Cómo bloquear los intentos de inicio de sesión fallidos en WordPress

Los inicios de sesión fallidos pueden ocurrir por una variedad de razones. A menudo, es simplemente el resultado de que un usuario realmente olvidó su contraseña. Le sucede a los mejores de nosotros para que no juzguemos con demasiada dureza. A veces, sin embargo, puede estar sucediendo algo más serio: alguien está tratando de entrar.

El arte de solucionar problemas de inicios de sesión fallidos

Al igual que todos los demás problemas de WordPress, la resolución de problemas (también conocido como llegar al fondo de las cosas) es el primer paso que debemos realizar. Esto nos ayudará a asegurarnos de que estamos lidiando con el problema real y no con su síntoma. Afortunadamente, hay una manera fácil de comenzar este proceso: observe los datos. Esencialmente, deberías ver una de dos cosas:

• Combinaciones incorrectas de nombre de usuario y contraseña

Las combinaciones incorrectas de nombre de usuario y contraseña pueden ocurrir por una de dos razones. O alguien o algo está tratando de adivinar una combinación de nombre de usuario/contraseña para obtener acceso, o es un ataque dirigido. En el caso de la primera opción, esta es una ocurrencia bastante común. De lo contrario, podría tratarse de un ataque dirigido a su sitio web para obtener acceso o sobrecargarlo (DoS/DDoS).

• Combinaciones correctas de nombre de usuario y contraseña incorrecta

Las combinaciones correctas de nombre de usuario y contraseña incorrecta pueden significar una de dos cosas. O es un caso genuino de alguien que olvidó su contraseña, o alguien descubrió un nombre de usuario real registrado en su WordPress y ahora está tratando de adivinar la contraseña.

Otra cosa que debes recordar mirar es la frecuencia. Una gran cantidad de intentos en un período corto suele ser el signo de un ataque automatizado. Por otro lado, una línea de tiempo lenta e irregular es un signo revelador de una persona que aún no ha tomado su café.

Los peligros de demasiados intentos fallidos de inicio de sesión

Los ataques de adivinación de contraseñas son bastante frecuentes. Demasiados intentos fallidos de inicio de sesión de WordPress generalmente son indicativos de este tipo de ataques. Sin una forma de administrar esto, podría estar dejando su sitio abierto a ataques e interrupciones. Afortunadamente, gestionar este riesgo es muy fácil y requiere poco esfuerzo administrativo.

WordPress no ofrece ninguna funcionalidad para limitar o realizar acciones evasivas cuando hay intentos de inicio de sesión fallidos. Un usuario puede seguir intentándolo hasta la saciedad hasta que lo haga bien. Si bien se puede argumentar que dar a las personas oportunidades adicionales es lo ético, imponer límites y controles puede contribuir en gran medida a garantizar la seguridad y la integridad de su sitio web de WordPress.

Cómo evitar intentos fallidos de inicio de sesión en WordPress

Implementar una política de inicio de sesión fallida de WordPress es más fácil de lo que parece. Hay principalmente dos opciones para elegir, que ahora discutiremos.

Limite los inicios de sesión fallidos manualmente

Si está buscando limitar los inicios de sesión fallidos de WordPress sin un complemento, puede modificar el archivo function.php del tema activo y agregar el código relevante. Hay varias formas de agregar código personalizado a los sitios web de WordPress; sin embargo, esto requiere una buena comprensión de PHP y cómo funciona WordPress.

instalar un complemento

Hay otra opción más práctica: usar un complemento. Los complementos vienen en todas las formas y tamaños, incluidos complementos que solo limitan los intentos de inicio de sesión y complementos que le permiten aplicar una política de seguridad de contraseña en WordPress para un control y una seguridad aún más estrictos.

WPassword es uno de esos complementos de WordPress. Brinda a los administradores un mayor control sobre cómo se usan y administran las contraseñas en sus sitios web de WordPress. Incluye la capacidad de configurar una política que se ocupe explícitamente de los intentos fallidos de inicio de sesión, entre muchas otras funciones.

Otras cosas a considerar

Otra opción que vale la pena mencionar es CAPTCHA. Los complementos como Advanced noCaptcha y invisible Captcha son excelentes para ayudarlo a detener los ataques automatizados. Dado que se debe completar un CAPTCHA antes de realizar un intento de inicio de sesión, los bots detrás de tales ataques fallan la prueba y no realizarán un solo intento de inicio de sesión.

Otra opción que tiende a surgir en conversaciones sobre políticas de inicio de sesión fallidas es la de bloquear direcciones IP. A través de esta opción, la IP infractora se incluye en la lista negra, lo que evita que acceda a su sitio web en primer lugar. Si bien esto es técnicamente correcto, un actor malicioso persistente puede simplemente usar una IP diferente, lo que puede hacer con facilidad. Debido a esto, la estrategia de bloquear IPs muchas veces termina siendo un juego del gato y el ratón.

Una mejor opción es usar una CDN (red de entrega de contenido) y dejar que se encarguen de bloquear las IP infractoras. Esto puede ahorrarle un tiempo precioso, que puede invertir en cosas productivas.

Cómo diseñar una política de inicio de sesión fallida de WordPress

Antes de comenzar a aplicar una política de inicio de sesión fallida en un sitio web de WordPress, hay algunas cosas en las que debemos pensar. Al igual que todos los demás problemas relacionados con la seguridad, la gestión de los intentos de inicio de sesión fallidos sufre la paradoja de seguridad/usabilidad. Cuanto más seguro es algo, menos utilizable se vuelve. Lo contrario es igualmente cierto. No permitir que nadie inicie sesión es muy seguro, pero difícilmente utilizable. Dar a los usuarios oportunidades ilimitadas para iniciar sesión puede comprometer la seguridad, pero aumenta la facilidad de uso.

