Por qué es tan importante una política de contraseña segura para su sitio web de WordPress
Publicado: 2020-09-10Si ha estado administrando un sitio de WordPress por un tiempo, es posible que se pregunte por qué es tan importante una política de contraseña segura. Seguramente, ¿los usuarios son conscientes de que necesitan usar contraseñas seguras? Desafortunadamente, muchos usuarios usan contraseñas débiles a sabiendas, poniendo en riesgo su sitio de WordPress.
Hay diferentes razones por las que esto continúa ocurriendo. Algunos no quieren tener que recordar una contraseña compleja. Mientras que a otros les gusta reutilizar la misma contraseña en varios sitios. De cualquier manera, la aplicación de una política de contraseña segura lo protege contra las malas opciones de contraseña de los usuarios, como password123 .
En esta publicación, explicaremos por qué la seguridad de las contraseñas es tan vital y cómo puede garantizar que todos los usuarios elijan una contraseña segura con solo unos pocos clics. Pero primero, examinemos cómo puede garantizar que todos los usuarios elijan una contraseña segura con la ayuda de un administrador de contraseñas.
Por qué debería usar un administrador de contraseñas
Un poco menos del 75% de los usuarios de sitios web tienen problemas para recordar sus contraseñas. Esto genera comportamientos riesgosos, como la reutilización de contraseñas en varios sitios o el almacenamiento de contraseñas confidenciales en archivos en línea que podrían verse comprometidos. Es por esta razón precisa que muchos administradores de WordPress no aplican políticas de contraseñas seguras. Les preocupa que sus usuarios se desanimen si se ven obligados a recordar contraseñas complicadas.
Sin embargo, si un usuario puede recordar su contraseña o no, no debería entrar en la ecuación. Al usar un administrador de contraseñas, puede usar contraseñas muy seguras, difíciles de adivinar y distintas sin tener que recordarlas.
¿Qué es un administrador de contraseñas?
Un administrador de contraseñas es un software o servicio en línea que almacena sus credenciales para diferentes cuentas en línea de forma segura. Toda la información dentro del administrador de contraseñas está protegida por una contraseña maestra. Muchos también facilitan la autenticación de dos factores, lo que la hace aún más segura.
Al promover el uso de un administrador de contraseñas, sus usuarios de WordPress solo tendrán que recordar una contraseña maestra. Por lo tanto, les resulta mucho más fácil cumplir con su estricta política de contraseñas. Recomendamos 1Password o KeePass, ya que los usamos regularmente.
¿Qué es una política de contraseña segura (y seguridad de contraseña)?
La implementación de una política de contraseña segura requiere varios pasos. Muchos administradores de WordPress creen que pueden confiar únicamente en el propio medidor de seguridad de contraseñas de WordPress. Eso no funciona ya que solo recomienda a los usuarios usar contraseñas más seguras, pero no los obliga a hacerlo, como se explica en cómo forzar contraseñas seguras en WordPress. Y una simple política de longitud mínima de contraseña no es suficiente para evitar una brecha de seguridad.
Si bien la longitud de la contraseña es un factor importante; debe ir acompañada de las siguientes políticas de contraseñas adicionales:
- Letras mayúsculas y minúsculas
- Números
- Caracteres especiales
- Cambiando de forma regular
- Bloqueo de la reutilización de contraseñas antiguas
El enfoque de su política de contraseñas debe ser múltiple. De lo contrario, las contraseñas no serán lo suficientemente seguras para erradicar la posibilidad de una violación de su sitio de WordPress.
¿Por qué es tan importante una política de contraseña segura?
La implementación de una política de contraseña segura es muy importante porque protege contra una variedad de ataques. Los bots automatizados para adivinar contraseñas se han vuelto sofisticados. Si los piratas informáticos lograron encontrar el correo electrónico asociado con una cuenta de WordPress, podrían usar este software para ingresar a la cuenta por la fuerza bruta.
