Cómo proteger su página de inicio de sesión de WordPress (Guía completa)

Publicado: 2022-08-16

Un factor crítico para ejecutar un sitio web de WordPress exitoso es implementar medidas de monitoreo y seguridad. Después de todo, un sitio pirateado puede causar muchos dolores de cabeza, independientemente de si su sitio se usa para fines comerciales o personales. Puede afectar sus ingresos, arriesgar la información de sus visitantes y arruinar su reputación.

Un punto de entrada típico para los piratas informáticos es la página de inicio de sesión de WordPress, que será nuestro enfoque hoy. Lo que sigue es un resumen de 14 formas de fortalecer la seguridad de inicio de sesión de WordPress para que los actores malintencionados no violen su sitio.

¿Por qué proteger su página de inicio de sesión de WordPress?

Antes de llegar a la lista de consejos de seguridad, analicemos brevemente por qué es posible que desee proteger su página de inicio de sesión de WordPress, de ataques de fuerza bruta o de otro tipo, en primer lugar.

  • WordPress es muy popular, por lo que los ciberdelincuentes a menudo buscan nuevas vulnerabilidades que puedan explotar en una gran cantidad de sitios.
  • Debido a que los piratas informáticos están familiarizados con WordPress, saben cuándo un sitio web está desactualizado y qué fallas de seguridad están presentes en cada versión.
  • Para obtener acceso a través de una página de inicio de sesión, los piratas informáticos no siempre necesitan conocimientos de desarrollo avanzados o habilidades especiales.

Mantener una página de inicio de sesión segura de WordPress es esencial para el éxito a largo plazo y el rendimiento general de su sitio web.

Cómo fortalecer la seguridad de inicio de sesión de WordPress

Entonces sabe por qué necesita crear un inicio de sesión seguro de WordPress, pero ¿cómo puede lograrlo? Hemos reunido 14 formas de proteger correctamente su página de inicio de sesión de WordPress para que no tenga que dejar la seguridad de sus datos o la información del cliente al azar.

1. Instale un complemento de seguridad de WordPress

Puede controlar la mayoría de los problemas de seguridad en solo unos minutos instalando un complemento de seguridad de WordPress de alta calidad. Si bien muchos complementos se especializan en proteger aspectos específicos de un sitio o contra ciertos tipos de ataques, un enfoque más completo es mejor para el sitio promedio. Un complemento de seguridad todo en uno incluirá características como registros de auditoría, escaneos de malware, firewalls y herramientas de seguridad de inicio de sesión en una sola solución.

Y en la parte superior de la lista de nuestras recomendaciones está Jetpack Security.

Página de inicio de seguridad de Jetpack

Jetpack Security funciona ocupándose de numerosas tareas de seguridad automáticamente. Y con funciones tanto gratuitas como de pago, un nivel de protección está disponible para todos los que tengan un sitio web de WordPress. Tiene una amplia gama de funciones que pueden funcionar para evitar violaciones de seguridad, pero también lo ayudan a diagnosticar y recuperarse de cualquier incidente que experimente. Éstos incluyen:

  • Protección contra ataques de fuerza bruta
  • Prevención de correo no deseado
  • Escaneo de malware
  • Supervisión del tiempo de inactividad
  • copias de seguridad
  • Registros de actividad
  • Autenticación de dos factores

Si bien puede realizar el resto de los pasos descritos aquí por su cuenta, el uso de un complemento como Jetpack Security agilizará el proceso de fortalecimiento de inicio de sesión.

2. Cambie y oculte su URL de inicio de sesión de WordPress

Otra forma de hacer que su página de inicio de sesión sea más segura es ocultarla de miradas indiscretas. De forma predeterminada, la dirección de inicio de sesión para todos los sitios de WordPress es http://www.yourwebsitename.com/wp-admin, que es básicamente como darle a un ladrón la dirección de su casa. Entonces, cualquier cosa que pueda hacer para ocultar esto es una buena idea.

Cambiar la URL de inicio de sesión de WordPress es una excelente manera de poner barreras para dificultar el trabajo del hacker. Puede encontrar un complemento que haga esto por usted, pero también puede hacerlo usted mismo.

Para esto, necesitará acceso FTP a su sitio web. Una vez que lo tenga, simplemente siga las instrucciones de nuestro tutorial: URL de inicio de sesión de WordPress: cómo encontrarlo, cambiarlo y ocultarlo.

3. Use una contraseña segura para iniciar sesión en WordPress

También puede reforzar la seguridad de su sitio actualizando a una contraseña más segura. La implementación de medidas de contraseñas seguras hace que sea mucho menos probable que un hacker o bot pueda "adivinarlas". Aunque “fluffy21” puede ser fácil de recordar, es demasiado fácil de adivinar, especialmente si “Fluffy” es el nombre de una mascota querida.

