8 formas de garantizar su conexión con WordPress

La URL de WordPress es la misma para cada sitio de WordPress y no requiere permisos especiales para el acceso. Cualquiera que tenga experiencia laboral con WordPress sabe que la URL de conexión está en la página /wp-login.php. La accesibilidad de la página de autenticación de WordPress lo convierte en la parte más atacada, y probablemente la más vulnerable, de cualquier sitio web de WordPress. Afortunadamente para nosotros, Plugin Ithemes Security Pro facilita la seguridad de su inicio de sesión de WordPress. ¡Echemos un vistazo a las herramientas de Security Pro IThems que puede usar para asegurar su inicio de sesión de WordPress y hacerlas casi impenetrables!
En este articulo
1 Por defecto, no hay nada incorporado en WordPress para limitar el número de intentos de conexión fallidos que alguien puede hacer. Sin un límite del número de intentos de conexión fallidos que un atacante puede hacer, puede continuar probando una combinación de diferentes nombres de usuario y contraseñas hasta que encuentre una que funcione. La función de protección de Bruce local de IThemes Security Pro realiza un seguimiento de los intentos de conexión no válidos realizados por una dirección IP y un nombre de usuario. Una vez que un IP o nombre de usuario ha realizado demasiados intentos de conexión no válidos consecutivos, se bloqueará y se evitará que realicen otros intentos durante un cierto período de tiempo.
Para comenzar a usar la función local de protección de la fuerza bruta, activela en la página principal de la configuración de IThems Security Pro.

La configuración de protección local contra la fuerza bruta le permite establecer los umbrales para el bloqueo. Conexión máxima en el host: el número de intentos de conexión no válidos que una IP permite antes de que se bloquee.

Pruebas de conexión máxima por usuario: este es el número de intentos de conexión no válidos de que se permite un nombre de usuario antes de ser bloqueado.
Actas para recordar la conexión incorrecta: este es el momento, ya que se debe tener en cuenta un intento de conexión no válido para una IP o nombre de usuario para un bloqueo.
Prohibición automática del usuario del “administrador”: cuando se activa, cualquier persona que use el nombre de usuario del administrador al conectarse recibe un bloqueo automático.
Hay algunas cosas que desea considerar al configurar su configuración de bloqueo. Desea proporcionar a los usuarios intentos de conexión no válidos que darles direcciones IP. Supongamos que su sitio web está sujeto a un ataque de fuerza bruta y el atacante usa su nombre de usuario. El objetivo es bloquear la dirección IP del atacante y no su nombre de usuario para que pueda conectarse y hacer el trabajo incluso cuando su sitio web sea atacado.
Además, no desea hacer que estas configuraciones estén demasiado estrictas estableciendo el número de intentos de conexión no válidos demasiado pequeños y el tiempo para recordar demasiado las pruebas no válidas. Si reduce la cantidad de pruebas de conexión no válidas para hosts / IP a 1 y establece las actas para recordar un intento de conexión incorrecto a un mes, aumente drásticamente la probabilidad de bloquear accidentalmente a los usuarios legítimos. 2. Limite los intentos de autenticación fuera de la solicitud Hay otras formas de conectarse a WordPress además de usar un formulario de autenticación. Usando XML-RPC, un atacante puede hacer cientos de nombres de usuario e intentos de contraseña en una sola solicitud HTTP. El método de amplificación de la fuerza sin procesar permite a los atacantes realizar miles de intentos de usuarios y contraseñas utilizando XML-RPC en solo unas pocas solicitudes HTTP. Mediante el uso de ajustes de WordPress de Ithemes Security Pro, puede bloquear múltiples intentos de autenticación para cada solicitud XML. RPC. Limitar el número de intentos de nombre de usuario y contraseña a uno para cada solicitud ayudará mucho a garantizar su autenticación de WordPress.
3. Protección de la fuerza de red bruta que limita los intentos de conexión se refiere a la protección de la fuerza bruta local. La protección local contra la fuerza bruta se refiere solo a los intentos de acceder a su sitio y prohibir a los usuarios de acuerdo con las reglas de bloqueo especificadas en su configuración de seguridad.
Protección de la fuerza bruta de la red está haciendo esto un paso más allá. La red es la comunidad de seguridad iThems y tiene más de un millón de sitios web fuertes. Si se identifica que una IP intente ingresar a los sitios web en la comunidad de seguridad ITHEMS, la IP se agregará a la lista prohibida de la fuerza de red bruta. Una vez que una IP está en la lista prohibida de la fuerza de red bruta, la IP se bloqueará en todos los sitios de red. Entonces, si una IP ataca mi sitio web y está prohibido, estará relacionado con la red de fuerza bruta de seguridad. Mi informe puede ayudar a prohibir la IP en toda la red. Me gusta que pueda ayudar a asegurar la conexión de WordPress a otras personas solo activando la protección de red de seguridad para iTheme para comenzar a usar la protección de la fuerza de red, activarla en la configuración de seguridad principal.

