Cómo: proteger su inicio de sesión de WordPress contra piratas informáticos

Los hackers ya se han apoderado del mundo.

Hay suficientes datos estadísticos sobre la seguridad de la información que ningún sistema es seguro.

Los piratas informáticos están evolucionando y hay suficientes herramientas y técnicas disponibles en línea, que pueden enseñar fácilmente a cualquier persona a convertirse en un pirata informático.

Ningún sistema es completamente seguro , todo es hackeable. La razón es simple; la creatividad no tiene límites y es difícil hacer que cualquier sistema se interponga en el camino de la mente humana. Pero, realmente no podemos abandonar el sitio web de WordPress solo por la creencia de que será pirateado un día u otro.

La parte más débil de WordPress es su página de inicio de sesión. Todo el mundo conoce sus limitaciones y, en especial, a los piratas informáticos les gustaría usar la fuerza bruta en la página de inicio de sesión para acceder al panel de control de WordPress. Una vez que los piratas informáticos llegan al tablero, tienen un poder infinito y pueden causar estragos fácilmente en el sitio web.

El uso correcto de los complementos de seguridad, las prácticas y el cambio único en la plataforma de WordPress pueden reducir las posibilidades de que el pirata informático la piratee. Hay toneladas de complementos, tutoriales y otras cosas que pueden ayudarlo a lograr esto y hoy veremos formas de proteger el inicio de sesión de WordPress de los piratas informáticos.

1. Utilice el límite de intentos de inicio de sesión

Los ataques de BurteForce son comunes: los piratas informáticos probarán todas las combinaciones posibles y encontrarán una combinación que funcione. Entonces, ¿cómo lo detendrías? ¿Limitar el número de intentos de inicio de sesión? Sí, tienes razón.

Y para lograr el resultado deseado, es mejor usar el complemento Limitar intentos de inicio de sesión. El complemento tiene más de 1 millón de instalaciones y funciona perfectamente con la última versión 4.1.1.

El complemento se puede usar para limitar la cantidad de reintentos que cualquier persona tiene para ingresar al indicador de inicio de sesión. En caso de incumplimiento, bloquea la IP y frustra cualquier intento de fuerza bruta en la página de inicio de sesión de WordPress.

Descargue Límite de intentos de inicio de sesión aquí.

2. Limite los inicios de sesión de administrador de WordPress por dirección IP

Si solo usted necesita tener acceso a su área de administración, agregue este código a su archivo .htaccess ubicado en el documento raíz de su dominio, asegurándose de haber marcado "mostrar archivos ocultos".

3. Para el uso de acceso de dirección IP única:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.123</strong>$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

Para uso de acceso IP múltiple:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.121</strong>$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.122</strong>$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.123</strong>$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule> 

Tenga en cuenta que debe reemplazar 123\.123\.123\.121 con su propia dirección IP. Si no lo conoces visita: whatismyipaddress.com

4. Cambie el nombre de usuario predeterminado de administrador a otra cosa.

He estado usando WordPress durante los últimos seis meses y he encontrado cientos de clientes de WordPress que manejo, que tienen una cosa en común. El nombre de usuario del blog, sí, es "admin".

Por razones bastante obvias, es una buena práctica crear otro superusuario y eliminar el nombre de usuario del administrador. Mantenga esta práctica para cada sitio web de WordPress que haga en su vida. Esto puede salvarte tu precioso blog.

La razón es simple; los piratas informáticos prueban la configuración predeterminada que aparece con el blog de WordPress desde su alojamiento. Y no puedo insistir en la necesidad de cambiar la contraseña también. La contraseña predeterminada también es un asesino para la seguridad de su página de inicio de sesión.

Vamos a discutirlo en el siguiente punto.

