Proteger su área de administración de WordPress y su página de inicio de sesión contra ataques es vital. Sin embargo, si bien los piratas informáticos representan un riesgo de seguridad importante, no son los únicos. Para los sitios que brindan registro de usuarios, también deberá proteger el área de administración contra los propios usuarios. Los problemas de seguridad que resultan de los usuarios aprobados se denominan «intrusiones no maliciosas».
Afortunadamente, puede apuntalar su sitio web rápida y fácilmente implementando algunos consejos de sentido común e instalando algunos complementos para ayudar. Al considerar aspectos como sus credenciales de inicio de sesión y eliminar los ataques maliciosos en su origen, hará que su sitio sea más seguro para todos los que lo utilicen.
En este artículo, primero discutiremos por qué debe proteger sus páginas de administración y de inicio de sesión, luego le brindaremos cinco consejos para ayudarlo a proteger su sitio para siempre. ¡Empecemos!
Por qué debería proteger su área de administración de WordPress (y página de inicio de sesión)
Al igual que la puerta de entrada de su casa, su página de inicio de sesión de WordPress es probablemente el eslabón débil de la cadena cuando se trata de acceder a su sitio web. Su pantalla de administración representa la primera habitación a la que entrará cualquiera, lo que significa que bloquear ambas es crucial para la seguridad. Las consecuencias de no hacerlo son numerosas, incluida la pérdida de información personal, del cliente o del usuario, el daño a la funcionalidad de su sitio web e incluso su eliminación completa. Además, la erosión de la confianza del cliente puede ser catastrófica para sus resultados.
Finalmente, vale la pena señalar que los ataques de fuerza bruta son una forma popular de obtener acceso no autorizado a un sitio web, por lo que algunos de los consejos aquí se centran en mantener su sitio a salvo de eso.
Si es nuevo en WordPress, comprender cómo proteger su sitio puede ser abrumador. Para desmitificar el proceso, describimos cinco consejos que puede implementar para proteger su sitio. ¡Vamos a ver!
1. Elija nombres de usuario y contraseñas seguros
En última instancia, las credenciales sólidas son una larga cadena de caracteres aleatorios, que a veces contienen números y símbolos. En comparación con las contraseñas cortas, los ejemplos sólidos son difíciles de adivinar para un pirata informático, lo que dificulta el acceso a su cuenta. Es una preocupación apremiante, ya que el 69% de los adultos en línea no consideran qué tan seguras son sus contraseñas. En resumen, las credenciales débiles dejan su sitio abierto a un riesgo fácilmente evitable.
Y lo que es más, todo el mundo Las credenciales de usuario de su sitio son importantes; no es bueno que tenga un nombre de usuario y una contraseña seguros si otra cuenta de administrador tiene una débil.
Afortunadamente, asegurarse de que sus nombres de usuario y contraseñas estén al día es bastante fácil:
- Oculte su nombre de usuario. Cambie los nombres de usuario predeterminados de administración a algo más difícil de adivinar.
- Utilice una contraseña larga y difícil de adivinar. Puede utilizar un sitio web como Generador de contraseñas seguras – aunque WordPress también contiene un generador de contraseñas estelar, y muchos navegadores tienen sus propios sistemas en su lugar. Recuerde que la longitud es un factor principal en una contraseña segura.
- Guarde su contraseña en un lugar seguro. Si bien esto no es estrictamente necesario para crear credenciales sólidas, el almacenamiento seguro de sus contraseñas es igualmente importante. Con ese fin, eche un vistazo a Ultimo pase o 1 contraseña para ayudarlo a administrar todas sus contraseñas fácilmente.
Por supuesto, este no es el único método a su disposición para proteger su área de administración. Veamos otra forma de restringir el acceso.
2. Agregue autenticación de dos factores (2FA) para bloquear inicios de sesión no autorizados
2FA es un método para proteger su cuenta solicitándole un código o token único a través de su dispositivo inteligente. Significa que cada vez que inicie sesión, WordPress puede estar seguro de que es usted, y no un pirata informático u otro indeseable.
Al igual que con otros métodos de seguridad, hay muchos complementos que pueden ayudarlo a implementar 2FA:
- Autenticación de dos factores: Este complemento funciona con Google Authenticator para proporcionar códigos de tiempo limitado para el acceso de inicio de sesión.
- Keyy: Esta solución única busca eliminar las credenciales por completo, utilizando su dispositivo inteligente exclusivamente para iniciar sesión.
