5 reglas simples para la seguridad de inicio de sesión de WordPress

Publicado: 2022-07-12

Una estrategia de seguridad exitosa de WordPress debe incluir pasos para fortalecer el inicio de sesión de WordPress. En esta publicación, cubrimos las cinco reglas simples para una mejor seguridad de inicio de sesión de WordPress.

Lo mejor de WordPress es cómo hace que la creación de un sitio web sea accesible para casi cualquier persona. Pero con esa accesibilidad viene la previsibilidad. Cualquiera con experiencia trabajando con WordPress sabe dónde se realizan los cambios en el sitio: a través del área de wp-admin. Incluso saben dónde deben ir para acceder a wp-admin, la página wp-login.php.

De forma predeterminada, la URL de inicio de sesión de WordPress es la misma para todos los sitios de WordPress y no requiere ningún permiso especial para acceder. Es por eso que la página de inicio de sesión de WordPress es la parte más atacada y potencialmente vulnerable de cualquier sitio de WordPress.

Desafortunadamente, crear un bot que deambule por Internet cometiendo ataques de fuerza bruta no requiere mucha habilidad, y cualquier hacker de nivel principiante puede crear uno. Debido a que los ataques a la página de inicio de sesión de WordPress tienen una barrera de entrada baja, la seguridad de inicio de sesión de WordPress es crucial para proteger cualquier sitio de WordPress.

Al seguir estas reglas y usar las mejores prácticas de seguridad de WordPress, puede evitar ser vulnerable a los errores comunes de inicio de sesión de los usuarios.

1. Usa contraseñas seguras

Hay mucha información confusa y contradictoria sobre las mejores prácticas de seguridad de contraseñas en Internet. En un esfuerzo por aclarar esa confusión, analicemos los conceptos básicos de cómo el uso de una contraseña segura mejora la seguridad de WordPress.

Siempre que cree una contraseña, el primer elemento que querrá considerar es la longitud de la contraseña. La siguiente lista muestra el tiempo estimado que lleva descifrar una contraseña usando un procesador i5 de cuatro núcleos.

  • 7 caracteres tardarán 0,29 milisegundos en descifrarse.
  • 8 caracteres tardarán 5 horas en descifrarse.
  • 9 caracteres tardarán 5 días en descifrarse.
  • 10 caracteres tardarán 4 meses en descifrarse
  • 11 personajes tardarán 1 década en descifrarse
  • 12 caracteres tardarán 2 siglos en descifrarse.

Entonces, como puede ver, agregar un solo carácter a su contraseña puede aumentar significativamente la seguridad de su inicio de sesión.

Una contraseña que tenga al menos 12 caracteres, sea aleatoria e incluya una gran cantidad de caracteres como “ ISt8XXa!28X3 ” hará que sea muy difícil de descifrar.

Desafortunadamente, algunos piratas informáticos están aprovechando GPU y CPU más potentes para reducir la cantidad de tiempo necesario para descifrar contraseñas. Entonces, para fortalecer sus inicios de sesión, también tenga en cuenta la entropía de su contraseña. Cuanto mayor sea la entropía de la contraseña, más difícil será descifrar la contraseña.

Por ejemplo, basándose solo en el requisito de longitud, una contraseña como "abcdefghijkl" tiene 12 caracteres, lo cual es excelente y debería llevar 200 años descifrarlo. Sin embargo, dado que la contraseña usa cadenas secuenciales de letras, hace que la contraseña sea mucho más predecible en comparación con una contraseña como "rfybolaawtpm", que tiene caracteres aleatorios.

La aleatorización de caracteres disminuye la previsibilidad y aumenta la seguridad de la contraseña. Pero ambas contraseñas tienen una cosa en común que, en última instancia, reduce la entropía de la contraseña. Ambos solo usan letras minúsculas, lo que limita el grupo de caracteres posibles a 26. Por eso es vital incluir caracteres alfanuméricos, letras mayúsculas y ASCII comunes para aumentar el grupo de caracteres necesarios para descifrar la contraseña a 92.