Un ataque de diccionario es una de las técnicas más comunes utilizadas para la entrada de fuerza bruta a la cuenta de un usuario. Funciona probando miles o incluso millones de posibilidades probables, como palabras en un diccionario o contraseñas utilizadas anteriormente obtenidas de infracciones de seguridad pasadas. Es por eso que las contraseñas alfanuméricas son vitales. Una cadena de palabras del diccionario se puede descifrar en unos pocos milisegundos. Incluso tener una contraseña de más de diez caracteres no será suficiente.
Las políticas de contraseñas sólidas también protegen los sitios web de los intentos de piratería manual. Este es un escenario en el que un ciberdelincuente ha obtenido información personal (como la fecha de nacimiento o la dirección de un usuario), que con frecuencia forman parte de contraseñas débiles establecidas por usuarios descuidados.
¿Cuáles son las cualidades de una contraseña segura?
Ya sea que use un generador de contraseñas automatizado o cree el suyo propio, es útil saber exactamente en qué necesita concentrarse para que sus contraseñas de WordPress sean lo más seguras posible.
Las contraseñas más largas son más fuertes
El primer elemento en el que debe centrarse es la longitud. Las contraseñas más largas son casi siempre más seguras. La tecnología moderna puede adivinar una contraseña de siete caracteres con solo letras en solo 0,29 milisegundos. Una contraseña de diez caracteres llevaría cuatro meses. Aumente eso hasta 12 caracteres, y de repente su contraseña tardaría dos siglos en descifrarse. No es un mal retorno para algunos personajes adicionales.
Todas las contraseñas deben ser alfanuméricas.
A continuación, asegúrese de incluir caracteres alfabéticos y numéricos para agregar otra capa de complejidad. Una contraseña de " 123456789" podría descifrarse cientos de veces por segundo. Pero al agregar la letra A al frente para hacer " A23456789" , puede disfrutar de décadas de protección contra las técnicas de fuerza bruta.
Siempre incluye caracteres especiales
A continuación, asegúrese de incluir un carácter especial, así como letras mayúsculas y minúsculas, para aumentar aún más la complejidad. La " contraseña" podría descifrarse en milisegundos. Pero “ P@ssw0rD” tardaría 14 años.
Cada pocos meses debe cambiar sus contraseñas
La tecnología involucrada en el descifrado de contraseñas avanza a un ritmo cada vez más rápido. Entonces, cuanto más tiempo deje una contraseña en su lugar, más vulnerable se vuelve. Por lo tanto, cambiarlo regularmente es imperativo. También protege sus cuentas contra tomas de control maliciosas cuando se recopila información de contraseñas antiguas de violaciones de seguridad en otros sitios.
¿Cuáles son los peligros de tener una contraseña débil?
Dependiendo del tipo de sitio de WordPress que opere, podría haber mucho riesgo cuando se trata de tener una contraseña débil. Por ejemplo, si tiene una tienda de comercio electrónico, un usuario podría estar arriesgando su información de pago si tiene una contraseña insegura.
No solo eso, sino que un pirata informático podría obtener acceso a la cuenta de un comprador y comenzar a colocar un código en su sitio web para recopilar la información de varios detalles de la tarjeta. Luego, los ciberdelincuentes venden esa información en la dark web. Si se descubre que ha presidido una violación de datos de esta naturaleza, sus clientes perderán la confianza en la seguridad de su sitio. Peor aún, podría encontrarse en el lado equivocado de una multa considerable de un organismo regulador nacional.
Quienes tengan otras intenciones en mente (como los hacktivistas) pueden optar por desfigurar su sitio con eslóganes políticos o insultos racistas. Una vez más, sacudiendo la confianza de sus visitantes y mancillando la reputación de su empresa.