En lugar de elegir contraseñas basadas en nombres, edades o mascotas, es mucho mejor crear una que combine letras y números, letras mayúsculas y minúsculas y un par de símbolos. Puede crear una contraseña segura de dos maneras:

  • Una herramienta de contraseña segura incorporada. WordPress tiene una herramienta de contraseña segura que lo alienta a crear una contraseña más fuerte que la que puede estar naturalmente inclinado a elegir.
  • Un generador de contraseñas. Muchos generadores de contraseñas facilitan el desarrollo de una contraseña segura que no se puede adivinar intuitivamente.
  • Un guardián/administrador de contraseñas. El único problema con las contraseñas seguras es que son difíciles de recordar. El uso de un administrador de contraseñas o una herramienta de administración elimina este problema. Las opciones populares incluyen LastPass, DashLane y 1Password.
Página de inicio de LastPass

4. Proteja con contraseña su página de inicio de sesión

De forma predeterminada, cualquiera puede acceder a la página de inicio de sesión de su sitio de WordPress. Y si bien puede ocultar o cambiar su URL de inicio de sesión, como discutimos anteriormente, los piratas informáticos pueden encontrarla si la carpeta wp-admin todavía está accesible.

Es por eso que es una buena idea agregar otra capa de protección antes de acceder a la página de inicio de sesión. Y puede lograr esto protegiendo con contraseña la carpeta wp-admin . Si su servidor web usa cPanel, este proceso es relativamente fácil.

Inicie sesión en la cuenta de su proveedor de alojamiento, acceda al cPanel y luego vaya a la carpeta Privacidad del directorio .

Mientras ve los archivos de su sitio, vaya a public_html/wp-admin . Debe haber una casilla de verificación visible que diga proteger con contraseña este directorio . Revisa la caja. Luego cree un nuevo nombre de usuario y contraseña para acceder a la carpeta wp-admin. Guarde sus cambios.

Intente iniciar sesión en su sitio como de costumbre. Ahora debería tener que ingresar otro conjunto de credenciales antes de que se le conceda permiso para iniciar sesión en WordPress.

Nota: este proceso sería idéntico, incluso si moviera la ubicación de su página de inicio de sesión. Proteja con contraseña la carpeta en la que reside su página de inicio de sesión, incluso si no es wp-admin.

5. Limite el número de intentos de inicio de sesión

Otra cosa que debe hacer para proteger la página de inicio de sesión de WordPress es limitar los intentos de inicio de sesión. Los piratas informáticos pueden usar bots para realizar repetidos intentos de inicio de sesión hasta que descifren el código, es decir, descubren su contraseña y obtienen acceso a su sitio web. Desafortunadamente, WordPress permite inicios de sesión ilimitados de forma predeterminada.

Para evitar este posible punto de acceso, puede limitar los intentos de inicio de sesión. Un complemento es la mejor manera de lograr esto. De hecho, Jetpack Security ofrece Brute Force Attack Protection como parte de su solución de seguridad todo en uno.

número de ataques de fuerza bruta bloqueados por Jetpack

Los ataques de fuerza bruta pueden ser increíblemente perjudiciales para el funcionamiento de su sitio web, incluso antes de que los piratas informáticos obtengan acceso. Por ejemplo, pueden ralentizar considerablemente su sitio o hacer que deje de responder por completo. Los intentos repetidos de inicio de sesión pueden eventualmente tener éxito y el pirata informático puede inyectar malware, insertar enlaces o causar caos de otra manera. Estos ataques también pueden poner en riesgo su información personal.

La función Protección contra ataques de fuerza bruta incluida en Jetpack Security proporciona las herramientas necesarias para bloquear ataques y evitar que los piratas informáticos malintencionados obtengan acceso a sus datos. Funciona bloqueando direcciones IP maliciosas antes de que lleguen a su sitio. También proporciona un recuento de los ataques totales y le permite incluir en la lista blanca las direcciones IP conocidas.

6. Agregue una pregunta de seguridad a su formulario de inicio de sesión de WordPress

También puede ampliar la seguridad de su formulario de inicio de sesión agregando una pregunta de seguridad (o dos) al proceso de inicio de sesión. Entonces, en lugar de solo ingresar un nombre de usuario y contraseña, los usuarios también deben responder una pregunta de seguridad para obtener acceso.

Este único paso hace que su sitio web sea mucho más difícil de piratear. Y es relativamente fácil de implementar.

