Cómo implementar las pautas de seguridad de contraseñas de WordPress

Publicado: 2022-12-22

La seguridad del sitio requiere la participación de los usuarios que acceden al mismo. Por ejemplo, si bien necesita proteger su página de inicio de sesión de WordPress (ya que es un punto de entrada), las credenciales que elijan sus usuarios también deben ser sólidas. Esto hace que sea casi seguro que un usuario malicioso no obtendrá un viaje gratis a su sitio.

Para este tutorial, veremos cómo implementar las pautas de seguridad de contraseñas de WordPress. Va a cubrir parte del terreno que cubre nuestro artículo complementario sobre la protección con contraseña de WordPress. Sin embargo, también hablará sobre cómo puede asegurarse de que los usuarios sigan esas pautas de acuerdo con su propia política de contraseñas seguras.

Por qué la seguridad de las contraseñas es tan importante

En la superficie, esto debería ser sencillo: las contraseñas seguras significan que los piratas informáticos y otros usuarios maliciosos tendrán más dificultades para ingresar a su sitio. Sin embargo, hay más a considerar aquí:

  • Las contraseñas seguras son solo un eslabón en la cadena. Sin embargo, sin ellos, sus grilletes seguros se corroerán rápidamente.
  • Puede combatir usuarios falsos o bots en su sitio mediante la necesidad de establecer una contraseña segura que cambie con frecuencia.
  • WordPress es una plataforma segura. Sin embargo, la popularidad de WordPress significa que es un objetivo común. Una política de seguridad de contraseña sólida (y exhaustiva) protegerá el sitio en su totalidad.

En general, una seguridad de contraseña robusta y fuerte es vital para su sitio web. De hecho, WordPress incluye una funcionalidad para ayudarlo a establecer contraseñas más seguras para suscripciones y registros.

Cómo te ayuda WordPress a implementar contraseñas seguras para todos los usuarios

El sitio web de WordPress.org ofrece su propia lista de mejores prácticas de contraseñas de WordPress, pero la plataforma ahora incluye formas de alentar a los usuarios a usar contraseñas seguras. Puede probar esto desde su página de perfil de usuario en el panel de control de WordPress:

Una página de perfil de WordPress que muestra el campo de contraseña.
Una página de perfil de WordPress que muestra el campo de contraseña.

La sección Gestión de cuentas incluye dos opciones por defecto, pero una es de interés aquí. Puede usar el botón Establecer nueva contraseña para abrir un campo que se completará automáticamente con una contraseña segura y única. Todo lo que el usuario deberá hacer aquí es copiar la contraseña para almacenarla (más sobre esto más adelante) y guardar los cambios.

Establecer una nueva contraseña segura dentro de WordPress.
Establecer una nueva contraseña segura dentro de WordPress.

Sin embargo, si el usuario intenta establecer una contraseña débil, notará que el cuadro de diálogo y las opciones cambian para reflejar esto:

Intentando establecer una contraseña débil dentro de WordPress.
Intentando establecer una contraseña débil dentro de WordPress.

En casos como este, el usuario deberá confirmar que desea usar la contraseña débil mediante una casilla de verificación. Sin embargo, aunque es un paso adicional, la mayoría de los usuarios probablemente harán clic en el botón y guardarán los cambios.

Esto no es ideal porque se convierte en una de las vulnerabilidades de su sitio. En su lugar, querrá implementar una política de seguridad de contraseñas.

Por qué necesita una política sólida de seguridad de contraseñas para su sitio y sus usuarios

Hablamos de las políticas de contraseñas en nuestra guía completa para la protección de contraseñas de WordPress. Sin embargo, para resumir, una política de seguridad de contraseña sólida le quitará el proceso de las manos al usuario en su mayor parte.

Como tal, no tendrán que preocuparse por los sofisticados bots de descifrado de contraseñas o los ataques de fuerza bruta. En su lugar, puede proporcionar a sus usuarios una política que se ajuste a sus pautas y permitirles continuar interactuando con su sitio de manera segura.

Sin embargo, es importante saber cómo es una política de contraseña segura. Hablemos de esto a continuación.

