¿Por qué s importante mejorar el acceso al wp-admin de WordPress?
WordPress es un sistema pensado para todos los públicos y esa ha provocado que la accesibilidad de este CMS produzca cierta previsibilidad de cara a los piratas informáticos (Siempre y cuando no se tomen medidas de defensa).
Por este motivo, y si ya estás familiarizado con el entorno WordPress sabrás que para acceder al panel de control de WordPress deberás acceder por defecto a wp-admin o a wp-login y sabrás que la URL de inicio de sesión de WordPress será siempre la misma por defecto en todas las páginas web WordPress.
Por esa razón, la página de inicio de sesión de WordPress es la parte más atacada y potencialmente más vulnerable de cualquier instalación WordPress.
Ten en cuenta que crear un bot que realice ataques de fuerza bruta contra la página de inicio de sesión de WordPress no requiere mucha habilidad y cualquier pirata informático amateur podrá crear uno puesto que la página de inicio de sesión de WordPress tienen una barrera de entrada baja pese a ser un paso crucial a la hora de proteger cualquier sitio web WordPress.
Por todo ello, a continuación te mostraremos una serie de consejos para que mejores la seguridad en la página de inicio de sesión de WordPress.
5 Consejos con los que mejorar la página de seguridad de inicio de sesión de WordPress
Siguiendo estas reglas y consejos que te mostraremos a continuación mejorarás la seguridad del inicio de sesión de WordPress y evitarás que tu página web WordPress sea vulnerable frente a ataques informáticos:
1 -Utiliza contraseñas seguras
A la hora de crear contraseñas seguras el principal punto de seguridad será la longitud de la contraseña.
Para que te hagas una idea, en la siguiente tabla te mostraremos el tiempo medio que puede tardar un hacker en descifrar una contraseña en función de la longitud de la misma:
- Con 7 caracteres tardarán 0,29 milisegundos en descifrarla.
- Con 8 caracteres tardarán 5 horas en descifrarla.
- Con 9 caracteres tardarán 4 meses en descifrarla.
- Con 10 caracteres tardarán 1 década en descifrarla
- Con 12 caracteres tardarán 2 siglos en descifrarla.
Como podrás comprobar, a mayor longitud, mayor complejidad y mayor seguridad tendrá tu inicio de sesión.
Por desgracia, cada vez los ordenadores son más potentes y este tiempo disminuye año tras año.
Por lo tanto, no solo valdrá con que diseñes una contraseña larga, además esta deberá contar con letras alfanuméricas, mayúsculas y caracteres ASCII comunes para aumentar la seguridad de la misma.
Nota: Existen gestores de contraseñas como LastPass que te ayudarán a generar y almacenar contraseñas de forma segura y fácil.
2 – Utiliza una contraseña única por cuenta
Utilizar una contraseña diferente para cada página web es simple pero muy efectivo.
¿Por qué es tan importante evitar la reutilización de contraseñas?
Sencillo, si una página web en la que estás registrado con tu típica contraseña es atacada y se convierte en vulnerable automáticamente el pirata informático tendrá acceso a todas aquellas páginas web en las que hayas utilizado dicha contraseña.
Por lo tanto, cuantos más usuarios tengas con la misma contraseña más débil será la seguridad de inicio de sesión de tu página web WordPress.
3 – Limita los intentos de inicio de sesión
De forma predeterminada WordPress no limita la cantidad de intentos fallidos de inicio de sesión que alguien puede realizar.
Sin un límite al número de intentos fallidos de inicio de sesión que pueda realizar un atacante este podrá seguir probando una cantidad infinita de nombres de usuario y contraseñas hasta que consiga su objetivo.
Por lo tanto, asegúrate de tener instalado un plugin que limite el número de intentos de sesión fallidos para obtener una mayor seguridad y evitar así ataques de fuerza bruta.
Estos sistemas , una vez el usuario ha fallado X veces quedará automáticamente bloqueado por nombre de usuario o IP y no podrá acceder a tu página web salvo que así lo ordenes desde tu panel de control.
Algunos plugins de seguridad para WordPress son incluso más estrictos y prohíben ver el sitio al usuario bloqueado.
Consejo: No seas muy estricto con los intentos fallidos (Que al menos sean 4) o correrás el riesgo de bloquear a usuarios reales por error.
4 – Limita los intentos de autenticación externa por solicitud
Existen otras vías de inicio de sesión en WordPress además del formulario de inicio de sesión. Gracias al archivo XML-RPC un hacker puede realizar cientos de intentos de nombre de usuario y contraseña en una sola solicitud HTTP.
Este método de fuerza bruta permite a los piratas informáticos realizar miles de intentos de hackeo utilizando el archivo XML-RPC en solo unas pocas solicitudes HTTP.
Debido a esta «puerta trasera» muchos plugins directamente eliminan este archivo XML-RPC de su instalación de WordPress para mejorar la seguridad.
Otros plugins sin embargo limitan el número de intentos de nombre de usuario y contraseña a uno por cada solicitud HTTP mejorando así la seguridad del inicio de sesión de WordPress.
5 – Utiliza la autenticación de dos factores
La mejor forma de mejorar la seguridad de inicio de sesión de WordPress es la autenticación de dos factores de WordPress. La autenticación de dos factores requiere un código adicional junto con su nombre de usuario y contraseña de WordPress para iniciar sesión.
En la actualidad existen muchos métodos de autenticación de dos factores, sin embargo, no todos son iguales. Si puedes evita usar texto para la autenticación de dos factores.
Conclusiones y resumen
Como has visto a lo largo de esta guía, la seguridad de inicio de sesión de WordPress ha de ser una prioridad en todas tus páginas web.
Por ello, asegúrate de que todas tus páginas web tengan:
- Contraseñas largas, seguras y aleatorias.
- Contraseñas únicas por cada página web.
- Límite al número de intentos fallidos de inicio de sesión.
- Restricciones al archivo XML-RPC.
- Autentificación en dos factores.
