¿Te gustaría limitar los intentos de inicio de sesión en tu sitio web de WordPress? Los piratas informáticos pueden usar un ataque de fuerza bruta para intentar adivinar tu contraseña como administrador. Pero, si limitas la cantidad de veces que pueden intentar iniciar sesión, reduces significativamente sus posibilidades de éxito.
En este artículo, te mostraremos cómo y por qué debes limitar los intentos de inicio de sesión en tu sitio de WordPress. ¡Presta atención!
¿Por qué deberías limitar los intentos de inicio de sesión en WordPress?
Un ataque de fuerza bruta es un método que utiliza métodos de prueba y error para hackear tu sitio web de WordPress. El tipo más común de ataque de fuerza bruta es adivinar contraseñas. Los piratas informáticos usan software automatizado para ir adivinando tu información de inicio de sesión y de esta forma terminar accediendo a tu sitio web.
De forma predeterminada, WordPress permite a los usuarios ingresar contraseñas tantas veces como deseen. Estos temidos piratas informáticos pueden intentar aprovecharse de esta situación mediante el uso de scripts que ingresan diferentes combinaciones hasta que adivinan el inicio de sesión correcto.
Puede evitar los ataques de fuerza bruta limitando el número de intentos fallidos de inicio de sesión. Y con ello, por ejemplo, puedes bloquear temporalmente a un usuario después de 5 intentos fallidos de inicio de sesión.
Echemos un vistazo a cómo limitar los intentos de inicio de sesión en tu sitio web de WordPress.
Cómo limitar los intentos de inicio de sesión en WordPress
Lo primero que debes hacer es instalar y activar el plugin Limit Login Attempts Reloaded. La versión gratuita es todo lo que necesitas para poder seguir tutorial. Tras la activación, debes visitar la página Configuración > Limitar intentos de inicio de sesión y luego hacer clic en la pestaña de configuración que encontrarás en la parte superior.
La configuración predeterminada funcionará para la mayoría de los sitios web, pero te mostraremos cómo puedes personalizarla para tu caso.
Para cumplir con las leyes de RGPD, puedes hacer clic en la casilla de verificación “Cumplimiento de RGPD” para mostrar un mensaje en tu página de inicio de sesión.
A continuación, elegirá si desea recibir una notificación cuando se bloquee a alguien tras diversos intentos fallidos al querer iniciar sesión en tu sitio web. También puedes cambiar la dirección de correo electrónico a la que se envía la notificación si lo deseas. De forma predeterminada, se te notificará la tercera vez que se bloquee al usuario.
Después de esto, debes desplazarte hacia abajo hasta la sección “Local App”, donde puedes definir cuántos intentos de inicio de sesión se pueden realizar y cuánto tiempo tendrá que esperar un usuario antes de volver a intentarlo.
De este modo, primero define cuántos intentos de inicio de sesión se pueden realizar en tu web. Después de eso, escoge cuántos minutos tendrá que esperar un usuario si supera esa cantidad de intentos fallidos. El valor predeterminado es 20 minutos.
También puedes aumentar el tiempo de espera una vez que el usuario ha sido bloqueado un número específico de veces. Por ejemplo, la configuración predeterminada no permitirá que el usuario intente iniciar sesión durante 24 horas una vez que se haya bloqueado 4 veces.
Se recomienda no cambiar la configuración sobre las IP de confianza por razones de seguridad. No olvides hacer clic en el botón “Guardar configuración” en la parte inferior de la pantalla para almacenar todos tus cambios.
Algunos consejos profesionales sobre cómo proteger tu sitio web de WordPress
Limitar los intentos de inicio de sesión es solo una forma de mantener seguro tu sitio de WordPress. Veamos algunas otras cosas que no debes perder de vista:
- La primera capa de protección para tus sitios de WordPress son tus contraseñas. Siempre debes usar contraseñas seguras en su sitio de WordPress. Las contraseñas seguras pueden ser difíciles de recordar, pero puedes usar un administrador de contraseñas para hacerlo más fácil.
- Si su página de inicio de sesión de WordPress aún está siendo atacada, entonces otra capa de protección que puede agregar es el famoso Google reCAPTCHA para el inicio de sesión de sitios web en WordPress. Esto ayudará aún más a reducir los ataques DDoS.
- Ningún sitio web es 100% seguro porque los piratas informáticos siempre encuentran nuevas formas de moverse por el sistema. Por eso es crucial que mantengas copias de seguridad completas de tu sitio de WordPress en todo momento. Te recomendamos echar un vistazo a esta entrada de blog que realizamos en su momento sobre el plugin iThemes Security o cómo realizar backups en WordPress.
- Si su sitio web es un negocio, te recomendamos encarecidamente que agregue un firewall que se encargue de los ataques de fuerza bruta y mucho más.
Existen otros recursos que puedes usar, como Wordfence Security, del que también te hablamos en uno de nuestros últimos artículos del blog.
No cabe duda que el tema de la seguridad es un aspecto que como dueños de nuestros sitios web no debemos olvidar. Limitar los intentos de inicio de sesión puede ayudarte a reducir el peligro, pero no es suficiente. ¿Buscas las mejores formas de proteger tu página web? Deja que nosotros nos encarguemos por ti de la seguridad de tu negocio online. Consulta nuestros servicios y trabajaremos siempre para ofrecerte los mejores resultados.