Sugerencia: use un administrador de contraseñas como LastPass para generar y almacenar contraseñas de forma segura con facilidad.
Sugerencia: Como mínimo, debe solicitar a los usuarios que puedan realizar ediciones en WordPress que utilicen contraseñas seguras. El uso de un complemento de seguridad de WordPress como iThemes Security Pro para obligar a los usuarios privilegiados a usar contraseñas seguras ayudará a aumentar la seguridad de inicio de sesión de WordPress.

2. Use una contraseña única para cada cuenta

Otra práctica recomendada para la seguridad en línea es usar contraseñas únicas para cada cuenta e inicio de sesión en el sitio web que tenga. Esto es tan importante que lo diremos nuevamente: debe usar una contraseña diferente para cada sitio.

¿Por qué es tan importante reutilizar las contraseñas? Si usa la misma contraseña para todos los sitios y uno de esos sitios está comprometido, ahora está usando una contraseña comprometida para cada cuenta, en cada sitio. Los piratas informáticos pueden usar volcados de datos de contraseñas comprometidas junto con su dirección de correo electrónico o nombre de usuario para obtener acceso a sus cuentas. Es mejor ni siquiera correr el riesgo.

Cuantos más usuarios tenga que reutilicen contraseñas, más débil será su seguridad de inicio de sesión de WordPress.

En una lista compilada por Cybernews, la contraseña más común en 2022 fue 123456. La seguridad de inicio de sesión de WordPress de su sitio es tan fuerte como el enlace más débil, así que sea proactivo con requisitos de contraseña fuertes.

Consejo: proteja WordPress de contraseñas comprometidas

Puede proteger WordPress de contraseñas comprometidas con un complemento como iThemes Security Pro. iThemes Security Pro aprovecha la API HaveIBeenPwned para detectar si apareció o no una contraseña en una violación de datos.

Consejo: anime a los usuarios a cambiar las contraseñas con frecuencia

Las funciones de requisitos de contraseña de iThemes Security le permiten obligar a todos sus usuarios a cambiar su contraseña la próxima vez que inicien sesión. Obligar a los usuarios a crear una nueva contraseña permite que todos comiencen de nuevo con una contraseña segura y sin compromisos, lo que aumentará su inicio de sesión de WordPress seguridad.

Consejo: use un administrador de contraseñas

En última instancia, el uso de un administrador de contraseñas puede ayudarlo a realizar un seguimiento de sus inicios de sesión y contraseñas únicas. Con la ayuda de un administrador de contraseñas, no tiene que recordar sus contraseñas.

3. Limite los intentos de inicio de sesión

De forma predeterminada, no hay nada integrado en WordPress para limitar la cantidad de intentos fallidos de inicio de sesión que alguien puede hacer. Sin un límite en la cantidad de intentos fallidos de inicio de sesión que un atacante puede hacer, puede seguir intentando una cantidad infinita de nombres de usuario y contraseñas hasta que tenga éxito.

Aumente la seguridad de su inicio de sesión de WordPress instalando un complemento de seguridad de WordPress como iThemes Security Pro para limitar la cantidad de intentos fallidos de inicio de sesión. La función de protección de fuerza bruta de iThemes Security Pro WordPress le brinda el poder de establecer la cantidad de intentos de inicio de sesión fallidos permitidos antes de que se bloquee un nombre de usuario o IP. Un bloqueo deshabilitará temporalmente la capacidad del atacante para realizar intentos de inicio de sesión. Una vez que los atacantes hayan sido bloqueados tres veces, se les prohibirá incluso ver el sitio. Nota: Cuando decida cuán estrictas desea que sean sus reglas para los intentos fallidos de inicio de sesión, tenga en cuenta a los usuarios reales de su sitio. Si hace que las reglas de bloqueo sean demasiado implacables, corre el riesgo de bloquear inadvertidamente a usuarios reales.

