La protección de su página de inicio de sesión o login de WordPress no se puede lograr mediante una técnica específica, pero ciertamente hay pasos que puede realizar para que los ataques sean menos propensos a tener éxito.
La página de inicio de sesión de su sitio es sin duda una de las páginas más vulnerables de su sitio web, así que comencemos a hacer que su página de inicio de sesión en el sitio de WordPress sea un poco más segura.
Use una contraseña fuerte y un nombre de usuario raro
Forzar de forma brutal las páginas de inicio de sesión es una de las formas comunes de ataques web que su sitio web probablemente enfrentará. Si tiene una contraseña o un nombre de usuario fácil de adivinar, su sitio web es casi seguro que no será solo un objetivo, sino que finalmente será una víctima.
Splash Data compiló una lista de contraseñas de uso frecuente para 2014.
Contraseña por rango en términos de uso.
- 123456
- password
- 12345
- 12345678
- QWERTY
- 123456789
- 1234
- baseball
- dragon
- football
Si usa una de esas contraseñas y su sitio web recibe tráfico, su sitio web casi con certeza será hackeado tarde o temprano.
Use contraseñas seguras y nombres de usuario inusuales. Anteriormente, con WordPress, tenía que comenzar con un nombre de usuario administrador predeterminado, pero eso ya no es así. Aún así, la mayoría de los administradores web nuevos usan el nombre de usuario predeterminado y necesitan cambiar su nombre de usuario. Puede usar Admin Renamer Extended para cambiar su nombre de usuario de administrador.
Con los plugins de seguridad, puede aplicar fácilmente contraseñas seguras a todos sus usuarios. No querría que alguien con un nivel de editor acceda a usar contraseñas débiles ahora, ¿verdad? Se compromete su seguridad en gran medida.
Utilice una herramienta de generador de contraseñas aleatorizadas disponible en línea como Secure Password Generator o Norton’s Password Generator o LastPass. Todos ellos son de uso gratuito.
Si tiene dificultades para recordar sus contraseñas, puede usar KeePass Password Safe o el administrador de contraseñas de Dashlane.
Ocultar la página de inicio de sesión y la página Wp-Admin
Un hacker necesita encontrar su página de inicio de sesión, si tiene la intención de utilizar la fuerza bruta en la página de inicio de sesión para obtener acceso. Puede evitar esto ocultando la página de inicio de sesión, ya que el atacante no podrá identificar un posible punto de entrada. Su sitio web sería el equivalente de un banco sin una puerta o cualquier otro punto de acceso público.
La mayoría de los sitios web de WordPress tienen el pagina de inicio de sesión como sitioweb.com/wp-login.php.
Intente escribir hostinggratis.xyz/wp-login.php en la barra de direcciones de su navegador. No funciona, ¿verdad? es porque no existe. La pagina de inicio de sesión para hostinggratis.xyz se encuentra en una URL diferente. Del mismo modo, puede cambiar el punto de acceso en su sitio web a otra cosa. Esencialmente cambiamos la URL de la página de inicio de sesión.
Similar a la página wp-login.php, está el directorio wp-admin que también necesita protección. Es bastante fácil de hacer con cualquiera de los dos plugins: WPS Hide Login y Protect Your Admin.
SSL
SSL o Secure Socket Layer ofrece una conexión segura que hace ilegible cualquier información que envíe y reciba entre el navegador y su servidor. Si alguien interceptara la información, no podría leerla y no tendría ningún sentido.
SSL siempre se usa para portales de transacciones financieras y siempre que se comparta información confidencial. Los sitios web almacenan una gran cantidad de información sobre los usuarios y SSL ayuda a mantener segura esa información.
Del mismo modo, SSL opera en las páginas de inicio de sesión al hacer que el proceso de comunicación entre el navegador y el servidor sea mucho más seguro.
Necesitará un certificado SSL que puede comprarse con su servidor web o, a veces, también lo puede obtener de forma gratuita con los planes de alojamiento compartido más básicos. Really Simple SSL y WP Force SSL le ayudan a configurar SSL en su sitio web, una vez que haya comprado el certificado SSL.
Limitar el número de intentos de inicio de sesión
Esta es una técnica increíblemente simple para detener los ataques de fuerza bruta en su página de inicio de sesión. Un ataque de fuerza bruta funciona al tratar de obtener su nombre de usuario y contraseña al intentar múltiples combinaciones una y otra vez.
Si se rastrea la IP particular que está perpetrando el ataque, entonces puede bloquear los repetidos intentos de fuerza bruta y mantener su sitio seguro. Esta es también la razón por la cual los ataques DDOS globales ocurren con múltiples direcciones IP con diferentes orígenes de ataque, para desestimar la seguridad del servicio de alojamiento y del sitio web.
Login LockDown y Login Security Solution ofrecen excelentes soluciones para proteger las páginas de inicio de sesión de su sitio web. Realizan un seguimiento de las direcciones IP y limitan la cantidad de intentos para proteger su sitio web.
Verificación en dos pasos
Google Authenticator es un plugion de WordPress que opera a través de una aplicación instalada en su Android / iPhone / Blackberry. El plugin genera un código QR que puede escanear con su dispositivo móvil o puede ingresar el código secreto manualmente.
Su inicio de sesión requerirá un código de auntenticación que se genera en su dispositivo móvil para iniciar sesión. El complemento se puede usar con todos los usuarios pero no se recomienda a los usuarios que tengan menos privilegios. Dado que es muy poco probable que el hacker tenga acceso a su dispositivo móvil, la página de inicio de sesión de su sitio web será muy segura (suponiendo que no haya otras vulnerabilidades).
Seguridad adicional
Hemos discutido cómo ocultar/cambiar el nombre de la página de inicio de sesión y el directorio wp-admin, habilitar SSL en las páginas de inicio de sesión, utilizar autenticación de dos pasos, limitar los intentos de inicio de sesión y utilizar contraseñas seguras y nombres de usuario inusuales. También debe saber que algunos servidores web exigen algunas de estas prácticas de seguridad para sus usuarios.
Si lo desea, también puede usar un plugin de seguridad completo como iThemes Security o Wordfence, que ofrecen muchas funciones de protección de inicio de sesión además de las medidas de seguridad generales del sitio de WordPress.
Ningún articulo de seguridad de WordPress es completamente seguro y la seguridad siempre puede verse comprometida. Siempre haga una copia de seguridad de su sitio web con una herramienta gratuita como Updraft Plus o un proveedor de soluciones premium como VaultPress o BackUp Buddy.
Espero que el artículo haya sido útil y haya hecho que su sitio web sea un poco más seguro.