha implementado con éxito la función de límite de intentos de inicio de sesión para su sitio web de WordPress.
¡Felicidades!
Ahora ya sabes cómo limitar los intentos de inicio de sesión en WordPress con y sin utilizar un complemento.
Bonificación: mejores prácticas para mejorar la seguridad de inicio de sesión
Mejorar la seguridad de inicio de sesión en su sitio de WordPress es crucial para proteger su sitio web y sus datos del acceso no autorizado.
A continuación se muestran algunas prácticas recomendadas para mejorar la seguridad de inicio de sesión:
- Establezca una contraseña de inicio de sesión segura : utilice una contraseña compleja y única para su inicio de sesión de WordPress. Evite contraseñas comunes como “contraseña123” o frases fáciles de adivinar. Opte por una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Las contraseñas más largas suelen ser más seguras. Además, considere utilizar un administrador de contraseñas para generar y almacenar de forma segura sus contraseñas.
- Utilice reCAPTCHA : integre reCAPTCHA en su página de inicio de sesión para evitar que los robots automatizados intenten ingresar por la fuerza bruta a su sitio. reCAPTCHA requiere que los usuarios verifiquen que son humanos completando un desafío simple, como seleccionar imágenes o resolver acertijos. Esto ayuda a bloquear bots maliciosos y permite a los usuarios legítimos acceder a su sitio sin obstáculos.
- Implemente la autenticación de dos factores (2FA) : habilite la autenticación de dos factores para obtener una capa adicional de seguridad más allá de una simple contraseña. Con 2FA, los usuarios deben proporcionar una segunda forma de verificación, como un código temporal enviado a su dispositivo móvil o generado por una aplicación de autenticación, además de su contraseña. Esto reduce significativamente el riesgo de acceso no autorizado, incluso si las contraseñas están comprometidas.
- Deshabilitar usuarios inactivos : revise y deshabilite periódicamente las cuentas de usuarios inactivos para minimizar el riesgo de acceso no autorizado. Las cuentas no utilizadas o inactivas pueden ser objetivos fáciles de explotar para los piratas informáticos. Considere implementar procesos automatizados para desactivar cuentas que hayan estado inactivas durante un período específico o requieran que los usuarios confirmen periódicamente su actividad.
Al implementar estas mejores prácticas, puede mejorar significativamente la seguridad de inicio de sesión de su sitio de WordPress, reduciendo el riesgo de acceso no autorizado y mejorando la protección general contra actividades maliciosas.
Resumiendo cómo limitar los intentos de inicio de sesión en WordPress
¡Eso es todo por nuestra guía sobre cómo limitar los intentos de inicio de sesión en WordPress! Recuerde, este simple paso puede marcar una gran diferencia a la hora de mantener su sitio a salvo de amenazas en línea. Es como ponerle un candado a su puerta digital: esencial para proteger su valiosa información.
A medida que avanza con su sitio web, tenga en cuenta la seguridad. Manténgase actualizado sobre los últimos consejos de seguridad y prepárese para ajustar sus medidas según sea necesario. Después de todo, mantener su sitio seguro es un trabajo continuo.
Por lo tanto, siéntase seguro de fortalecer la seguridad de su sitio. Al limitar los intentos de inicio de sesión, no sólo se protege a usted mismo, sino también a sus visitantes. Por una comunidad de WordPress más segura y feliz, paso a paso. ¡Manténgase seguro y siga prosperando en línea!