Los elementos de una política de seguridad de contraseña fuerte

Uno de los principales beneficios de una política de seguridad de contraseña sólida es que puede personalizarla según sus necesidades y las de sus usuarios. Sin embargo, hay muchas reglas y políticas de contraseñas de WordPress que puede implementar para reforzar su sitio y proteger a los usuarios:

  • Puede garantizar una longitud mínima para todas las contraseñas.
  • También querrá configurar los tiempos de vencimiento de la contraseña. De lo contrario, encontrará que las contraseñas de los mismos usuarios estarán vigentes durante mucho tiempo, lo cual es riesgoso. Forzar la caducidad da a los usuarios el impulso para crear nuevas contraseñas seguras.
  • Los roles de usuario de WordPress también pueden tener diferentes reglas de contraseña. Por ejemplo, podría decirse que un administrador querrá una política más estricta que un colaborador.

Más adelante, hablaremos más sobre cómo implementar contraseñas seguras utilizando un complemento de política dedicado para WordPress. Sin embargo, primero repasaremos algunos elementos esenciales de la seguridad de contraseñas sólidas.

Pautas de seguridad de contraseñas de WordPress: una lista de verificación

A continuación, hablemos de algunas de las pautas clave de seguridad de contraseñas que sus usuarios deben seguir y que usted debe implementar. Es una lista de verificación corta porque, con un poco de cuidado y reflexión, no necesitará muchos elementos para que todos los usuarios tengan credenciales sólidas.

Comenzaremos con uno de los factores más básicos que puede aplicar.

1. Asegúrate de que tu contraseña sea larga y segura

Gran parte de la discusión sobre la elección de una contraseña fuerte valora la variedad y los elementos aleatorios. Por ejemplo, los caracteres especiales pueden ser importantes en una contraseña que genera al azar:

Generar una nueva contraseña utilizando una herramienta en línea.
Generar una nueva contraseña utilizando una herramienta en línea.

Sin embargo, si toma esta misma filosofía y la implementa de manera incorrecta, es probable que termine con una mala elección de contraseña:

Sustituir letras en una contraseña con caracteres especiales, lo que da como resultado una contraseña débil.
Sustituir letras en una contraseña con caracteres especiales, lo que da como resultado una contraseña débil.

En cambio, ahora sabemos que la longitud de la contraseña es más importante para su fortaleza que la variedad de caracteres. Esta filosofía incluso encuentra su camino en los medios populares, como esta caricatura de contraseña de XKCD:

Una caricatura de XKCD que muestra que la longitud de la contraseña es un aspecto más fuerte que el uso de caracteres especiales.
Una caricatura de XKCD que muestra que la longitud de la contraseña es un aspecto más fuerte que el uso de caracteres especiales.

Sin embargo, también haría bien en implementar caracteres especiales y números. Después de todo, si combina longitud y variedad, tendrá contraseñas aún más seguras.

2. Use un administrador de contraseñas para almacenar sus credenciales

Una desventaja de usar contraseñas largas es que pueden ser difíciles de recordar, y es probablemente la razón por la cual los consejos típicos a menudo sugieren usar una combinación de caracteres. En el pasado, no teníamos las herramientas para crear, almacenar y recuperar contraseñas. Sin embargo, la tecnología moderna tiene una serie de aplicaciones de administración de contraseñas para elegir.

El logotipo de la aplicación 1Password.

Algunas de las opciones más populares incluyen 1Password y LastPass. La mayoría de los navegadores ahora también incluyen la capacidad de crear y almacenar contraseñas. De hecho, los tres jugadores principales, Google Chrome, Apple Safari y Mozilla Firefox, pueden ayudar a los usuarios a almacenar contraseñas. Sin embargo, esta no es una buena idea para una seguridad óptima.

La herramienta de administración de contraseñas del navegador Brave.
La herramienta de administración de contraseñas del navegador Brave.

En muchos casos, estos navegadores también tendrán extensiones para integrarse con aplicaciones de terceros. Para empezar, mantendrá los datos de su contraseña alejados de posibles vulnerabilidades del navegador. Además, tendrá una capa adicional de seguridad.

La mayoría de los administradores de contraseñas de terceros ofrecerán encriptación de sus datos, junto con autenticación de dos factores (2FA). Además, tendrá mejores funciones de calidad de vida que el navegador. Por ejemplo, la mayoría de los administradores de contraseñas monitorearán sus credenciales y le informarán si están comprometidas.