4. Limite los intentos de autenticación externa por solicitud

Hay otras formas de iniciar sesión en WordPress además de usar un formulario de inicio de sesión. Con XML-RPC, un atacante puede realizar cientos de intentos de nombre de usuario y contraseña en una sola solicitud HTTP. El método de amplificación de fuerza bruta permite a los atacantes realizar miles de intentos de nombre de usuario y contraseña utilizando XML-RPC en solo unas pocas solicitudes HTTP. Cuando sabe que un atacante puede usar volcados de base de datos como punto de partida y hacer miles de conjeturas por solicitud, hace que la importancia de la seguridad de inicio de sesión de WordPress sea mucho más clara. Usando la configuración de ajustes de WordPress de iThemes Security Pro, puede bloquear múltiples intentos de autenticación por solicitud XML-RPC. Limitar el número de intentos de nombre de usuario y contraseña a uno por cada solicitud contribuirá en gran medida a asegurar su inicio de sesión de WordPress.

Además, cuando esté desarrollando su plan de seguridad de inicio de sesión de WordPress, es importante tener en cuenta que la API Rest de WordPress agrega formas adicionales para autenticar a un usuario de WordPress. La autenticación de cookies es un método de autenticación cuando inicia sesión. WordPress almacena automáticamente una cookie para que los complementos y los temas puedan realizar una función en su nombre. La autenticación de cookies se beneficiará de las protecciones que ha agregado a wp-login.php.

5. Utilice la autenticación de dos factores

Guardé el mejor método para aumentar la seguridad de inicio de sesión de WordPress para el final: la autenticación de dos factores de WordPress. La autenticación de dos factores requiere un código adicional junto con su nombre de usuario y contraseña de WordPress para iniciar sesión.

Hay muchos métodos de autenticación de dos factores, pero no todos los métodos son iguales. Si puede, evite usar SMS para la autenticación de dos factores. El Instituto Nacional de Estándares y Tecnología ya no recomienda usar SMS para enviar y recibir códigos de autenticación.

Al usar un complemento de seguridad de WordPress, como iThemes Security Pro, debe habilitar el método de dos factores del correo electrónico o de la aplicación móvil.

Solo tenga en cuenta que muchos sitios requieren que use una dirección de correo electrónico como nombre de usuario. Si un atacante piratea uno de estos sitios, el siguiente paso será intentar iniciar sesión en las cuentas de correo electrónico utilizando las nuevas direcciones de correo electrónico y contraseñas que robaron. Si uno de sus usuarios o clientes está reutilizando contraseñas comprometidas en cada sitio, su cuenta de correo electrónico, junto con sus códigos de correo electrónico de dos factores, se verán comprometidos. El método de la aplicación móvil de dos factores hará todo lo posible para aumentar la seguridad de inicio de sesión de WordPress. El código de autenticación adicional que se requiere para iniciar sesión se enviará al teléfono del usuario. Por lo tanto, incluso si un atacante tiene acceso a WordPress y a las credenciales de correo electrónico, no tendrá forma de iniciar sesión.

Resumen: una simple lista de verificación de seguridad de inicio de sesión de WordPress

La seguridad de inicio de sesión de WordPress debe ser una prioridad en todos los sitios. Ahora que sabe cómo aumentar la seguridad de inicio de sesión en su sitio, puede aprovechar esta estrategia eficaz de prevención de piratería.

  • 1. Usa contraseñas seguras
  • 2. Use contraseñas únicas para cada cuenta
  • 3. Limite los intentos de inicio de sesión
  • 4. Limite los intentos de autenticación
  • 5. Utilice la autenticación de dos factores

Obtenga el contenido adicional: una guía para la seguridad de WordPress
Haga clic aquí

El mejor complemento de seguridad de WordPress para asegurar y proteger WordPress

Actualmente, WordPress funciona en más del 40% de todos los sitios web, por lo que se ha convertido en un objetivo fácil para los piratas informáticos con intenciones maliciosas. El complemento iThemes Security Pro elimina las conjeturas de la seguridad de WordPress para que sea más fácil asegurar y proteger su sitio web de WordPress. Es como tener un experto en seguridad a tiempo completo en el personal que supervisa y protege constantemente su sitio de WordPress por usted.

Obtenga iThemes Security Pro