Con todo, querrá experimentar primero con un complemento 2FA estándar, luego gravitar hacia otras soluciones como Keyy cuando se sienta cómodo. Además, algunos complementos como Wordfence y Jetpack incluyen esta función, por lo que también vale la pena echarles un vistazo.
3. Limite el número de intentos de inicio de sesión para restringir los ataques de fuerza bruta
En pocas palabras, los ataques de fuerza bruta buscan adivinar sus credenciales iterando a través de todas las combinaciones posibles. Es un método popular para piratear un sitio web, y significa que limitar la cantidad de veces que un usuario puede iniciar sesión es una forma simple y efectiva de obstaculizarlos.
En cuanto a cómo prevenirlos, una vez más los complementos vienen al rescate. Aquí están nuestras recomendaciones:
- Jetpack: Entre otras características, Jetpack ofrece múltiples módulos que restringirá los intentos de fuerza bruta y supervisará su sitio en busca de ellos.
- Seguridad de iThemes: Este complemento todo en uno no solo le permite limitar los intentos de inicio de sesión, sino que también le permitirá prohibir a los usuarios sospechosos.
- Seguridad de Wordfence: Junto con las restricciones de ataque de fuerza bruta, este complemento integral también presenta una gran cantidad de otras características vitales relacionadas con la seguridad.
- BruteGuard: Este complemento lo protege contra ataques de fuerza bruta al conectar a sus usuarios para rastrear los intentos fallidos de inicio de sesión en todos los sitios de WordPress que lo usan, construyendo una red protectora que aprende y se vuelve más poderosa que la mayoría de las personas que lo usan.
Existe otro método para detener los ataques intrusivos en su sitio web: cortarlos en el paso. Veamos esto con más profundidad.
4. Implemente un firewall de aplicaciones de sitios web (WAF) para proteger su sitio de inyecciones de código
Una inyección de código es lo que parece: código que se usa para alterar la funcionalidad de su sitio, y puede ser devastador. En pocas palabras, un WAF ofrece una barrera a su sitio para bloquear estos y otros tipos de ataques antes de que lleguen a sus archivos.
Algunos complementos (como Wordfence) incluyen un WAF de serie. Sin embargo, hay muchas otras opciones para elegir, como:
- NinjaFirewall: Este complemento dedicado es un firewall independiente que se encuentra frente a WordPress y se promociona como un «verdadero WAF».
- Seguridad anti-malware y cortafuegos de fuerza bruta: Este complemento no solo incluye un WAF sólido que se actualiza continuamente, sino que también protege contra ataques de fuerza bruta.
- Todo en uno WP Security & Firewall: El nombre lo dice todo: incluye un generador de contraseñas, busca nombres de usuario débiles, protege contra ataques de fuerza bruta y también tiene un WAF fuerte.
En resumen, no hay excusa para no proteger su sitio, e implementar un WAF es una de las mejores formas de hacerlo.
5. Utilice los roles de usuario de WordPress para limitar las capacidades de la cuenta en su sitio
Para cada cuenta que acceda a su sitio, puede establecer un rol de usuario definido con un conjunto de capacidades que limitan lo que puede hacer la cuenta de usuario. Significa que los usuarios solo tendrán acceso a lo que necesitan para realizar su trabajo, claramente un aspecto clave de la seguridad del sitio.
Al igual que con los otros consejos de esta lista, comenzar es muy sencillo:
- Establezca los roles de usuario correctos por adelantado, para ofrecer acceso solo a lo que el usuario necesita y nada más.
- Utilice un complemento como Editor de roles de usuario o Editor de roles de usuario de WPFront para personalizar el acceso que tienen ciertos roles.
- Compruebe periódicamente si hay cuentas no utilizadas y elimínelas.
Con todo, establecer roles de usuario no tiene por qué ser difícil y podría ofrecer más seguridad a su área de administración.
Cuando se trata de seguridad, su principal preocupación siempre debe ser mantener a raya el acceso no autorizado, independientemente de su procedencia. Las consecuencias de no hacerlo podrían ser catastróficas para su sitio, el ranking de búsqueda y los ingresos potenciales.
En este artículo, hemos analizado cinco consejos para proteger de forma experta su área de administración. ¿Tiene más consejos para ayudar a proteger su área de administración de WordPress? ¡Cuéntanos sobre ellos en la sección de comentarios a continuación!