5 reglas simples para la seguridad de la conexión de WordPress

Una estrategia de seguridad de WordPress exitosa debe incluir pasos para fortalecer la autenticación de WordPress. En esta publicación, cubrimos las cinco reglas simples para una mejor seguridad de inicio de sesión de WordPress. Lo maravilloso de WordPress es cómo crear un sitio web es accesible para casi cualquier persona. Pero con esta accesibilidad viene la previsibilidad. Cualquiera que tenga experiencia laboral con WordPress sabe dónde se realizan los cambios del sitio: a través del área WP-Admin. Sé a dónde ir para acceder al WP-Admin, la página WP-Login.php. Por defecto, la URL de WordPress es la misma para cada sitio de WordPress y no requiere permisos especiales para el acceso. Por lo tanto, la página de autenticación de WordPress es la parte más atacada, y potencialmente vulnerable, de cualquier sitio de WordPress. Desafortunadamente, crear un hocico para viajar en Internet que comete ataques de fuerza bruta no requiere demasiada habilidad y cualquier hacker principiante puede crear uno. Debido a que los ataques en la página de inicio de sesión de WordPress tienen una barrera de entrada baja, la seguridad de la conexión de WordPress es crucial para asegurar cualquier sitio de WordPress.
Siguiendo estas reglas y utilizando las mejores prácticas de seguridad de WordPress, puede evitar ser vulnerable a los errores de conexión de los usuarios habituales.

1. Use contraseñas seguras, hay mucha información confusa y contradictoria sobre las mejores prácticas de seguridad de contraseña. En un esfuerzo por aclarar esta confusión, para desglosar los conceptos básicos de cómo el uso de una contraseña potente mejora la seguridad de WordPress. Cada vez que crea una contraseña, el primer elemento que desea considerar es la longitud de la contraseña. La lista a continuación muestra el tiempo estimado para romper una contraseña utilizando un procesador I5 de cuatro puntajes. 7 caracteres tomarán 0.29 milisegundos para romperse.
8 personajes tardarán 5 horas en romper.
9 personajes tardarán 4 meses en romper.
10 caracteres tardarán 1 década en romperse
12 personajes tardarán 2 siglos en romperse.
Como puede ver, agregar un solo carácter a su contraseña puede aumentar significativamente la seguridad de los datos de inicio de sesión. Una contraseña que tiene al menos 12 caracteres, aleatorias e incluye un gran grupo de caracteres como “IST8XXA! 28×3 ”hará que sea difícil romper. Desafortunadamente, algunos piratas informáticos usan GPU y procesadores más fuertes para reducir el tiempo necesario para romper las contraseñas. Entonces, para fortalecer sus datos de inicio de sesión, tenga en cuenta la entropía de contraseña. Cuanto mayor sea la entropía de la contraseña, más difícil será la contraseña de romperse.
Por ejemplo, basado solo en el requisito de longitud, una contraseña como “ABCDEFGHIJKL” es de 12 caracteres, lo cual es maravilloso y debería durar 200 años. Sin embargo, debido a que la contraseña utiliza cadenas secuenciales, hace que la contraseña sea mucho más predecible en comparación con una contraseña como “rfybolaaaawtpm” que tiene caracteres aleatorios. La aleatorización de los caracteres disminuye la previsibilidad y aumenta el poder de la contraseña. Pero ambas contraseñas tienen algo común que eventualmente reduce la entropía de la contraseña. Ambos usan solo letras en minúsculas, que limitan el grupo de caracteres posibles a 26. Por eso es vital incluir caracteres alfanuméricos, mayúsculas y asci comunes para aumentar el grupo de caracteres requerido para fingir para generar y almacenar contraseñas fácilmente.
Consejo: al menos, debe preguntar a los usuarios que puedan hacer cambios en WordPress que usen contraseñas seguras. El uso de un complemento de seguridad de WordPress como iThemes Security Pro para obligar a los usuarios privilegiados a usar contraseñas seguras ayudará a aumentar la seguridad de inicio de sesión de WordPress.
2. Use una contraseña única para cada cuenta, otra buena práctica para la seguridad en línea es el uso de contraseñas únicas para cada cuenta y sitio de conexión que tiene. Esto es muy importante, lo diremos nuevamente: debe usar una contraseña diferente para cada sitio.
¿Por qué la reutilización de las contraseñas importa tanto? Si usa la misma contraseña para cada sitio y uno de estos sitios está comprometido, ahora use una contraseña comprometida para cada cuenta, en cada sitio. Los piratas informáticos pueden usar el almacenamiento de datos de contraseña comprometidos asociado con su dirección de correo electrónico o nombre de usuario para tener acceso a sus cuentas. Es mejor ni siquiera arriesgarlo. Cuanto más usuarios reutilice las contraseñas, más débil será la seguridad de la seguridad de WordPress. En una lista compilada por Splash Data, la contraseña más común incluida en todos los depósitos de datos fue 123456. La seguridad de inicio de sesión de WordPress es tan fuerte como la conexión más débil, así que sea proactivo con los requisitos contraseña segura. Desde contraseñas comprometidas con un complemento como IThemes Security Pro. Ithemes Security Pro aprovecha la API de HaveibeenPwned para detectar si ha aparecido o no una contraseña. Consejo: Anime a los usuarios a cambiar con frecuencia los requisitos de contraseña de seguridad con frecuencia que le permitan obligar a todos los usuarios a cambiar su contraseña la próxima vez. Obligando a los usuarios a crear una nueva contraseña, permite a todos comenzar de nuevo con una contraseña potente e intransigente, lo que aumentará los datos de seguridad de WordPress.
Consejo: Use un Administrador de contraseñas al final, el uso de un Administrador de contraseñas puede ayudarlo a rastrear sus datos de conexión y contraseñas únicas. Con la ayuda de un administrador de contraseñas, no tiene que recordar sus contraseñas. 3. Limite los intentos de conexión de forma predeterminada, no hay nada incorporado en WordPress para limitar el número de intentos de conexión fallidos que alguien puede hacer. Sin un límite del número de intentos de conexión fallidos que un atacante puede hacer, puede continuar probando un número interminable de nombre de usuario y contraseñas hasta que tengan éxito. Número de intentos de conexión fallidos. La función de protección Bruce de WordPress de Security Pro de IThemes le brinda el poder de establecer el número de intentos de autenticación fallidos permitidos antes de que se bloquee un nombre de usuario o IP. Un bloqueo deshabilitará temporalmente la capacidad del atacante para hacer intentos de conexión. Una vez que los atacantes hayan sido bloqueados tres veces, se les prohibirá acceder incluso al sitio.
Nota: Cuando decida qué tan estrictamente desea sus reglas para las pruebas de inicio de sesión fallidas, tenga en cuenta los usuarios reales de su sitio. Si hace que las reglas de bloqueo sean demasiado injustas, corre el riesgo de confundir con los usuarios reales.
4. Limite los intentos de autenticación fuera de la solicitud Hay otras formas de conectarse a WordPress además de usar un formulario de autenticación. Usando XML-RPC, un atacante puede realizar cientos de intentos de nombre de usuario y contraseña en una sola solicitud HTTP. El método para amplificar la fuerza bruta permite a los atacantes hacer miles de nombres de usuarios y contraseñas utilizando XML-RPC en solo unas pocas solicitudes HTTP. Cuando sabe que un atacante puede usar vertederos de bases de datos como punto de partida y puede hacer miles de suposiciones en la solicitud, es mucho más claro la importancia de la seguridad de inicio de sesión de WordPress mediante el uso de los ajustes de WordPress de Ithemes Security Pro, puede bloquear más intentos para Autenticación para cada solicitud XML-RPC. Limitar el número de intentos de nombre de usuario y contraseña a uno para cada solicitud ayudará mucho a garantizar su autenticación de WordPress.
Además, al desarrollar su plan de seguridad de WordPress, es importante tener en cuenta que la API de WordPress agrega formas adicionales de autenticar a un usuario de WordPress. La autenticación de cookies es un método de autenticación cuando se conecta a WordPress almacena automáticamente una cookie para que los complementos y los temas puedan realizar una función en su nombre. -Login.php.

