Cómo limitar los intentos de inicio de sesión en WordPress: proteja su sitio web de ser pirateado

Clavo

Hay un aumento drástico en los intentos de piratería en los últimos años. Miles de sitios web se infectan con algún tipo de malware cada día. El 75% de ellos están en la plataforma WordPress lo cual es un dato serio a tener en cuenta.

La última investigación revela que el 80% de las empresas sufrieron algún tipo de ciberataque en los últimos 12 meses. El ransomware es la última tendencia en la categoría y los expertos en seguridad predicen que sus costos por daños superarán los $ 5 mil millones este año.

Los piratas informáticos siempre intentan descifrar su sistema de WordPress. Harán repetidos intentos de inicio de sesión hasta que descifren su sitio web. Limitar los intentos de inicio de sesión es la mejor solución posible para superar esta situación. Limite los reintentos de inicio de sesión en su sitio y, si alguien supera el número en un período corto de tiempo, deshabilite automáticamente la función de inicio de sesión para el rango de IP seleccionado.

¿Qué es un ataque de fuerza bruta?

Clavo

Hoy en día WordPress es utilizado por millones de personas de todo el mundo. Se utiliza para administrar cuentas comerciales y cuentas personales.

De hecho, hay millones de sitios de WordPress que se usan para bloguear, pero también hay muchos sitios que usan WordPress para administrar tiendas en línea e incluso sus sitios web corporativos. La popularidad de WordPress lo ha convertido en uno de los sitios más buscados por los piratas informáticos.

El ataque de fuerza bruta es un ataque cibernético en el que un pirata informático o un programa especialmente diseñado intenta iniciar sesión en su sitio probando muchas combinaciones diferentes de nombres de usuario y contraseñas. Pueden combinar letras y números, mayúsculas y minúsculas, las primeras letras del nombre de usuario y las últimas letras del nombre del sitio web.

En un ataque de fuerza bruta distribuido, el programa de ataque puede ejecutarse en muchas máquinas y cada máquina puede probar un subconjunto de contraseñas.

Si tiene éxito, el acceso de back-end de su sitio web caerá en manos de delincuentes. Para recuperarlo, tendrá que pagarles una gran cantidad dependiendo del valor de su negocio.

Sin embargo, a veces puede no ser efectivo. Por lo tanto, es muy esencial proteger su negocio en línea contra intentos de piratería.

Los mejores complementos para limitar los intentos de inicio de sesión en WordPress

Hoy, voy a enumerar los 7 mejores complementos para limitar los intentos de inicio de sesión en WordPress. La mayoría de ellos son gratuitos y te permiten bloquear ataques de fuerza bruta en pasos simples.

1.iThemes Security Pro

Clavo

iThemes Security es el complemento de seguridad número 1 de WordPress. Cubre muchas características como monitoreo de seguridad en tiempo real, escaneo de vulnerabilidades, autenticación de dos factores, detección de bots malos y más.

Después de la activación, abra la pestaña Seguridad en el panel izquierdo de su tablero. Visite el módulo Protección contra la fuerza bruta local y configure los ajustes para limitar los intentos de inicio de sesión en su blog de WordPress.

Le permite bloquear o prohibir permanentemente a un usuario después de que alcance los límites del umbral. El inicio de sesión basado en dispositivos es una característica única de iThemes Security Pro. Todo lo que tiene que hacer es agregar los dispositivos que usa a su lista de Dispositivos confiables. Cuando inicie sesión más tarde, el complemento verificará automáticamente su identidad y facilitará el inicio de sesión y bloqueará el inicio de sesión desde otros dispositivos.

También puede proteger las páginas de inicio de sesión con códigos de autenticación de dos factores recibidos a través de la aplicación móvil, correo electrónico o copia de seguridad.

2. Seguridad de Wordfence

Clavo

Wordfence es un popular complemento de seguridad gratuito de WordPress con más de 4 millones de descargas. Viene con varias opciones para proteger su sitio web de ser pirateado o infectado. Las características incluyen seguridad de inicio de sesión, filtro de correo no deseado, vista de tráfico en vivo, firewall, lista negra de dominios, escaneo de malware, etc.

Después de la activación, visite el menú de Wordfence en el panel izquierdo > Opciones y desplácese hacia abajo para ubicar las opciones de seguridad de inicio de sesión.

Clavo

Le mostrará una serie de opciones para habilitar la protección de inicio de sesión en su sitio web. Establezca el número máximo de intentos de inicio de sesión e intentos de contraseña olvidada, período de bloqueo, etc. Habilite las casillas de verificación restantes para mejorar el nivel de seguridad de sus inicios de sesión. Solicite al complemento que bloquee inmediatamente los nombres de usuario no válidos y evite que los piratas informáticos detecten nombres de usuario reales en su sitio a través de escaneos o módulos API.

También le permite especificar nombres de usuario cuyas direcciones IP se bloquearán inmediatamente. Wordfence es un software de código abierto que proporciona estadísticas detalladas y notificaciones sobre varios eventos de seguridad que ocurren en su sitio web.

3. Mal cuidado

Clavo

Malcare es la suite de seguridad más completa para WordPress. Escanea su sitio web a intervalos regulares para detectar y eliminar malware antes de que su negocio se infecte.

