Protección de contraseña de WordPress: una guía completa

Esta es una guía "definitiva" o completa para la protección con contraseña de WordPress para administradores y propietarios de sitios web comerciales. Está escrito para aquellos que administran o son administradores de sitios web de WordPress.

Dejando a un lado los roles, la siguiente seguridad del sitio web de WordPress más vulnerable y fácil de fortalecer es el uso de contraseñas, según WordPress y los proveedores de software de seguridad. Armado con las credenciales de inicio de sesión, alguien podría acceder a su sitio web y a todas las configuraciones y datos disponibles desde el panel de control de WordPress. Un usuario que haya iniciado sesión podría hacerse pasar por usted, agregar, modificar o eliminar elementos, desfigurar su sitio web y arruinar su negocio.

Esta publicación de blog proporciona una serie de pautas de mejores prácticas para ayudarlo a establecer una protección segura con contraseña de WordPress en toda su organización y educar a sus usuarios sobre su uso.

Tabla de contenido

• Establezca una política de seguridad de contraseña sólida
  • • • ¿Cómo es una contraseña segura?
      • Roles de usuario de WordPress y sus implicaciones de seguridad
      • Instale las herramientas y complementos correctos de seguridad de contraseñas de WordPress
      • Sea un buen ejemplo para la protección con contraseña de WordPress
• Emplear un administrador de contraseñas
  • • Los beneficios de usar un administrador de contraseñas
• Habilitar la autenticación de dos factores o de múltiples factores
• Educa a tus usuarios en la protección con contraseña de WordPress
  • • • Hable sobre las filtraciones de datos de interés periodístico
      • Haga cumplir su política de contraseña segura
        • • Actividades del administrador para la seguridad de la contraseña de WordPress
      • Enfatice los beneficios de reducir el estrés y ahorrar tiempo al usar un administrador de contraseñas
      • Enfatice la inversión que vale la pena en una fuerte seguridad de contraseña de WordPress
• Establecer otras salvaguardas pertinentes

Establezca una política de seguridad de contraseña sólida

Como administrador del sitio web de WordPress, tiene la oportunidad y la responsabilidad de hacer cumplir una política de contraseñas seguras para sus usuarios. Al hacerlo, protegerá su organización, sus sitios web, datos, personal y otros usuarios de una variedad de ataques.

• En el caso de una empresa y sus empleados internos, los empleados de marketing necesitarán acceso al sitio web de WordPress para crear y editar páginas del sitio web y publicaciones de blog, mientras que otros solo necesitarán acceso para moderar y responder a los comentarios. Por otro lado, los empleados de gestión de cuentas de clientes o de atención al cliente necesitarán distintos niveles de acceso a las cuentas de los clientes para responder a los tickets de soporte. En este caso, la mayoría de los usuarios del personal interno no necesitarán acceder a las cuentas de los clientes, aunque algunos sí. Aquellos que trabajan en soporte de TI pueden necesitar acceso a algunos aspectos de las cuentas de los clientes, aunque no a todos.
• Pensemos en el otro punto de vista, el de los usuarios externos en un sitio web de comercio electrónico de WordPress. Es posible que deban iniciar sesión para administrar su cuenta, realizar una compra, realizar un seguimiento del estado de una entrega o devolución, o ponerse en contacto con el servicio de atención al cliente. Esos mismos usuarios no deben tener acceso para crear o eliminar páginas web, por ejemplo, o poder ver la cuenta y los detalles financieros de otros clientes. En algunos casos, los sitios web de comercio electrónico no requieren que los usuarios que son clientes creen una cuenta e inicien sesión, ya que a veces puede ser una barrera para obtener una venta.

¿Por qué es necesaria toda esta consideración? ¿Los usuarios ya no saben cómo crear y usar contraseñas seguras?

El usuario promedio de computadoras no está bien informado sobre la protección de contraseñas de WordPress o la seguridad de contraseñas de WordPress en general. Es probable que tengan una actitud relajada con respecto a sus propios datos en línea y encuentren estresante administrar las credenciales de inicio de sesión (todo lo cual discutiremos más adelante), ¡y los escriben en notas adhesivas y las pegan en sus monitores!