5. Use la autenticación de dos factores. He guardado la mejor manera de aumentar la seguridad de inicio de sesión de WordPress para la última: dos autenticación de WordPress. La autenticación en dos factores requiere un código adicional junto con el nombre de usuario y la contraseña de WordPress para iniciar sesión. Existen muchos métodos de autenticación con dos factores, pero no todos los métodos son iguales. Si puede, evite usar el texto para dos factores. El Instituto Nacional de Normas y Tecnología ya no recomienda el uso de SMS para enviar y recibir códigos de autenticación. Usando un complemento de seguridad de WordPress, como IThemes Security Pro, debe activar el método de correo electrónico o la aplicación móvil de dos factores. Tenga en cuenta que muchos sitios requieren el uso de una dirección de correo electrónico como nombre de usuario. Si un atacante pirata uno de estos sitios, el siguiente paso será intentar conectarse a cuentas de correo electrónico utilizando el nuevo correo electrónico y contraseñas que han robado. Si uno de sus usuarios o clientes reutiliza las contraseñas comprometidas en cada sitio, su cuenta de correo electrónico, junto con sus códigos de correo electrónico de dos factores, se verá comprometido. El método de la aplicación móvil con dos factores Aumente la seguridad de la conexión de WordPress. El código de autenticación adicional requerido para iniciar sesión se enviará al teléfono del usuario. Entonces, incluso si un atacante tiene acceso a WordPress y credenciales de correo electrónico, no habrá forma de conectarse.
Recapitulación: una lista simple de WordPress Security Security Security WordPress debe ser una prioridad en cada sitio. Ahora que sabe cómo aumentar la seguridad de la conexión en su sitio, puede aprovechar esta estrategia efectiva de prevención del hack. Use contraseñas seguras
2. Use contraseñas únicas para cada cuenta
3. Limite sus intentos de inicio de sesión
4. Limite los intentos de autenticación
5. Use la autenticación de dos factores
Un complemento de seguridad de WordPress puede ayudarlo a asegurar su sitio de seguridad Pro Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 30 formas de proteger y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con dos autenticación de WordPress, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Obtenga la seguridad de Ithemes ahora
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.