Lo que debe comprender es cuánto margen de maniobra está dispuesto a dar a sus usuarios. Tradicionalmente, tres intentos se consideran adecuados y razonables. Algunos no están de acuerdo con esta noción y sitúan el máximo de intentos de inicio de sesión permitidos en diez. De cualquier manera, ofrecer intentos de inicio de sesión ilimitados no es una buena estrategia y puede tener repercusiones negativas.

La verdad del asunto es que no hay una respuesta correcta o incorrecta. Tres es un número seguro, pero aumentará los gastos administrativos. Diez podría tener gastos generales administrativos más bajos, pero conlleva más riesgos.

Como tal, es posible que desee comenzar limitando la cantidad de intentos de inicio de sesión a tres y luego evaluar la situación. Al usar WPassword, es muy fácil cambiar este número. Como tal, puede adaptar muy fácilmente la política a sus usuarios y circunstancias.

Sería mejor si también pensaras en lo que sucede cuando se bloquea una cuenta. ¿Debería desbloquearse la cuenta automáticamente después de una ventana de tiempo preconfigurada, o debería un administrador desbloquearla manualmente? Esta pregunta sucumbe al mismo problema que antes: debe decidir entre usabilidad y seguridad. Otro aspecto esencial que puede influir en esta parte de la política es la ubicación de tus usuarios. Si las personas inician sesión desde el otro lado del mundo, ¿le gustaría despertarse a las dos de la mañana para desbloquear una cuenta? Y si no, ¿cuánto tiempo debe esperar un usuario antes de poder iniciar sesión nuevamente? ¿Esto afectará su productividad o sus resultados?

Elegir los complementos (y la política) correctos para administrar los inicios de sesión fallidos de WordPress

Una vez que comprenda cómo le gustaría que se viera su contraseña y su política de inicios de sesión fallidos, debe comenzar a trabajar en la implementación. Anteriormente mencionamos WPassword como candidato principal. Ofrece muchas opciones de configuración, lo que le permite un margen de maniobra considerable al configurar e implementar su política de contraseñas.

Una vez que habilite la política de inicios de sesión fallidos para WordPress, puede elegir cuántos intentos tienen los usuarios antes de que se bloquee su cuenta. También puedes decidir cómo se desbloquea y si quieres obligar a los usuarios a cambiar sus contraseñas o no, como se explica a continuación.

Paso 1: Instalar y activar WPassword

Instalar WPassword es fácil. Puede descargar el complemento de seguridad de contraseña directamente desde el sitio web de WP White Security y luego subirlo a su sitio web de WordPress.

Una vez que instale el complemento, haga clic en Complementos en el menú lateral de WordPress, ubique el complemento y haga clic en Activar . Esto agregará una nueva opción de menú llamada Políticas de contraseña , en la que debe hacer clic.

Paso 2: habilite la política de inicios de sesión fallidos

Marque la casilla de verificación junto a Habilitar políticas de inicios de sesión fallidos para limitar los intentos de inicio de sesión fallidos en su sitio web de WordPress. Ingrese el Número de intentos de inicio de sesión fallidos antes de bloquear a un usuario, con 3 a 5 generalmente considerados un buen comienzo.

Otras opciones de configuración incluyen lo que sucede una vez que se bloquea una cuenta y si los usuarios bloqueados deben restablecer su contraseña al desbloquear. Consulte el artículo de la base de conocimientos de la política de inicios de sesión fallidos de WordPress para obtener más información.

Paso 3: Tome medidas de seguridad adicionales

CAPTCHA

También mencionamos CAPTCHA, la prueba omnipresente presente en muchos inicios de sesión y formularios que está diseñada para dejar pasar a los humanos mientras detiene los bots y otras formas de ataques automatizados. Los complementos como Advanced no Captcha y invisible Captcha hacen que la implementación de tales pruebas sea muy fácil al tiempo que ofrecen compatibilidad universal y soporte para diferentes versiones.

Autenticación de dos factores

Para aumentar la seguridad de los procesos de inicio de sesión, la autenticación de dos factores es imprescindible. A través de este proceso, los usuarios deben autenticarse por segunda vez ingresando un código de acceso único proporcionado a través de su teléfono inteligente. Al emplear 2FA, que puede hacer fácilmente a través de complementos como WP 2FA, puede asegurarse de que incluso si las contraseñas se ven comprometidas, a menos que la persona tenga el teléfono vinculado a esa cuenta de usuario, no podrá iniciar sesión.

Paso 4: Ir un paso más allá (Opcional)

Con las políticas de contraseña e inicio de sesión fallido, CAPTCHA y autenticación de dos factores en su lugar, debería estar bien cubierto.

Sin embargo, si su sitio web todavía experimenta grandes volúmenes de intentos fallidos de inicio de sesión, debería considerar usar un servicio CDN. Es posible que desee hablar con su proveedor de alojamiento web para que lo ayude a implementar una solución adecuada para ataques a gran escala.

La seguridad de la contraseña de WordPress requiere un enfoque 360

Como vimos a lo largo del artículo, se deben considerar varios factores al implementar una política de contraseñas. Si bien bloquear los inicios de sesión fallidos de WordPress es un buen primer paso (y uno necesario), al adoptar un enfoque 360, puede estar mucho más seguro. Esto no solo lo ayuda a cubrir todas sus bases, sino que también puede ayudarlo a inspirar más confianza en su sitio web de WordPress.

Un enfoque de 360 ​​grados analiza varios factores, incluidos complementos y temas, alojamiento, TLS, núcleo de WordPress y otros. De esta manera, puede asegurarse de que su seguridad de WordPress esté en plena forma.