Además:

• Los bots de adivinación de contraseñas son cada vez más sofisticados
• Los piratas informáticos maliciosos todavía usan ataques de fuerza bruta y de diccionario

Las actividades nefastas se vuelven mucho más fáciles para los piratas informáticos maliciosos si ya tienen la información personal, como los nombres reales, que probablemente formen parte de una contraseña débil.

¿Cómo es una contraseña segura?

• Contraseñas más largas : como regla general, cuanto más corta es la contraseña, más susceptible es a un ataque de fuerza bruta o de diccionario. El mejor consejo actual es establecer una longitud mínima de 16 caracteres para su contraseña y permitir espacios. Algunos generadores de contraseñas permiten a los usuarios personalizar la longitud de la contraseña segura y aleatoria que crean.
• Contraseñas mixtas : use una combinación aleatoria de caracteres (tanto mayúsculas como minúsculas), números y caracteres especiales. Esto protegerá su contraseña contra ataques de diccionario. Evite las palabras del diccionario y los patrones de letras o números, reemplace las letras con números ("@" en lugar de "a", "0" en lugar de "O", incluidas las secuencias de teclado (qwerty).
• Contraseñas aleatorias : mantenga sus contraseñas sin relación con usted. No utilice ninguna parte de su nombre, ni el de una mascota, niño u otro nombre familiar. No use su fecha de nacimiento, dirección postal ni ninguna otra información pública que un pirata informático malintencionado pueda conectar fácilmente con usted. Además, evite usar información que un colega o conocido pueda adivinar, como apodos.
• Cambio de contraseñas : restablezca sus contraseñas regularmente (se recomienda cada tres meses). Esto reinicia el reloj en cualquier intento de fuerza bruta y lo mantiene a la vanguardia de los avances en tecnología de piratería no ética.
• Contraseñas diferentes : tenga una contraseña diferente para cada sitio web. De esa manera, si se viola uno, los otros aún están seguros. Use un administrador de contraseñas diariamente para almacenarlas, actualizarlas y usarlas.
• Contraseñas guardadas : no use la configuración del navegador, computadoras portátiles o carpetas compartidas para guardar sus contraseñas en caso de que su computadora sea pirateada o robada. ¡Para eso está el administrador de contraseñas!

Roles de usuario de WordPress y sus implicaciones de seguridad

La configuración de roles tiene enormes implicaciones en la seguridad del sitio web de WordPress. Como regla general, la seguridad de WordPress debe aumentar en proporción directa al nivel de información confidencial que se contiene o se intercambia en el sitio web.

Primero, veamos los roles de administrador:

• Súper administradores : asignados a propietarios de sitios múltiples que usan WordPress Multisite Network, le otorga exactamente los mismos permisos que el rol de Administrador
• Administrador : asignado automáticamente al propietario/creador de un sitio web en la instalación, le brinda control total sobre un sitio web, incluida la eliminación, pueden: instalar, editar y eliminar temas y complementos; ejecutar mejoras y actualizaciones; crear, editar y eliminar páginas y publicaciones de blog; agregar, editar y eliminar usuarios, incluidos otros administradores; y agregar, editar y eliminar medios

Todos los demás roles de usuario, enumerados en orden decreciente de rango de autoridad son:

• Editor : puede agregar, editar y eliminar nuevas páginas, publicaciones de blog, medios; crear categorías y etiquetas; publicar contenido escrito por ellos mismos y por otros; y moderado comentarios
• Autor : puede agregar, editar y publicar solo su propio contenido; cargar medios; y asigne categorías y etiquetas existentes a las publicaciones del blog
• Colaborador : puede agregar y editar solo su propio contenido; y asignar categorías y etiquetas existentes a sus propias publicaciones de blog
• Suscriptor : solo puede actualizar su propio perfil de usuario; leer el contenido de otros; y agregar comentarios

Siguiendo el principio de privilegios mínimos, cuando establezca roles para delegar tareas dentro de WordPress, evite otorgar acceso a cualquier otra persona (super)administrador a menos que necesiten tener este nivel de control sobre un sitio web, sus características y usuarios. Dado que los lectores pueden ver el 'publicado por' (nombre de usuario) en su sitio web, los administradores, como un nivel adicional de precaución, deben configurar un usuario de editor adicional para ellos mismos e iniciar sesión solo con la cuenta de (super) administrador cuando necesitan realizar estas tareas de nivel superior. Esto significa que los piratas informáticos maliciosos tienen incluso menos información en la que confiar si están contemplando un ataque de fuerza bruta.