3. Actualice la contraseña periódicamente

Actualizar sus contraseñas es casi un elemento no negociable de la seguridad de las contraseñas. Después de todo, ninguna contraseña es 100 por ciento segura, lo que significa que existe la posibilidad de que se descifre y se filtre en la web, independientemente de cuán pequeña sea.

Debido a esto, cambiar las contraseñas de todos sus inicios de sesión es un paso necesario para que los usuarios de su sitio de WordPress se aseguren de que una contraseña filtrada o descifrada ya no sea válida. Recomendamos un cambio de contraseña instantáneo en cualquiera de los siguientes escenarios:

  • Si su sitio o cuenta de WordPress es pirateado, violado o encuentra malware en el servidor.
  • Las violaciones de datos en toda la empresa también son un momento en el que querrá que los usuarios cambien las contraseñas. Si bien podría concentrarse solo en las cuentas afectadas, es mejor pedir a todos los usuarios que cambien sus contraseñas como medida de precaución.
  • Si elige eliminar a alguien de su red, es una buena idea cambiar al menos la contraseña de su cuenta. Una vez que finalice todo, puede eliminar la cuenta de usuario por completo.

En algunos otros casos, querrá asegurarse de cambiar una contraseña en función de circunstancias específicas. Por ejemplo, muchos puntos de acceso Wi-Fi públicos solo ofrecerán una red no segura para navegar por la web. Si maneja información confidencial, podría incumplir los requisitos legales para proteger los datos en estas situaciones. Debido a esto, y que el uso de Wi-Fi público no es una buena práctica de todos modos, siempre querrá cambiar la contraseña si necesita usar una red no segura.

La mejor manera de implementar contraseñas seguras para su sitio web de WordPress

La funcionalidad de seguridad de contraseñas de WordPress es buena como una forma básica de ayudar a proteger a los usuarios, pero tiene deficiencias. En cambio, los complementos de WordPress pueden cerrar la brecha y agregar las funciones útiles que necesitará para implementar una política de seguridad y contraseñas sólidas.

Un complemento de seguridad de WordPress es vital para cualquier sitio web, pero es posible que no siempre incluya todo lo que necesita para implementar la seguridad de contraseña de WordPress. Es por eso que WPassword será una buena adición a sus medidas de seguridad actuales.

El complemento WPassword.

Una vez que instale y active WPassword, verá fácilmente el complemento en el panel de control de WordPress. La pantalla WPassword > Políticas de contraseña le da su primera tarea: activar la funcionalidad de la política principal. Una vez que hagas esto, verás una gran cantidad de opciones:

Alternar políticas de contraseña dentro del complemento WPassword.
Alternar políticas de contraseña dentro del complemento WPassword.

El editor de políticas de contraseñas es potente y contiene todas las funciones que necesitará para aplicar contraseñas seguras en su sitio:

  • Puede especificar una longitud mínima para las contraseñas y determinar si la contraseña debe contener números, letras mayúsculas y minúsculas, caracteres especiales e incluso bloquear ciertos caracteres.
  • Hay un campo simple para implementar los tiempos de caducidad de la contraseña en función de sus propias necesidades y deseos. Incluso tiene una función de un solo clic para restablecer contraseñas de forma masiva.
  • También podrá establecer plazos para los usuarios inactivos, momento en el que se bloquearán automáticamente.

WPassword también incluye más funciones para ayudarlo a implementar su política de seguridad de contraseñas de WordPress. Por ejemplo, puede optar por no permitir el uso de contraseñas anteriores. Aún mejor, la configuración de cada una de estas opciones utiliza la interfaz predeterminada de WordPress de casillas de verificación y menús desplegables, sin necesidad de código.

Terminando

Si los usuarios de su sitio de WordPress no usan contraseñas seguras, por supuesto, podría correr el riesgo de una brecha de seguridad. Esto puede tener ramificaciones irreparables. Como tal, querrá personalizar una política de contraseña dedicada usando WPassword.

El complemento le permite crear una política de contraseña segura y también la aplica. Sus usuarios no tendrán que mover un dedo, pero se asegurará de que la seguridad de su sitio de WordPress sea mucho más sólida que antes.

¿Tiene alguna pregunta sobre cómo implementar las pautas de seguridad de WordPress en su sitio? ¡Pregunte en la sección de comentarios a continuación!