Luego ingrese la dirección de correo electrónico, elija si desea o no recibir actualizaciones por correo electrónico y luego haga clic en el botón Guardar.
4. Force las contraseñas seguras en una lista de datos compilados de datos, la contraseña más común incluida en todos los depósitos de datos fue 123456. Un depósito de datos es una base de datos pirateada llena de contraseñas de usuario lanzadas en algún lugar de Internet. ¿Te imaginas cuántas personas en tu sitio usan una contraseña débil si 123456 es la contraseña más común en los depósitos de datos?
Usar una contraseña débil es como tratar de bloquear la puerta de su casa con una cinta. Nunca pasó mucho tiempo hasta que los hackers obligaron brutalmente a superar una contraseña débil. Ahora, cuando los piratas informáticos usan las tarjetas gráficas en su computadora en sus ataques, el tiempo necesario para romper una contraseña nunca ha sido más bajo. Por ejemplo, echemos un vistazo a un diagrama creado por Terahash, una compañía de alto rendimiento que crea contraseñas. Su diagrama muestra el tiempo necesario para romper una contraseña utilizando un 448X RTX 2080. Defirm, WordPress usa MD5 para almacenar las contraseñas en la base de datos WP. Entonces, según este gráfico, Terahash podría romper una contraseña de 8 caracteres … casi al instante. Esto no solo es súper impresionante, sino que también da miedo. La buena noticia es que podemos asegurar nuestro inicio de sesión de WordPress pidiendo a nuestros usuarios de alto nivel que usen contraseñas seguras.

La función de requisito de las contraseñas de Security Pro iThems le permite obligar a ciertos usuarios a usar una contraseña segura. Active la función de los requisitos de contraseña en la página principal de la configuración de seguridad, luego seleccione los usuarios que desea pedir que usen una contraseña segura.

5. Las contraseñas comprometidas se rechazaron de acuerdo con el informe de investigación sobre la violación de datos de Verizon, más del 70% de los empleados reutilizan las contraseñas en el trabajo. Pero las estadísticas más importantes en el informe es que el 81% de las violaciones de piratería han utilizado contraseñas robadas o débiles.
Los piratas informáticos usan una forma de fuerza de rebote bruto llamada Dictionary Attack. Un ataque de diccionario es un método de entrada en un sitio web de WordPress con contraseñas comúnmente utilizadas, que han aparecido en depósitos de bases de datos. „La colección no. 1? La violación de los datos que se alojaron en MEGA incluyeron 1,160,253,228 combinaciones de correo electrónico y contraseña únicas. Es decir, mil millones con b. Este tipo de puntaje realmente ayudará a un diccionario atacar a reducir las contraseñas de WordPress más utilizadas. Es una necesidad evitar que los usuarios con capacidad a nivel de autor y mayor utilizaran contraseñas comprometidas para asegurar sus datos de inicio de sesión de WordPress. Además, puede pensar en no permitir que sus usuarios de nivel inferior usen contraseñas comprometidas. Es completamente comprensible y alienta a crear una nueva cuenta de clientes lo más fácil posible. Sin embargo, es posible que su cliente no sepa que la contraseña que usa se ha encontrado en un depósito de datos. Le daría a los clientes un excelente servicio, alegando que la contraseña que usan se ha visto comprometida. Si uso esa contraseña en todas partes, puede guardarlas de algunos dolores de cabeza importantes en el camino. La función IThemes Security Pro Reched Parkings compromete a los usuarios a usar contraseñas que no han aparecido en ninguna violación de las contraseñas seguidas de he sido PWNED. Active la función de los requisitos de contraseña en la página principal de la configuración de seguridad, luego seleccione los usuarios que desea evitar que usen una contraseña comprometida.

6. Use la autenticación de dos factores utilizando las autentificaciones de dos factores es lo mejor que puede hacer para asegurar su inicio de sesión de WordPress. La autenticación con dos factores es un proceso de verificación de la identidad de una persona mediante la necesidad de dos métodos de verificación separados. Google ha compartido en su blog que el uso de la autenticación de dos factores puede detener el 100% de los ataques automáticos de hocico. Realmente me gustan estas probabilidades. El uso de la autenticación de dos factores puede detener el 100% de los ataques de bot automáticos. La función de autenticación con dos Ithemes Security Pro Factors ofrece mucha flexibilidad al implementar 2FA en su sitio web. Puede activar dos factores para todos o para algunos de sus usuarios y puede forzar a sus usuarios de alto nivel para cada autenticación. Para su comodidad, Ithemes Security Pro ofrece 2 métodos de autenticación diferentes de dos factores.
Aplicación móvil: el método de aplicación móvil es el método más seguro de autenticación con dos factores proporcionados por iThemes Security Pro. Este método requiere el uso de una aplicación móvil gratuita con dos factores, como Authy.

