Cómo limitar los intentos de inicio de sesión automatizados en WordPress

complemento para limitar los intentos de inicio de sesión

Si tiene una instalación estándar de WordPress en su sitio, es probable que obtenga cientos (tal vez incluso miles) de ataques maliciosos al mes. Y una de las formas más comunes de ataques a WordPress es, en esencia, bastante simple: un ataque de fuerza bruta.

En lugar de encontrar vulnerabilidades en el software principal de WordPress, los piratas informáticos que intentan un ataque de fuerza bruta simplemente prueban millones de combinaciones de nombre de usuario y contraseña hasta que obtienen acceso a su sitio. Pueden hacer esto porque, de forma predeterminada, WordPress permite a los usuarios ingresar sus credenciales de inicio de sesión tantas veces como sea necesario.

Con esto en mente, en esta publicación le mostraremos cómo puede lidiar con posibles ataques de fuerza bruta limitando los intentos de inicio de sesión automatizados en su página de inicio de sesión de WordPress. También aplicaremos la regla a algunas soluciones de complementos que buscan solucionar este problema.

Una nota sobre los ataques automatizados de fuerza bruta al administrador de WordPress

En pocas palabras, los ataques de fuerza bruta se producen cuando los piratas informáticos o los robots prueban muchas combinaciones diferentes de nombres de usuarios y contraseñas con la esperanza de finalmente obtener acceso a su sitio. De acuerdo con la Sucurí blog, los ataques de fuerza bruta son una de las principales razones por las que los sitios web de WordPress se ven comprometidos.

Aunque WordPress publica periódicamente actualizaciones de seguridad, el número de ataques de fuerza bruta al administrador de WordPress continúa creciendo. Esto se debe principalmente a que las instalaciones estándar de WordPress permiten que cualquiera acceda fácilmente a la página de inicio de sesión y pruebe tantas combinaciones de nombre de usuario y contraseña como desee.

Leer:  Los 7 mejores sitios para comprar publicaciones compartidas de LinkedIn en 2024 (real e instantáneo)

Esto no significa que haya una persona sentada detrás de una computadora escribiendo furiosamente en su teclado con la esperanza de encontrar la combinación correcta. De hecho, todo lo que tienen que hacer es escribir un script automático que genere millones de combinaciones en minutos y dejarlo ejecutar.

Por qué es una buena idea limitar los intentos de inicio de sesión automatizados

El administrador de WordPress es increíblemente fácil de acceder. Todo lo que tienes que hacer es agregar wp-admin (o wp-login.php) a la URL de su sitio y será redirigido a la página de inicio de sesión estándar. Esto es lo que hace que los sitios estándar de WordPress sean un blanco fácil para ataques de fuerza bruta.

Una forma de solucionar este problema es ocultar la página de inicio de sesión de su sitio de WordPress. Si los piratas informáticos no pueden acceder a la página de inicio de sesión, no podrán acceder al administrador de WordPress. Y aunque se trata de una medida de seguridad popular, no todo el mundo está en condiciones de implementarla. Aquí algunas razones por las cuales:

  • Sitios de membresía. Si tiene un sitio web de membresía, sus usuarios deberían poder acceder fácilmente a la página de inicio de sesión de su sitio. Ocultar la página de inicio de sesión de WordPress podría comprometer su base de usuarios.
  • Plataformas de comercio electrónico. La mayoría de las tiendas en línea permiten a los usuarios crear una cuenta con ellas para simplificar el proceso de pago y obtener acceso exclusivo a promociones y puntos de recompensa. Si los clientes potenciales tienen dificultades para iniciar sesión en su sitio de comercio electrónico cada vez, es posible que dejen de comprarle.
  • Foros en línea. Los propietarios de sitios web que operan foros en línea deben asegurarse de que sus usuarios puedan iniciar sesión con facilidad (y permanecer conectados durante largos períodos de tiempo). Y si la página de inicio de sesión de su foro está oculta, podría correr el riesgo de perder usuarios y tráfico.

Afortunadamente, cuando se trata de minimizar la cantidad de intentos de ataque de fuerza bruta al administrador de WordPress, hay más de una forma de solucionar el problema. Caso en cuestión: limitar los intentos de inicio de sesión automáticos.

