8 consejos con los que mejorar la seguridad del login de WordPress
Si deseas mejorar la seguridad del login de WordPress sigue estos 8 pasos:
1 – Limita los intentos de inicio de sesión
El primer paso para asegurar el login de WordPress es limitar el número de intentos fallidos de inicio de sesión.
De forma predeterminada, no existe nada integrado en WordPress para limitar la cantidad de intentos fallidos de inicio de sesión que alguien puede realizar.
Sin un límite en la cantidad de intentos fallidos de inicio de sesión el atacante podrá seguir probando combinaciones de diferentes nombres de usuario y contraseñas en el login de WordPress hasta que encuentren una que funcione.
Por suerte, la mayoría de plugins de seguridad como iThemes Security, Wordfence o WP Cerber incorporan sistemas de detección y seguimiento de intentos de inicio de sesión no válidos realizados por un host, una dirección IP o un usuario.
De esta forma, una vez que una IP o nombre de usuario realiza demasiados intentos consecutivos de inicio de sesión no válidos se le bloqueará para evitar que se realicen más intentos durante un período de tiempo determinado.
Nota: No seas muy estricto en la configuración de bloqueos por sesión o podrás bloquear sin querer a usuarios legítimos.
2 – Limita los intentos de autenticación externa por solicitud
Hay otras formas de iniciar sesión en WordPress además del formulario de login de WordPress. Con XML-RPC un atacante podrá realizar cientos de intentos de nombres de usuario y contraseñas en una sola solicitud HTTP.
Por ello, deberás bloquear los múltiples intentos de autenticación por solicitud XML-RPC.
Limitar el número de intentos de nombre de usuario y contraseña a uno por cada solicitud contribuirá en gran medida a asegurar el login de tu WordPress.
3 – Protección frente a ataques de fuerza bruta externos
Limitar los intentos de inicio de sesión tiene que ver con la protección frente a ataques de fuerza bruta.
La protección de fuerza bruta local solo analiza los intentos para acceder a tu página web y prohíbe el acceso a los usuarios según las reglas de bloqueo especificadas en tu configuración de seguridad.
Con la protección de fuerza bruta externa se identifica vía IP al usuario y en el caso de haber intentado acceder de forma ilegítima a otras páginas web de la red en el pasado no se dejará acceder a dicha IP a la página web puesto que esta estaría en una lista de usuarios prohibidos en la red (Network Brute Force).
Una vez que una IP está en la lista prohibida de Network Brute Force, la IP se bloqueará en todos los sitios web de la red.
4 – Forzar a utilizar contraseñas seguras
En una lista de Splash Data, la contraseña más común incluida en todos los volcados de datos de internet fue 123456.
Un volcado de datos es una base de datos pirateada llena de contraseñas de usuario filtradas en algún lugar de Internet.
¿Te imaginas ahora cuántas personas en tu página web utilizan una contraseña débil como 123456? Seguramente tengas alguna.
Por ello, has de saber que utilizar una contraseña débil es como intentar cerrar la puerta de su casa con un trozo de cinta adhesiva.
Los piratas informáticos nunca han tardado mucho en abrirse paso a la fuerza para hacerse con una contraseña débil en una página web. Sin embargo, ahora los piratas informáticos aprovechan las potentes tarjetas gráficas que existen en internet para descifrar contraseñas más fácilmente que nunca.
Por ello, la mejor forma de evitar esta falla de seguridad es obligar a los usuarios a utilizar contraseñas seguras.
5 – Rechazar contraseñas comprometidas
Según un Informe de Investigaciones de Violación de Datos de Verizon más del 70% de los empleados reutilizan las contraseñas en el trabajo. Pero la estadística más importante del informe es que el 81% de las infracciones relacionadas con la piratería aprovecharon contraseñas robadas o débiles.
Ten en cuenta que los piratas informáticos utilizan una forma de ataque de fuerza bruta llamada ataque de diccionario. Un ataque de diccionario es un método para irrumpir en páginas web WordPress con contraseñas de uso común que han sido filtradas en volcados de bases de datos.
Por todo ello, es imprescindible evitar que los usuarios con altas capacidades (Administradores o gente con acceso a la configuración principal de la web) dentro de una página web utilicen contraseñas comprometidas para el login de WordPress.
De todos modos y, a poder ser, seria incluso necesario no permitírselo a usuarios de nivel inferior.
Muchos plugins de seguridad tienen la función de rechazo de contraseñas comprometidas que obliga a los usuarios a utilizar contraseñas que no hayan sido filtradas en páginas como Have I Been Pwned.
6 – Utiliza la autenticación de dos factores
Utilizar la autenticación de dos factores es lo mejor que puedes hacer para asegurar el login de tu WordPress.
La autenticación de dos factores es un proceso de verificación de la identidad de una persona que requiere dos métodos de verificación separados.
Google compartió en su blog que el uso de la autenticación de dos factores puede detener el 100% de los ataques de bots automatizados.
Esta autentificación de dos factores se suele hacer a través de SMS o correo electrónico de forma habitual.
7 – Bloquea los robots defectuosos con Google reCAPTCHA v3
La función de Google reCAPTCHA protegerá tu página web de robots maliciosos.
Estos bots intentarán acceder a tu página web mediante contraseñas comprometidas, publicando spam en tu página web o incluso copiando tu contenido.
Para evitarlo, reCAPTCHA utiliza técnicas avanzadas de análisis de riesgos para diferenciar a los humanos de los robots.
Lo bueno de la versión 3 de reCAPTCHA es que te ayuda a detectar tráfico de bots abusivo en tu página web sin la interacción del usuario. En lugar de mostrar el típico desafío CAPTCHA, reCAPTCHA v3 monitorea las diferentes solicitudes realizadas en tu página web y devolverá una puntuación por cada solicitud.
La puntuación podrá ir de 0 a 1 y cuanto mayor sea la puntuación devuelta por reCAPTCHA más probable será que un humano haya hecho la solicitud. Cuanto más baja sea esta puntuación devuelta por reCAPTCHA más probabilidades habrá de que sea un bot quien hizo la solicitud.
8 – Limitar el acceso de dispositivos al panel de WP
El último paso para asegurar el login de sesión de WordPress es limitar el acceso a tu panel de WordPress a un conjunto de dispositivos.
De esta forma, cuando un usuario inicie sesión desde un dispositivo no reconocido podrás restringir sus capacidades de nivel de administrador.
Esto significará que un pirata informático que pudo eludir los métodos de seguridad de inicio de sesión anteriores (No es muy probable) no podrá realizar ningún cambio malicioso o importante en tu página web.
Conclusiones y resumen
La accesibilidad al login de WordPress ha provocado que esta sea la parte más atacada y potencialmente vulnerable de cualquier página web WordPress.
Por ello, y con el fin de asegurar el inicio de sesión de WordPress asegúrate de cumplir el siguiente checklist:
- Limita los intentos de inicio de sesión
- Limita los intentos de autenticación externa por solicitud
- Consigue una protección de fuerza bruta de la red
- Fuerza a utilizar contraseñas seguras
- Rechaza contraseñas comprometidas
- Utiliza la autenticación de dos factores
- Bloquea los robots con Google reCAPTCHA v3
- Limita el acceso por dispositivo al panel de WP