Las contraseñas débiles son una de las principales causas de las filtraciones de datos
No olvide que el software de piratería de última generación puede adivinar 10 mil millones de combinaciones de contraseñas en segundos. Las contraseñas débiles a menudo son responsables de los escenarios mencionados anteriormente. Un estudio de 2016 realizado por Verizon descubrió que el 63 % de las filtraciones de datos confirmadas implican el uso de contraseñas débiles, predeterminadas o robadas. La investigación realizada por Bitglass encontró que el 25% de todas las infracciones de la industria de servicios financieros desde 2006 podrían atribuirse a dispositivos perdidos o robados (y las contraseñas robadas de ellos).
Ambos casos ilustran perfectamente los peligros asociados tanto con las contraseñas débiles como con las políticas de contraseñas que no imponen el cambio regular de contraseñas. Por eso es tan crucial que administre una política de contraseña segura.
Pero es posible que se pregunte exactamente cómo puede lograr ese resultado para su sitio de WordPress. Afortunadamente, existe un complemento fácil de usar que puede proteger su sitio web contra contraseñas débiles en cuestión de minutos.
Cómo configurar su propia política de contraseña segura usando WPassword
El complemento WPassword le permite aplicar una política de contraseña segura que incluye:
- Longitudes mínimas de contraseña
- Uso obligatorio de mayúsculas y minúsculas
- El requisito de usar números
- El uso obligatorio de caracteres especiales
- Y mucho más (lea la lista completa de características del complemento para obtener más información)
Para comenzar, simplemente descargue e instale WPassword. Luego diríjase al nodo "Políticas de contraseña" en el menú de configuración que se encuentra en su panel de control de WordPress.
Cómo usar WPassword
Aquí, puede configurar las políticas de contraseña de su sitio web y obligar a sus usuarios a usar contraseñas seguras de WordPress. Puede estipular las reglas que rigen las contraseñas como se indica anteriormente, así como implementar una política de caducidad de contraseñas. Esta política garantizará que los usuarios cambien con frecuencia sus contraseñas y se abstengan de reutilizar las antiguas.
WPassword también permite a los administradores de WordPress:
- Eximir a usuarios o roles específicos de las políticas de contraseñas
- Especificar cuándo finalizan las sesiones de usuario al expirar la contraseña
- Restablezca todas las contraseñas con un solo clic del mouse
En el caso de un hackeo de WordPress, esa última característica puede ayudarlo a recuperar el control de sus cuentas de usuario eliminando a todos los usuarios y pidiéndoles que restablezcan sus contraseñas.
Finalmente, en la configuración de este complemento, también puede seleccionar deshabilitar las cuentas inactivas utilizando la política de usuarios inactivos de WordPress. Las cuentas inactivas son particularmente vulnerables porque probablemente se configuraron hace años, antes de que aplicara una política de contraseña segura. Los piratas informáticos los atacan por esta misma razón. Así que asegúrese de bloquear a los usuarios inactivos para evitar que esos intrusos malintencionados secuestren esas cuentas.
Comience a configurar su política de contraseña segura
Con suerte, ahora debería apreciar completamente por qué una política de contraseña segura es tan importante para la seguridad de su sitio web de WordPress. El software de piratería automatizado puede descifrar fácilmente contraseñas débiles y las consecuencias de una violación de la cuenta de usuario podrían ser catastróficas.
Por lo tanto, tiene sentido usar el complemento WPassword para que pueda:
- Aplique contraseñas seguras a sus usuarios
- Adjuntar fechas de caducidad a las contraseñas
- Bloqueo de usuarios inactivos
- Exención de roles de usuario específicos
- Restablecer todas las contraseñas con un solo clic
Descarga WPassword para empezar.
Consejo adicional: agregue 2FA para una autenticación de WordPress aún más fuerte
Instale la autenticación de dos factores para hacer que su sitio web sea casi impenetrable con el complemento WP 2FA para WordPress.
Al implementar la autenticación de dos factores, solicita a los usuarios que se identifiquen con otra contraseña, otro dispositivo o una pieza de información biométrica. Por lo tanto, esta capa de seguridad adicional puede proteger las cuentas de los usuarios incluso si un hacker tiene la combinación correcta de nombre de usuario y contraseña.