E -Correo: el método de correo electrónico de dos factores enviará códigos sensibles a tiempo a la dirección E -Mail de su usuario.
Códigos de enlace: un conjunto de códigos de uso únicos que se pueden usar para conectarse si se pierde el método primario con dos factores.

7. Bloquee los robots malos con Google Recaptcha V3 La función IThemes Security Pro Google Recaptcha de IThemes Security Pro protege su sitio contra robots malos. Estos robots intentan penetrar en su sitio web utilizando contraseñas comprometidas, publicar spam o incluso indicar el contenido. Recaptcha utiliza técnicas avanzadas de análisis de riesgos para distinguir a las personas y los robots. Lo que es excelente en Recaptcha versión 3 es que le ayuda a detectar BOT abusivo en su sitio web sin ninguna interacción del usuario. En lugar de mostrar un desafío Captcha, Recaptcha V3 monitorea las diferentes solicitudes realizadas en su sitio y devuelve un puntaje para cada solicitud. El puntaje varía de 0.0 a 1. Cuanto mayor sea el puntaje devuelto por la recaptcha, más segura es que un hombre ha hecho la solicitud. Cuanto más bajo este puntaje reducido de Recaptcha, más segura es que un robot ha realizado la solicitud. Para comenzar a usar Google Recaptcha V3, active la opción de la configuración de seguridad. Luego deberá seleccionar Recaptcha V3 mientras escribe Recaptcha y genere las claves para su administrador de Google.

Ithemes Security Pro le permite establecer un umbral de bloque utilizando la puntuación Recaptcha. Google recomienda usar 0.5 como predeterminado. Tenga en cuenta que puede confundir a los usuarios legítimos si establece el umbral demasiado alto.

Puede activar Recaptcha al registrar el usuario de WordPress, el reinicio de la contraseña, la conexión y los comentarios. Ithemes Security Pro le permite ejecutar el script de Google Recaptcha en todas las páginas para aumentar la precisión del hocico hacia la puntuación humana. Activar Recaptcha V3 es una excelente manera de asegurar sus datos de inicio de sesión de WordPress. Limite el acceso del dispositivo al tablero de WP, el último paso para garantizar que su WordPress sea limitar WordPress en WordPress a un conjunto de dispositivos. La función de dispositivos de administración de Security Pro identifica sus dispositivos que usted y otros usuarios están utilizando para conectarse a su sitio de WordPress. Cuando un usuario se ha conectado en un dispositivo irreconocible, los dispositivos confiables pueden restringir sus capacidades a nivel de administrador. Esto significa que un hacker ha logrado evitar los otros métodos de seguridad de inicio de sesión, muy poco probable, no tendría la capacidad de traer cambios maliciosos a su sitio web. Para comenzar a usar dispositivos confiables, activelos en la configuración de seguridad principal y luego haga clic en el botón Configuración de configuración.
En la configuración de dispositivos de confianza, decida qué usuarios desean usar la función y luego active la restricción de funcionalidades y características de protección contra el secuestro de la sesión.
Después de activar el nuevo conjunto de dispositivos confiables, los usuarios recibirán una notificación en la barra de administración de WordPress sobre dispositivos no reconocidos. Si su dispositivo actual no se ha agregado a la lista confiable de dispositivos, haga clic en el enlace Confirmar del dispositivo para enviar el correo electrónico de autorización. Haga clic en el botón Confirmar del dispositivo en el inicio de sesión no reconocido para agregar sus dispositivos. Actual a la lista de dispositivos confiables.
El final de la accesibilidad de la página de autenticación de WordPress lo convierte en la parte más atacada y potencialmente vulnerable de cualquier sitio de WordPress. Sin embargo, si usa iThemes Security Pro, puede calmarse. Asegúrese de utilizar las 8 ITHEMS Security Pro Tools para asegurar sus datos de inicio de sesión de WordPress que se han compartido en esta publicación.
1. Limite sus intentos de inicio de sesión

2. Limite los intentos de autenticación fuera de la solicitud

3. Protección de la fuerza de red bruta

4. Forzar contraseñas seguras

5. Contraseñas comprometidas rechazadas

6. Use la autenticación de dos factores

7. Bloquee los robots malos con Google Recaptcha V3

8. Limite el acceso de su dispositivo al tablero de WP

Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.