Para obtener más información, consulte Cómo utilizar los roles de usuario de WordPress para mejorar la seguridad de WordPress.

Instale las herramientas y complementos correctos de seguridad de contraseñas de WordPress

Una forma de aplicar contraseñas seguras de WordPress a sus usuarios es usar el complemento WPassword para:

• Aplique contraseñas seguras en sus sitios web de WordPress en segundos
• Proporcione consejos para ayudar a los usuarios a encontrar contraseñas seguras (en lugar de tener que adivinar)
• Configure políticas de contraseñas en aspectos vitales de la protección de contraseñas, como la complejidad, el historial y la antigüedad de la contraseña.
• Configure políticas de contraseñas basadas en la función del usuario para atender funciones personalizadas y especializadas, o excluya a usuarios específicos de políticas particulares.
• Restablezca todas las contraseñas inmediatamente si se detecta un ataque
• Implemente una política de usuarios inactivos para eliminar la amenaza publicada por cuentas de usuario inactivas que se configuraron antes de que se promulgara la política.

Sea un buen ejemplo para la protección con contraseña de WordPress

Le recomendamos que utilice credenciales seguras y que también anime a sus usuarios a hacerlo.

• Combine su contraseña segura (consulte ¿Qué aspecto tiene una contraseña segura?) con un nombre de usuario seguro.
• Como administrador, evite los nombres de usuario predeterminados obvios y débiles, como administrador, predeterminado, contraseña o invitado.
• No se lo pongas tan fácil a los malos actores que solo les queda una credencial para descubrir

Recuerde que si confía en las medidas de seguridad de contraseñas de WordPress, también debe aplicar contraseñas seguras mediante un complemento. WordPress no tiene una aplicación de contraseña fuerte incorporada o predeterminada.

Emplear un administrador de contraseñas

Un administrador de contraseñas es un servicio en línea o un cliente de software que almacena y administra de forma segura las credenciales de los usuarios en varios sitios web y servicios. Se accede a esta información con una única contraseña maestra y opciones para la autenticación de múltiples factores. Los ejemplos populares incluyen 1Password y KeePass. Pero, a pesar de que hay muchos administradores de contraseñas en línea, esto no reemplaza las copias de seguridad sólidas y la confiabilidad.

Los beneficios de usar un administrador de contraseñas

• No tendrán que recordar cuáles son sus contraseñas para cada sitio web; al mismo tiempo, uno de los mayores problemas en el lugar de trabajo que se 'resuelve' mediante una práctica perezosa y loca de usar las mismas credenciales en muchos servicios en línea.
• No se verán tentados a almacenar las credenciales de inicio de sesión en forma escrita que infrinja las normas de protección de datos o en archivos en línea que puedan verse comprometidos.
• Liberará a los usuarios para usar contraseñas complejas y diferentes. Muchos administradores de contraseñas tienen un generador de contraseñas incorporado con una sugerencia emergente del navegador conveniente y rápida que también registra instantáneamente un nuevo registro.
• No dejarán su cuenta o sitio web abiertos a piratas informáticos maliciosos y bots automatizados.
• Los administradores de contraseñas a menudo monitorean las direcciones de correo electrónico y alertan a los usuarios después de su aparición en la dark web. Y también pueden recomendar que se cambien las contraseñas reutilizadas o débiles.

Habilite la autenticación de dos factores o de múltiples factores”

La autenticación de dos factores o multifactor es una capa adicional de credenciales que se debe ingresar antes de que un usuario obtenga acceso a un sitio web o aplicación, además de la combinación tradicional de nombre de usuario y contraseña. Se emplea cuando alguien ya está usando contraseñas seguras porque un enfoque de múltiples factores es lo mejor para la seguridad de WordPress. Las combinaciones seguras de contraseña y nombre de usuario pueden ser robadas. Un código de un solo uso es generado por una aplicación y recibido por correo electrónico o SMS enviado al dispositivo personal, cuenta de correo electrónico o teléfono celular de un usuario, es más difícil de eludir para un pirata informático malicioso.

