¿Te preguntas si deberías preocuparte por la seguridad de inicio de sesión de tu web en WordPress? Ya sabemos que WordPress es el CMS más popular del mundo porque, entre otras cosas, es muy fácil crear un sitio web con él. Pero, aunque es un CMS gratuito, hay que pagar un precio: WordPress es bastante predecible, lo que a veces lo convierte en un blanco fácil para piratas informáticos.
Los expertos en seguridad dicen que la página de login es la más vulnerable de un sitio web. Todos los días, los piratas informáticos implementan bots para realizar ataques de fuerza bruta en esta página de WordPress. Al averiguar tus credenciales de inicio de sesión, pueden acceder fácilmente a tu CMS. Por lo tanto, debes hacer todo lo que esté a tu alcance para protegerte contra estos invitados no deseados.
En este artículo, te mostraremos 5 métodos avanzados para mejorar la seguridad de tu página de login en WordPress.
Cómo hacer más segura una página de login o inicio de sesión en WordPress en 2022
Hay muchos consejos deficientes en el ámbito de la seguridad cibernética. La mayoría tiene como objetivo llevar a los webmasters al miedo y hacer que se rindan ante decisiones de protección compulsivas. En lugar de seguir alimentando malas decisiones, en este artículo le mostraremos métodos que realmente funcionan. Estos son:
1. Cambiar la URL de la página de inicio de sesión
La página de inicio de sesión predeterminada de WordPress es tal que así:
- www.website.com/wp-admin/
- www.website.com/wp-login.php/
Todo el mundo lo sabe, incluidos los piratas informáticos que diseñan bots que se dirigen a las páginas de login de WordPress. Y dado que más de la mitad de los usuarios de WordPress usan contraseñas poco seguras, es demasiado fácil piratear un sitio web mediante la fuerza bruta entrando directamente desde la página de inicio de sesión.
Una forma de proteger tu página de login es cambiando la URL. Crear una nueva y personalizada URL de página de inicio no es muy complicado, incluso tienes algunos plugins para ello, como por ejemplo: WPS Hide Login.
2. Implementa la autenticación de dos factores
Ya la conoces, la autenticación de dos factores la puedes encontrar al usar Facebook o Gmail. Los servicios generalmente envían un código único a tu número de teléfono móvil registrado cada vez que se intenta iniciar sesión en tu cuenta. Esta medida de seguridad se implementa para asegurarse de que solo el propietario de la cuenta pueda acceder a ella.
Incluso si los piratas informáticos pudieran obtener tus credenciales, no hay forma de que puedan robar el código único enviado a tu número de teléfono móvil.
La autenticación de dos factores también se puede aplicar a tu sitio web de WordPress. Con ello, agregarás una capa de seguridad a la página de login de tu web de WordPress. Todo lo que necesitas hacer es instalar cualquiera de los siguientes plugins:
3. Limita los intentos fallidos de inicio de sesión
WordPress permite a sus usuarios intentos de inicio de sesión ilimitados. Esto puede parecer inofensivo, pero para ser honestos, es una brecha de seguridad importante.
Los intentos de inicio de sesión ilimitados permiten a los piratas informáticos realizar ataques contra tu web. En este tipo de ataques, se suelen implementar bots para encontrar la combinación correcta de nombre de usuario y contraseña. Los bots fallan varias veces antes de encontrar las credenciales adecuadas. Una de las formas más efectivas de contrarrestar los ataques de bots es limitar los intentos de inicio de sesión.
Los plugins a continuación te ayudarán a conseguirlo:
4. Evita el descubrimiento del nombre de usuario
Normalmente, el nombre de usuario se considera menos importante que la contraseña. Es un registro disponible públicamente, y es por eso que asumimos que debe ser de bajo valor. Pero no es verdad.
El nombre de usuario constituye la mitad de tus credenciales. Por eso, debe estar protegido, al igual que la contraseña.
En un sitio web de WordPress, encontrará nombres de usuario que se muestran en publicaciones y archivos de autor. Afortunadamente, hay maneras de deshabilitarlos a ambos.
Cómo deshabilitar los archivos de autor
Esto se puede hacer con la ayuda de cualquier plugin de SEO, como por ejemplo Yoast SEO.
Ve a Yoast SEO> Apariencia en el buscador> Archivos y luego deshabilita los Archivos de autor. Pulsa Guardar cambios.
Cómo cambiar el nombre para mostrar
El nombre para mostrar aparece en los artículos y comentarios publicados. De forma predeterminada, el nombre para mostrar y el nombre de usuario (el que usas para iniciar sesión) son los mismos. Para evitar que se descubra el nombre de usuario, puedes cambiar el nombre para mostrar por otro.
Ve a Usuarios> Perfil> Alias. No puedes cambiar directamente el nombre para mostrar. En su lugar, cambia solo el alias. Luego selecciona el nuevo apodo del menú desplegable.
5. Cierre de sesión automático
Los cierres de sesión automáticos protegen los sitios web de los intrusos. Cuando los usuarios dejan las sesiones desatendidas, los cierres de sesión automáticos finalizan la sesión, protegiendo el sitio web.
El comportamiento predeterminado de WordPress es cerrar la sesión del usuario 48 horas después de que caduque la cookie de la sesión de inicio de sesión. Y si el usuario marcó la casilla “Recordarme”, permanecerá conectado durante 14 días. Para finalizar sesiones por inactividad, debes instalar un plugin.
Por ejemplo:
¿Todo listo? ¡Estupendo! Mejorar la seguridad de tu página de login de WordPress te acerca un paso más a proteger todo tu sitio web, ¡que es el objetivo final!
A pesar de que implementó medidas para evitar que los piratas informáticos ingresen por fuerza bruta a su sitio web, los intrusos aún pueden obtener acceso a través de plugins y temas vulnerables. Por lo tanto, mantener tu sitio web actualizado es muy importante. ¿Quieres conseguir la mejor protección para la web de tu negocio? Deja que nosotros nos encarguemos de ello. ¡Completa este formulario y nos pondremos en contacto contigo!