Leer:  Cómo agregar música a tu historia de Facebook en 2024

Independientemente de cuántas personas accedan regularmente a su sitio de WordPress, limitar los intentos de inicio de sesión automáticos es una forma elegante, simple pero súper efectiva de reducir la cantidad de ataques que recibe su sitio. El concepto clave detrás de esto es simple: cuando un usuario (o bot) ingresa más de un número predefinido de combinaciones incorrectas de nombre de usuario y contraseña, no puede volver a intentarlo durante un período de tiempo específico.

3 complementos de seguridad gratuitos para limitar los intentos de inicio de sesión automatizados en WordPress

WordPress ofrece algunas soluciones de complementos gratuitos diferentes para ayudarlo a aumentar la seguridad de su sitio y evitar que los piratas informáticos intenten ataques de fuerza bruta en su sitio. Analicemos cada solución una por una y echemos un vistazo más de cerca a sus características clave.

Límite de intentos de inicio de sesión de WP

wp limita los intentos de inicio de sesión

Límite de intentos de inicio de sesión de WP es uno de los complementos gratuitos más populares que le permite limitar la cantidad de intentos de inicio de sesión realizados por un usuario y bloquear temporalmente su dirección IP. El complemento fue diseñado específicamente para combatir ataques de fuerza bruta al administrador de WordPress.

El complemento WP Limit Login Attempts funciona detectando bots a través de la verificación CAPTCHA que, de forma predeterminada, permite siete intentos.

Características clave:

  • Permite a los propietarios de sitios realizar un seguimiento de los intentos de inicio de sesión de los usuarios.
  • Bloquea temporalmente la dirección IP de un usuario malintencionado.
  • Módulo de verificación CAPTCHA incorporado.

Seguridad de Cerber y limitación de intentos de inicio de sesión

seguridad cerber

El Complemento Cerber Security y limitación de intentos de inicio de sesión ofrece protección contra piratas informáticos que intentan ataques de fuerza bruta y bots. Restringe el acceso a agentes de usuario maliciosos clasificándolos en dos listas: Lista de acceso de IP negra y Lista de acceso de IP blanca.

La característica destacada que se ofrece con este complemento es que permite a los usuarios monitorear la actividad de intrusos sobre la marcha y recibir notificaciones por correo electrónico, dispositivos móviles y de escritorio.

Leer:  Cómo utilizar los bloques de WordPress Gutenberg

Características clave:

  • Permite a los usuarios limitar los intentos de inicio de sesión automatizados por dirección IP y subred.
  • Registra todas las actividades relacionadas con el acceso a la página de inicio de sesión de WordPress.
  • Deshabilita el redireccionamiento automático a la página de inicio de sesión de WordPress.

Limitar intentos de inicio de sesión

limitar los intentos de inicio de sesión

Limitar intentos de inicio de sesión es un complemento simple y directo que hace exactamente lo que dice. Permite al propietario del sitio definir el número de permitido intentos de acceso. Cuando un pirata informático excede la cantidad de intentos de inicio de sesión permitidos dentro de un tiempo específico, su dirección IP será bloqueada.

Características clave:

  • Permite a los propietarios de sitios realizar un seguimiento de los intentos de inicio de sesión de los usuarios.
  • Bloquea la IP de usuarios malintencionados cuando superan el número de intentos de inicio de sesión permitidos.
  • Ofrece soporte para Google reCAPTCHA.

Conclusión

Existen varias estrategias defensivas que puede adoptar para evitar que los piratas informáticos obtengan acceso a su administrador de WordPress. Proteger su sitio contra ataques de fuerza bruta es definitivamente un paso en la dirección correcta.

Recapitulemos rápidamente las características destacadas que se ofrecen con cada complemento:

  1. Límite de intentos de inicio de sesión de WP le permite rastrear los intentos de inicio de sesión de los usuarios y bloquear temporalmente a los usuarios malintencionados según sus direcciones IP.
  2. El Seguridad de Cerber y limitación de intentos de inicio de sesión El complemento funciona protegiendo su sitio contra ataques de fuerza bruta generados tanto por piratas informáticos como por robots.
  3. Si está buscando una solución simple, entonces Limitar intentos de inicio de sesión lo ayudará a realizar el trabajo y agregará una capa adicional de seguridad a través de Google reCAPTCHA.

¿Tiene alguna pregunta sobre cómo limitar los intentos de inicio de sesión automatizados en WordPress? ¡Háganos saber comentando a continuación!

Nuevas Publicaciones:

Recomendamos