Hay varias alternativas que reclaman el lugar de los mejores complementos de autenticación de dos factores para WordPress. Mira estos. Pero recomendamos encarecidamente nuestro propio producto: el complemento WP 2FA. No solo mejorará la autenticación de su sitio web de WordPress, sino que está diseñado teniendo en cuenta la facilidad de uso y la simplicidad de configuración. También le permite hacer obligatoria la 2FA, con políticas 2FA totalmente configurables para diferentes roles de usuario. La combinación de los complementos WPassword y WP 2FA hace que sus sitios web de WordPress sean súper seguros.

Educa a tus usuarios en la protección con contraseña de WordPress

Los usuarios de su sitio web ya saben en un sentido vago que existe la necesidad de una seguridad de contraseña fuerte. Pero a menudo no hacen nada al respecto.

Entonces, ¿sobre qué, específicamente, necesitas educarlos?

Hable sobre las filtraciones de datos de interés periodístico

Las contraseñas débiles son una de las mayores amenazas para la seguridad de los sitios web de WordPress. ¿Por qué? Porque las credenciales débiles, que se eluden fácilmente con un ataque de fuerza bruta o de diccionario, son una de las principales causas de las filtraciones de datos sobre las que todos leemos en las noticias. Si a esto le sumamos las pérdidas de datos facilitadas por las contraseñas por defecto o robadas, o tomadas de dispositivos perdidos o robados, el problema se multiplica.

¿Qué pueden hacer los piratas informáticos malintencionados y los usuarios no autorizados cuando acceden a su sitio web?

• En un nivel básico, pueden alterar sus configuraciones o insertar malware
• También podrían redirigir el tráfico fuera de su sitio web o usarlo para distribuir software pirateado.
• En los ataques más graves, pueden robar y hacer mal uso de datos confidenciales, crear cargos bancarios falsos o recopilar información financiera y de otro tipo para revender en la dark web.
• Más allá de estas actividades comerciales, los hacktivistas pueden politizar o desfigurar su sitio web con discursos de odio.

Asegúrese de que los usuarios de su personal interno sean conscientes de las principales implicaciones en toda la organización sobre la información interna de la empresa y los datos de los clientes externos, así como las multas o las cancelaciones obligatorias de la empresa. Y repita los mismos mensajes a los clientes de su sitio web para garantizar que prioricen la seguridad de sus propios datos personales, financieros, de salud y otros datos confidenciales.

Los impactos negativos que tales violaciones de datos pueden tener en su organización y su sitio web son enormes:

• Pérdida de reputación y confianza en su organización y sitio web
• Multas sustanciales de los organismos reguladores, así como otras sanciones o desvinculaciones de socios y clientes

Haga cumplir su política de contraseña segura

1. Primero, eduque a sus usuarios sobre todos los elementos en ¿Qué aspecto tiene una contraseña segura? y los beneficios de usar un administrador de contraseñas? Por ejemplo, asegúrese de que conozcan formulaciones de contraseña persistentes y gravemente inseguras como thisismypassword, 123456789, [mykidsname] o [mypetsname]. Y, en su lugar, fomente el uso de fórmulas de contraseña seguras (p. ej ., vqO&V13@H%fF o @iGOuqk%W0xY ). No comparta ni utilice estos ejemplos específicos para ninguno de sus servicios o usuarios. Son simplemente ejemplos.
2. Recordar periódicamente al personal interno la política laboral y/o de protección de datos que firmaron, y las responsabilidades legales personales que tienen frente a su empleador.
3. Recuerde al personal interno con regularidad que la política de protección de datos y las declaraciones hechas por la empresa a los clientes y clientes se basan en el cumplimiento de las políticas de la empresa y que tienen implicaciones legales, financieras, laborales y de aplicación de la ley potencialmente graves y permanentes.
4. Anime a los usuarios a crear sus propias contraseñas seguras utilizando administradores de contraseñas que también tienen herramientas generadoras de contraseñas. La mayoría de los programas de administración de contraseñas también tendrán los suyos propios, lo que es útil cuando crea nuevas cuentas para servicios en línea y de otro tipo.