Las amenazas de seguridad deben eliminarse lo antes posible, ya que Google puede incluir su sitio en la lista negra si no se detecta a tiempo. Gracias a la tecnología avanzada de detección de amenazas de Malcare y la opción de eliminación de malware con un solo clic. Reduce sus horas de arduo trabajo y elimina el riesgo de pérdida.

Malcare bloquea los ataques de fuerza bruta con un firewall en tiempo real y protección Captcha. También bloqueará al usuario después de realizar una cierta cantidad de intentos fallidos de inicio de sesión. El monitoreo del tiempo de actividad, las alertas de vulnerabilidad y las copias de seguridad diarias son otras características que hacen de Malcare una herramienta esencial para los sitios web comerciales.

4. Seguridad y cortafuegos todo en uno WP

Clavo

All in One WP Security & Firewall es otro complemento de seguridad gratuito para WordPress. Combina varias características de seguridad que son esenciales para proteger el sitio web de su blog de ser pirateado.

Después de la activación, vaya a Seguridad de WP > Inicio de sesión de usuario para habilitar la función de bloqueo de inicio de sesión.

Clavo

Habilite la función e ingrese un valor para el máximo de intentos de inicio de sesión. Si alguien supera el límite con intentos de inicio de sesión fallidos, la misma dirección IP se bloqueará para más intentos.

Establezca el tiempo de bloqueo durante el cual la dirección IP bloqueada no podrá iniciar sesión. El complemento le permite bloquear instantáneamente nombres de usuario no válidos y también nombres de usuario específicos.

La lista blanca de IP de bloqueo de inicio de sesión es otra sección principal donde puede ingresar su propia dirección IP y nunca será bloqueada por la función de bloqueo de inicio de sesión.

Hay cuatro pestañas más relacionadas en la página de inicio de sesión de usuario. Registros de inicio de sesión fallidos, cierre de sesión forzado, registros de actividad de la cuenta y usuarios conectados.

Los registros de inicio de sesión fallidos muestran la dirección IP, el nombre de usuario y la hora de cada intento fallido.

Los administradores pueden forzar el cierre de sesión de todos los usuarios después de un cierto período de tiempo. Deben volver a iniciar sesión para continuar usando el tablero o el servicio. A veces, nos olvidamos de cerrar sesión en el sitio después de escribir o administrar contenido y esto puede dar lugar a graves violaciones de seguridad. Habilite la función y establezca un límite de tiempo para evitar tal situación.

Los registros de actividad de la cuenta le permiten monitorear las actividades de los usuarios registrados. Si está ejecutando un blog de varios autores, sepa quién está en línea en este momento desde la pestaña Usuarios conectados.

5. Limite los intentos de inicio de sesión recargados

Clavo

Limitar intentos de inicio de sesión recargados es una buena opción para fortalecer la seguridad de inicio de sesión de WordPress. Descargado más de 2 millones de veces, te permite limitar los intentos de inicio de sesión por IP y bloquea automáticamente al usuario por exceder el límite. El tiempo de bloqueo se puede configurar según sus preferencias y se puede notificar a los usuarios a través de la página de inicio de sesión si es necesario.

Este complemento mantiene un historial de intentos de inicio de sesión bloqueados en el tablero y le notifica por correo electrónico. También es posible agregar direcciones IP a la lista de seguridad o la lista de bloqueo. Es compatible con Woocommerce, multisitio y otros complementos de seguridad líderes.

6. Inicio de sesión

Clavo

Loginizer es un complemento simple para luchar contra la piratería de fuerza bruta en WordPress. Viene con características de límite de intentos de inicio de sesión, IP de lista negra, IP de lista blanca, etc.

Después de la activación, agregará un nuevo menú de nivel superior en su tablero; Seguridad del iniciador de sesión. Abra la configuración y establezca sus límites para el máximo de reintentos de inicio de sesión, período de bloqueo y otros. Le informará sobre los intentos de inicio de sesión fallidos a través de la pestaña del complemento y por correo electrónico.

7. Bloqueo de inicio de sesión

Clavo

Login Lockdown es un complemento de seguridad gratuito de WordPress para limitar los intentos de inicio de sesión y evitar ataques de fuerza bruta en WordPress. Registrará todos los intentos de inicio de sesión fallidos en su sitio y cuando el número exceda el límite, la función de inicio de sesión se desactivará para el sistema.

Después de la activación, abra el menú del complemento desde Configuración> Bloqueo de inicio de sesión.

Clavo

Establezca sus reintentos máximos de inicio de sesión, el período de tiempo de reintento y la duración del bloqueo. Admin es un nombre de usuario común para los sitios web de WordPress. Los piratas informáticos pueden adivinar fácilmente esos nombres. Reemplace el nombre de usuario predeterminado 'Administrador' con el suyo propio para mayor seguridad. El complemento de bloqueo de inicio de sesión también le permite bloquear instantáneamente los nombres de usuario no válidos para que no puedan iniciar sesión.

Visite el registro de actividad en la parte superior para ver las direcciones IP bloqueadas.

Lea los 9 mejores complementos de copia de seguridad de WordPress comparados para 2022