5. Use una contraseña larga creativa

Las contraseñas son necesarias para la protección. A todos nos encantan las contraseñas cortas y dulces, ya que son fáciles de recordar y usar. Pero, vienen con un costo. Las contraseñas débiles como 123456, name123, schooname123, etc. son tan comunes que los piratas informáticos las utilizan para forzar la página de inicio de sesión. El diccionario de fuerza bruta contiene todas estas contraseñas de forma predeterminada y puede descifrar fácilmente la página de inicio de sesión en minutos.

Entonces, ¿qué constituye una buena contraseña?

Cualquier contraseña alfanumérica que contenga letras, caracteres especiales y números son las mejores contraseñas que existen. Pero hay una trampa, los usuarios también pueden crear una contraseña muy simple. Por ejemplo, name123#, la combinación es fácil de descifrar usando los ataques de fuerza bruta.

¿Cómo superar el error humano en la creación de contraseñas?

La respuesta es usar un generador de contraseñas automatizado. El más famoso es el generador de contraseñas de Random.org. El generador de contraseñas genera contraseñas de alta seguridad.

6. Usa Captcha de Google

Me encanta Google Captcha. Proporciona la protección básica de inicio de sesión a la página de WordPress. Uso tanto el límite de inicio de sesión como Google Captcha en mi blog de WordPress. Aunque uno puede funcionar bien, yo diría que no, ya que brinda protección contra los ataques automatizados de fuerza bruta, mucho mejor que el complemento de límites de inicio de sesión.

Encontrará toneladas de complementos de Google Captcha en WordPress, pero Google Captcha by BestWebSoft Plugin es la mejor opción. Su implementación limpia de Google Captcha en la página de inicio de sesión. Además, puede usar el complemento con otros formularios en su blog de WordPress, lo que aumenta el alcance del uso de Google Captcha en el blog de WordPress.

7. Cambie la URL predeterminada de la página de inicio de sesión

Ya mencioné cómo los piratas informáticos explotan la configuración predeterminada que se establece durante la instalación del sitio web de WordPress. Otro aspecto que es altamente vulnerable es la URL de la página de inicio de sesión.

La página URL predeterminada del inicio de sesión de WordPress es www.websitename.com/wp-admin

Entonces, ¿cuál es el truco aquí? El mejor enfoque es cambiar por completo la página web de inicio de sesión del sitio web de WordPress. De esta manera, la mayoría de los piratas informáticos se irán en la primera instancia de ellos sin encontrar la página de inicio de sesión.

La página de cambio de inicio de sesión es excelente para la organización que trabaja en el sitio web de WordPress y tiene muchos usuarios que inician y cierran sesión constantemente en el sistema.

Hay un excelente artículo sobre cómo cambiar la URL predeterminada de la página de inicio de sesión en administrar wp. Le recomiendo que vaya a través del enlace y cambie la URL de inicio de sesión predeterminada a algo diferente.

Envolver

La página de inicio de sesión es el punto de entrada al lugar más poderoso de cualquier sitio web, es decir, el panel de control de WordPress. Desde el tablero (con el privilegio correcto) puede cambiar fácilmente todos los diferentes aspectos del sitio web. El Tablero también se puede usar para conquistar todo el sitio web y robar información importante sobre complementos, configuraciones y contenido.

Para proteger su sitio web contra los piratas informáticos, es una buena práctica hacer una copia de seguridad periódica de su sitio web. En general, los proveedores de alojamiento web respaldan su sitio web, pero existe una regla general para crear copias de seguridad por su cuenta.

WordPress es una plataforma increíble, pero no cuidar la configuración básica de seguridad puede fácilmente incentivar a los piratas informáticos a ingresar al sistema. He pasado por el problema de no asegurar la página de inicio de sesión y mi historial de inicio de sesión siempre muestra a alguien que intenta iniciar sesión. Con el uso del intento de límite de inicio de sesión y Google Captcha, los falsos intentos de inicio de sesión se han minimizado por completo.

¿Tienes algo que agregar a la historia? Comenta abajo y cuéntanos.