Actividades del administrador para la seguridad de la contraseña de WordPress

1. Verifique la seguridad de la contraseña de las contraseñas de sus usuarios de WordPress con un escáner como WPScan.
2. Utilice las herramientas que utilizan los piratas informáticos maliciosos para intentar 'adivinar' las contraseñas de sus usuarios. ¡Programe ataques de fuerza bruta y de diccionario usted mismo!
3. Bloquee a los usuarios que tienen contraseñas débiles y envíe un aviso para restablecerlas.
4. Realice talleres sobre cómo usar el administrador de contraseñas de su elección.

Enfatice los beneficios de reducir el estrés y ahorrar tiempo al usar un administrador de contraseñas

Muchos de sus usuarios pueden ver la necesidad de contraseñas seguras, pero no están dispuestos a usarlas debido a la falta de familiaridad y las dificultades percibidas o el costo en la práctica. Ahí es donde puede reforzar la facilidad y los beneficios de usar un administrador de contraseñas, junto con el bajo costo, la confiabilidad y la facilidad de mantener copias de seguridad de las credenciales.

Es una gran ventaja solo tener que recordar una contraseña en lugar de múltiples contraseñas.

Desde el punto de vista del usuario, los aspectos más destacados son:

• Solo tienen que recordar una contraseña: ¡felicidad!
• El administrador de contraseñas actuará como un nuevo generador de contraseñas, una herramienta de administración de contraseñas y un aviso para ingresar credenciales seguras en el sitio para ellos.

Enfatice la inversión que vale la pena en una fuerte seguridad de contraseña de WordPress

Necesitamos enfrentar los hechos. Algunos usuarios potenciales se desanimarán para registrarse en su sitio web si se ven obligados a usar contraseñas seguras y cambiarlas con frecuencia. Estos procedimientos toman un poco de tiempo y esfuerzo para establecerse inicialmente. Algunos lo considerarán una molestia que no quieren, mientras que otros se quejarán de que arruina la experiencia de usuario de su sitio web.

Establecer y hacer cumplir una sólida política de seguridad de contraseñas de WordPress, posiblemente utilizando un complemento que diferencie las políticas de contraseñas y los niveles de seguridad en función de los roles de los usuarios, reducirá al mínimo la molestia de los usuarios.

Establecer otras salvaguardas pertinentes

Como propietario de un sitio web o administrador de WordPress, aquí hay algunas sugerencias finales de problemas más importantes que debe tener en cuenta para la seguridad de la contraseña de WordPress:

• Familiarícese con los protocolos generales de protección y refuerzo de la seguridad de WordPress para WordPress. Hay razones específicas por las que los sitios web de WordPress son pirateados. Como administrador o propietario, le conviene saber cuáles son y cómo manejarlos. Sí, las contraseñas débiles son un problema importante, al igual que la falta de 2FA y registros de actividad. Pero, ¿sabía que el uso de núcleos, complementos y otro software obsoletos de WordPress también es un problema grave?
• Emplee un complemento de registro de actividad de WordPress que le permitirá saber si los usuarios no autorizados han obtenido acceso a su cuenta y, de ser así, qué daño han causado. Nuestro registro de actividad de WP lo ayuda a identificar comportamientos sospechosos en la etapa más temprana y evitar cualquier ataque de pirateo malicioso en su sitio web.
• Configure una política de usuarios inactivos o inactivos para su sitio web de WordPress. Las cuentas de usuario desatendidas son un punto de entrada fácil para los piratas informáticos maliciosos.
• Su sitio web puede ser pirateado incluso si usa contraseñas seguras y aplica políticas de contraseñas seguras a sus usuarios. Es bueno saber de inmediato si su sitio web ha sido violado. Este es un servicio gratuito de notificación de violación de datos que le sugerimos que consulte.

¿Tiene alguna pregunta sobre la protección con contraseña de WordPress o cualquiera de los productos que hemos mencionado en esta publicación de blog? ¡Háganos saber a continuación! Y recuerda las palabras de Chris Pirillo:

“Las contraseñas son como la ropa interior: no dejas que la gente la vea, debes cambiarla muy a menudo y no debes compartirla con extraños”.

Obtenga una prueba de 7 días de WPassword para experimentarlo en acción y ayudar a los usuarios de su sitio web a usar contraseñas seguras de WordPress