El complemento de registro No-Bot es una excelente manera de lograr esto. Descárguelo yendo a Complementos → Agregar nuevo, luego escriba el nombre del complemento. Una vez que aparezca, descárgalo y actívalo.

Complemento de registro sin bot

Una vez activado, vaya a Configuración desde el panel de WordPress. Aquí puede configurar el complemento y configurar las reglas para cuando se usan preguntas de seguridad (en páginas de registro, inicio de sesión o contraseña olvidada).

Esto es mucho más fácil de usar que un CAPTCHA, ya que solo requiere responder una pregunta simple y lógica.

7. Agregue autenticación de dos factores a WordPress

A continuación, puede habilitar la autenticación de dos factores. Muchos sitios web y aplicaciones usan esta popular opción de seguridad, incluido Gmail. Funciona enviando un código SMS a su teléfono que deberá ingresar antes de poder completar el proceso de inicio de sesión.

Esto se utiliza para verificar su identidad y garantizar que solo se conceda acceso a usuarios autorizados. Cada capa de autenticación que agrega al proceso hace que sea significativamente más difícil que alguien piratee su sitio. Incluso si un mal actor obtiene acceso a su información de inicio de sesión, es poco probable que pueda frustrar el proceso 2FA.

La forma más fácil de agregar autenticación de dos factores a WordPress es usar un complemento 2FA. Varios complementos de seguridad incluyen esta característica, pero, nuevamente, Jetpack Security viene fuerte con la autenticación segura.

La autenticación segura le permite iniciar sesión con sus credenciales estándar de WordPress.com y también desactivar u omitir el formulario de inicio de sesión predeterminado por completo. Además, puede optar por hacer que la autenticación de dos factores sea un requisito para que todos los usuarios brinden mayor protección a su sitio.

8. Instale un certificado SSL en su sitio de WordPress

Otra vía de protección es instalar un certificado SSL. Obtener un certificado SSL gratis es fácil, por lo que es una medida de seguridad que nadie debe pasar por alto.

SSL es la forma en que la mayoría de los sitios web protegen sus datos. Y puede saber cuándo un sitio es seguro ya que el "HTTP" en el campo URL tendrá una "S" agregada, por lo que se lee "HTTPS". Los navegadores suelen utilizar otras indicaciones visuales, como un icono de candado verde, para que los visitantes sepan que su sitio tiene un certificado SSL activo.

Más allá de las implicaciones de seguridad, es posible que los visitantes no continúen navegando por su sitio si ven que no es seguro. Además, los sitios con certificados SSL tienden a clasificarse mejor en los motores de búsqueda y algunos navegadores incluso mostrarán una advertencia a los visitantes si no tiene uno.

No te saltes este paso. Aprenda cómo obtener un certificado SSL gratuito.

9. Deshabilite las sugerencias de inicio de sesión de WordPress después de intentos fallidos de inicio de sesión

Las sugerencias de inicio de sesión pueden ser realmente útiles para los usuarios reales de WordPress, pero a veces pueden revelar demasiada información sobre su nombre de usuario y contraseña a los piratas informáticos. Cuando intenta iniciar sesión en un sitio de WordPress y obtiene un nombre de usuario incorrecto, se encuentra con un error que dice: “El nombre de usuario no está registrado en este sitio. Si no está seguro de su nombre de usuario, pruebe con su dirección de correo electrónico”.

mensaje de error sobre un nombre de usuario que no está registrado

Algo similar sucede si ingresa el nombre de usuario o la dirección de correo electrónico correctos, pero la contraseña incorrecta.

error de contraseña incorrecta

Para eliminar las sugerencias de inicio de sesión, debe agregar algunas líneas de código al archivo functions.php de su sitio.

 function no_wordpress_errors(){ return 'There is an error.'; } add_filter( 'login_errors', 'no_wordpress_errors' );

Cuando alguien, real o bot, ingresa un nombre de usuario o contraseña incorrectos, recibe el mensaje "Hay un error", en lugar del predeterminado.

10. Mantenga su instalación y complementos de WordPress actualizados

Los piratas informáticos también encuentran puntos de entrada a los sitios de WordPress a través de instalaciones obsoletas. Cada vez que se actualiza WordPress, todas las correcciones de errores y agujeros de seguridad que se repararon se publican en línea. Si su instalación está desactualizada, los piratas informáticos tienen un manual de instrucciones para violar su sitio.

Cuando se implementan nuevas actualizaciones del núcleo de WordPress, debe hacer una copia de seguridad de su sitio e instalar la actualización lo más rápido posible.

Pero eso no es todo lo que debe tener en cuenta. El software de terceros, es decir, complementos y temas, también son posibles puntos débiles. Es aún más esencial mantenerse actualizado, ya que los complementos y los temas los crean varias empresas de desarrollo con diferentes estándares y enfoques.

