¿Estás viendo muchos ataques en tu área de administración de WordPress? Proteger el área de administración del acceso no autorizado le permite bloquear muchas amenazas de seguridad comunes. En este artículo, le mostraremos algunos de los trucos y consejos vitales para proteger su área de administración de WordPress.
1. Use un firewall de aplicaciones de sitios web
Un firewall de aplicación de sitio web o WAF monitorea el tráfico del sitio web y bloquea las solicitudes sospechosas para que no lleguen a su sitio web.
Si bien existen varios complementos de firewall de WordPress, recomendamos usar Sucuri. Es un servicio de seguridad y monitoreo de sitios web que ofrece un WAF basado en la nube para proteger su sitio web.
Todo el tráfico de su sitio web pasa primero por su proxy en la nube, donde analizan cada solicitud y bloquean las sospechosas para que nunca lleguen a su sitio web. Previene su sitio web de posibles intentos de piratería, phishing, malware y otras actividades maliciosas.
Para más detalles, vea cómo Sucuri nos ayudó a bloquear 450.000 ataques en un mes.
2. Proteger con contraseña el directorio de administración de WordPress
Su área de administración de WordPress ya está protegida por su contraseña de WordPress. Sin embargo, agregar protección con contraseña a su directorio de administración de WordPress agrega otra capa de seguridad a su sitio web.
Primero inicie sesión en el panel de control de cPanel de su alojamiento de WordPress y luego haga clic en el ícono ‘Directorios protegidos con contraseña’ o ‘Privacidad del directorio’.
A continuación, deberá seleccionar su carpeta wp-admin, que normalmente se encuentra dentro del directorio /public_html/.
En la siguiente pantalla, debe marcar la casilla junto a la opción ‘Proteger este directorio con contraseña’ y proporcionar un nombre para el directorio protegido.
Después de eso, haga clic en el botón Guardar para establecer los permisos.
A continuación, debe presionar el botón Atrás y luego crear un usuario. Se le pedirá que proporcione un nombre de usuario/contraseña y luego haga clic en el botón Guardar.
Ahora, cuando alguien intente visitar el directorio de administración de WordPress o wp-admin en su sitio web, se le pedirá que ingrese el nombre de usuario y la contraseña.
Para obtener instrucciones más detalladas, consulte nuestra guía sobre cómo proteger con contraseña el directorio de administración de WordPress (wp-admin).
3. Utilice siempre contraseñas seguras
Utilice siempre contraseñas seguras para todas sus cuentas en línea, incluido su sitio de WordPress. Recomendamos usar una combinación de letras, números y caracteres especiales en sus contraseñas. Esto hace que sea más difícil para los piratas informáticos adivinar su contraseña.
A menudo, los principiantes nos preguntan cómo recordar todas esas contraseñas. La respuesta más simple es que no es necesario. Hay algunas aplicaciones de administrador de contraseñas realmente geniales que puede instalar en su computadora y teléfonos.
Para obtener más información sobre este tema, consulte nuestra guía sobre la mejor manera de administrar contraseñas para principiantes de WordPress.
4. Use la verificación de dos pasos para la pantalla de inicio de sesión de WordPress
La verificación en dos pasos agrega otra capa de seguridad a sus contraseñas. En lugar de usar solo la contraseña, le pide que ingrese un código de verificación generado por la aplicación Google Authenticator en su teléfono.
Incluso si alguien puede adivinar su contraseña de WordPress, aún necesitará el código de Google Authenticator para ingresar.
Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo configurar la verificación en dos pasos en WordPress usando Google Authenticator.
5. Limite los intentos de inicio de sesión
De forma predeterminada, WordPress permite a los usuarios ingresar contraseñas tantas veces como quieran. Esto significa que alguien puede seguir intentando adivinar su contraseña de WordPress ingresando diferentes combinaciones. También permite a los piratas informáticos utilizar secuencias de comandos automatizadas para descifrar contraseñas.
Para solucionar esto, debe instalar y activar el Bloqueo de inicio de sesión enchufar. Tras la activación, ir a visitar Configuración » Bloqueo de inicio de sesión página para configurar los ajustes del complemento.
Para obtener instrucciones detalladas, consulte nuestra guía sobre por qué debe limitar los intentos de inicio de sesión en WordPress.
6. Limite el acceso de inicio de sesión a las direcciones IP
Otra excelente manera de asegurar el inicio de sesión de WordPress es limitar el acceso a direcciones IP específicas. Este consejo es particularmente útil si usted o solo unos pocos usuarios de confianza necesitan acceso al área de administración.
Simplemente agregue este código a su archivo .htaccess.
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx </LIMIT>
No olvide reemplazar los valores xx con su propia dirección IP. Si usa más de una dirección IP para acceder a Internet, asegúrese de agregarlas también.
Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo limitar el acceso al administrador de WordPress usando .htaccess.
7. Deshabilitar sugerencias de inicio de sesión
En un intento fallido de inicio de sesión, WordPress muestra errores que le indican a los usuarios si su nombre de usuario o la contraseña eran incorrectos. Estas sugerencias de inicio de sesión pueden ser utilizadas por alguien para intentos maliciosos.