Esta es también la razón por la que debe ser selectivo con los complementos y temas que instala. Si su complemento para compartir en redes sociales no se ha actualizado en dos años, puede ser el momento de encontrar uno que se actualice regularmente.

11. Oculte su número de versión de WordPress

Una forma rápida de mejorar la seguridad de la página de inicio de sesión es ocultar el número de versión de WordPress. Como mínimo, esto hará que los piratas informáticos analicen más a fondo para determinar qué agujeros de seguridad explotar. Y puedes eliminarlo con bastante facilidad.

Localice el archivo functions.php y (después de haber hecho una copia de seguridad de su sitio) agregue la siguiente línea de código al archivo:

 remove_action('wp_head', 'wp_generator');

12. Oculte su nombre de usuario de inicio de sesión de WordPress

Otro paso que puede tomar es ocultar su nombre de usuario de inicio de sesión de WordPress. La mayor parte del tiempo, el énfasis está en crear una contraseña súper segura, lo cual es excelente, pero también debe pensar en su nombre de usuario. A menudo, está disponible para el público, una oportunidad que los piratas informáticos pueden aprovechar.

La forma más rápida de ocultar su nombre de usuario de la vista de miradas indiscretas es eliminarlo para que no aparezca en las publicaciones del blog y dentro de los archivos del autor.

Para eliminar su nombre de usuario de las publicaciones del blog, simplemente debe ir a Usuarios → Perfil → Apodo mientras está conectado a WordPress. Desde aquí, puede cambiar el apodo para que su nombre de usuario ya no sea visible para los visitantes del sitio. Entonces, en lugar de ver "blogperson02", verán su nombre, nombre y apellido u otro apodo que configure.

Para evitar que su nombre de usuario aparezca en los archivos del autor, necesitará un complemento de SEO como Yoast SEO.

Instale Yoast como cualquier otro complemento, luego vaya al menú SEO → Apariencia de búsqueda → Archivos en el tablero de WordPress. Aquí hay una opción para deshabilitar los archivos de autor. Haga esto, luego haga clic en Guardar cambios .

deshabilitar archivos de autor con Yoast

13. Acorte el temporizador de cierre de sesión automático de WordPress

Es común permanecer conectado a sus cuentas cuando las usa con frecuencia. Pero esto puede crear posibles infracciones, especialmente si varias personas tienen cuentas en su sitio. Implementar un temporizador de cierre de sesión automático es una excelente manera de cerrar esos agujeros de seguridad.

Cuando una sesión se deja desatendida, se cerrará automáticamente. De forma predeterminada, WordPress cerrará la sesión de los usuarios después de 48 horas. Marcar la casilla "Recordarme" mantiene a los usuarios conectados durante 14 días. Puede cambiar un poco estos marcos de tiempo utilizando un complemento de terceros. Uno que está dedicado a esta función es Cierre de sesión inactivo.

Una vez instalado, vaya a Configuración → Cierre de sesión inactivo → Administración básica . A continuación, seleccione la duración del tiempo de inactividad que desea activar un cierre de sesión.

14. Eliminar cuentas de usuario de WordPress antiguas y sin usar

Por último, eliminar las cuentas que ya no están en uso también puede ayudar a mejorar la seguridad de WordPress. Tener varias cuentas abiertas en su sitio significa que cada una es un punto de acceso a datos privados. Y si no actualiza regularmente las contraseñas de estas cuentas, podrían presentar debilidades significativas.

Para evitar esto, elimine las cuentas antiguas y sin usar. Haga que hacerlo sea parte de su plan regular de mantenimiento del sitio.

También debe otorgar privilegios únicamente a los usuarios que los necesiten. No todos los usuarios necesitan privilegios de editor o administrador.

Asimismo, vigile las cuentas enumeradas. A veces, los piratas informáticos crean una cuenta falsa. Si aparece alguno, bórrelo de inmediato y refuerce el resto de sus medidas de seguridad. Aprenda qué hacer si su sitio web de WordPress ha sido pirateado.

Asegure su página de inicio de sesión de WordPress

Ser propietario de un sitio web significa asumir un nivel de responsabilidad por su contenido y sus usuarios. Por supuesto, este es doblemente el caso si recopila información del cliente. Pero no importa cómo use su sitio de WordPress, reforzar la seguridad en la página de inicio de sesión es una excelente manera de mantener sus datos seguros a largo plazo.

Y los consejos presentados aquí deberían ayudarlo a ser eficiente en el mantenimiento de la seguridad de WordPress en poco tiempo.

¿Listo para dar el primer paso? Comience con Jetpack Security.