Puede ocultar fácilmente estas sugerencias de inicio de sesión agregando este código al archivo functions.php de su tema o un complemento específico del sitio.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
8. Requerir que los usuarios usen contraseñas seguras
Si ejecuta un sitio de WordPress de varios autores, esos usuarios pueden editar su perfil y usar una contraseña débil. Estas contraseñas se pueden descifrar y dar acceso a alguien al área de administración de WordPress.
Para solucionar esto, puede instalar y activar el Forzar contraseñas seguras enchufar. Funciona de forma inmediata y no hay ajustes para configurar. Una vez activado, evitará que los usuarios guarden contraseñas más débiles.
No comprobará la seguridad de la contraseña de las cuentas de usuario existentes. Si un usuario ya está usando una contraseña débil, podrá continuar usando su contraseña.
9. Restablecer contraseña para todos los usuarios
¿Preocupado por la seguridad de la contraseña en su sitio multiusuario de WordPress? Puede pedir fácilmente a todos sus usuarios que restablezcan sus contraseñas.
En primer lugar, debe instalar y activar el Restablecimiento de contraseña de emergencia enchufar. Tras la activación, ir a visitar Usuarios » Restablecimiento de contraseña de emergencia y haga clic en el botón ‘Restablecer todas las contraseñas’.
Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo restablecer contraseñas para todos los usuarios en WordPress
10. Mantén WordPress actualizado
WordPress a menudo lanza nuevas versiones del software. Cada nueva versión de WordPress contiene correcciones de errores importantes, nuevas funciones y correcciones de seguridad.
El uso de una versión anterior de WordPress en su sitio lo deja abierto a vulnerabilidades conocidas y vulnerabilidades potenciales. Para solucionar esto, debe asegurarse de estar utilizando la última versión de WordPress. Para obtener más información sobre este tema, consulte nuestra guía sobre por qué siempre debe usar la última versión de WordPress.
Del mismo modo, los complementos de WordPress también se actualizan a menudo para introducir nuevas funciones o solucionar problemas de seguridad y otros. Asegúrese de que sus complementos de WordPress también estén actualizados.
11. Cree páginas de inicio de sesión y registro personalizadas
Muchos sitios de WordPress requieren que los usuarios se registren. Por ejemplo, los sitios de membresía, los sitios de administración de aprendizaje o las tiendas en línea necesitan que los usuarios creen una cuenta.
Sin embargo, estos usuarios pueden usar sus cuentas para iniciar sesión en el área de administración de WordPress. Esto no es un gran problema, ya que solo podrán hacer las cosas permitidas por su función y capacidades de usuario. Sin embargo, le impide limitar adecuadamente el acceso a las páginas de inicio de sesión y registro, ya que necesita esas páginas para que los usuarios se registren, administren su perfil e inicien sesión.
La manera fácil de solucionar esto es creando páginas de inicio de sesión y registro personalizadas, para que los usuarios puedan registrarse e iniciar sesión directamente desde su sitio web.
Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo crear páginas de inicio de sesión y registro personalizadas en WordPress.
12. Aprenda sobre los roles y permisos de usuario de WordPress
WordPress viene con un poderoso sistema de administración de usuarios con diferentes roles y capacidades de usuario. Al agregar un nuevo usuario a su sitio de WordPress, puede seleccionar una función de usuario para ellos. Este rol de usuario define lo que pueden hacer en su sitio de WordPress.
Asignar un rol de usuario incorrecto puede dar a las personas más capacidades de las que necesitan. Para evitar esto, debe comprender qué capacidades vienen con los diferentes roles de usuario en WordPress. Para obtener más información sobre este tema, consulte nuestra guía para principiantes sobre los roles y permisos de usuario de WordPress.
13. Limite el acceso al panel
Algunos sitios de WordPress tienen ciertos usuarios que necesitan acceso al tablero y otros usuarios que no. Sin embargo, por defecto todos pueden acceder al área de administración.
Para solucionar esto, debe instalar y activar el Eliminar el acceso al panel enchufar. Tras la activación, vaya a Ajustes » Acceso al panel página y seleccione qué roles de usuarios tendrán acceso al área de administración en su sitio.
Para obtener instrucciones más detalladas, consulte nuestra guía sobre cómo limitar el acceso al panel en WordPress.
14. Cerrar sesión de usuarios inactivos
WordPress no cierra automáticamente la sesión de los usuarios hasta que ellos cierran la sesión explícitamente o cierran la ventana del navegador. Esto puede ser una preocupación para los sitios de WordPress con información confidencial. Es por eso que los sitios web y las aplicaciones de las instituciones financieras cierran automáticamente la sesión de los usuarios si no han estado activos.
Para solucionar esto, puede instalar y activar el Cierre de sesión de usuario inactivo enchufar. Tras la activación, vaya a Configuración » Cerrar sesión de usuario inactivo e ingrese el tiempo después del cual desea que los usuarios cierren automáticamente la sesión.
Para obtener más detalles, consulte nuestro artículo sobre cómo cerrar automáticamente la sesión de los usuarios inactivos en WordPress.
Esperamos que este artículo le haya ayudado a aprender nuevos consejos y trucos para proteger su área de administración de WordPress. Es posible que también desee ver nuestra última guía de seguridad de WordPress paso a paso para principiantes.
.