homefinance blog
Su área de administración de WordPress es el centro de su sitio. Simplemente inicie sesión en su cuenta y puede acceder a los datos de sus clientes, puede conectarse con los visitantes, instalar nuevos complementos, cambiar el código del sitio y más. Si no toma medidas para proteger su tablero, tal vez un hacker. Si una tercera parte maliciosa logra obtener acceso no autorizado a la junta administrativa, los resultados podrían ser devastadores. Afortunadamente, hay varias formas de asegurar esta área contra los piratas informáticos y minimizar las amenazas contra ella.
En esta publicación, compartiremos siete técnicas para proteger su área de administración de WordPress contra ataques maliciosos. Siguiendo nuestro consejo, puede dificultar el acceso a los piratas informáticos en su cuenta, incluso si tienen su nombre de usuario y contraseña. ¡Vamos a empezar! Por qué es importante proteger su área de administración de WordPress si una mala parte es intencional que logra piratear su cuenta de WordPress, entonces tendrá acceso a todos sus datos. Esto incluye información privada para todos los que se hayan registrado en su sitio web. Si acepta pagos, incluso podría incluir información financiera, como los detalles de la tarjeta de crédito.
Este tipo de violación de datos podría causar un daño irreparable a su reputación. Dependiendo de las leyes locales, incluso puede traerle agua caliente legal, porque su sitio web tiene la obligación de proteger los datos confidenciales de los clientes. Incluso si logra evitar perder a todos sus clientes y experimentar repercusiones legales, el costo de la limpieza después de un ataque cibernético es enorme. Es preferible evitar ir por ese camino. Hay muchos ataques que se dirigen específicamente al área de administración de WordPress, incluidos los ataques de fuerza en bruto. Involucran a un hacker que bombardea su página de autenticación con contraseñas comunes y nombres de usuario, con la esperanza de encontrar una coincidencia. WordPress es particularmente vulnerable a los ataques de fuerza bruta, porque, por defecto, los nombres de usuario del administrador de WordPress, así como la dirección de conexión son los Lo mismo para cada instalación. Si usa estos valores predeterminados, un atacante solo tiene que adivinar su contraseña. Al hacer algunos cambios en su pantalla de autenticación de WordPress, puede ayudar a proteger su cuenta con una amplia gama de ataques. 7 formas de proteger su área de administración de WordPress Si un hacker ingresa al tablero, podría robar datos confidenciales de su cliente, instalar software malicioso, bloquear su cuenta o incluso completar su sitio. Para proteger a sus visitantes, datos y contenido, es esencial tomar medidas para proteger su área de administración de WordPress.
1. Nunca use el nombre de usuario del administrador predeterminado de forma predeterminada, la primera cuenta de usuario para cada nueva instalación de WordPress se asigna al nombre de usuario del administrador. Si se queda con esto, los hackers ya conocen su nombre de usuario y solo tienen que comprar o adivinar su contraseña para ingresar. Si actualmente usa el administrador como nombre de usuario, se recomienda cambiarlo. Puede hacerlo seleccionando usuarios> Todos los usuarios en la barra lateral de la placa, luego abriendo el perfil de edición: mientras esté aquí, debe asegurarse de usar una contraseña segura que contenga una combinación de casos superiores y minúsculas, números y símbolos . Alternativamente, puede crear una contraseña completamente aleatoria utilizando el generador de WordPress construido o un tercero, como LastPass. Si le preocupa que lo olvide, considere almacenar credenciales con un administrador de contraseñas. 2. Proteja su carpeta WP-Admin con contraseña Cualquier tercero puede solicitar la carpeta WP-Admin y la página de autenticación sin pasar ninguna autenticación. El archivo WP-Admin contiene archivos administrativos importantes, por lo que debe protegerlo con un nombre de usuario y contraseña.
Debería poder agregar este nivel adicional de seguridad a través del panel de control del host. En Cpanel, abra la carpeta de privacidad de DirectY:
Luego explore el public_html / wp-admin. Aquí, marque la casilla de verificación Proteja este directorio por contraseña:
Cuando se le solicite, cree credenciales para la carpeta WP-Admin y haga clic en Guardar. Ahora, cada vez que alguien intenta acceder al director de WP-Admin, WordPress solicitará este nombre de usuario y contraseña. 3. Cree una URL de conexión personalizada Puede acceder a la pantalla de conexión del sitio web de WordPress agregando /wp-login.php a la URL de ese sitio. Por ejemplo, si su dominio es www.example.com, entonces su página de inicio de sesión es en www.example.com/wp-login.php. Si usa WordPress predeterminado, entonces su página de inicio de sesión del sitio es de conocido público. Y peor, si usa la URL /wp-login.php estándar y el nombre de usuario predeterminado, un hacker ya tiene dos de las tres información necesaria para acceder a su área de administración.
Puede crear una URL de conexión personalizada utilizando un complemento, como WPS Hide Sogin. Después de instalarlo, seleccione Configuración> WPS Ocultar autenticación en el menú del tablero. Luego puede ingresar una nueva URL en el campo Dirección de conexión.
Guardar sus cambios y su área de administración de WordPress ahora será accesible solo a través de esta nueva URL. Incluso si un hacker tiene su nombre de usuario y contraseña, no podrá acceder a su pantalla de inicio de sesión. 4. Limite las pruebas de inicio de sesión de WordPress no bloquean a los usuarios para intentar autenticarse, incluso si ingresan la contraseña incorrecta varias veces. Esto hace que su sitio sea vulnerable a los ataques de fuerza bruta. Los piratas informáticos podrían usar un script automático para bombardear su cuenta con cientos o incluso miles de contraseñas potenciales. Puede limitar sus intentos de conexión utilizando el complemento de seguridad de WordFency. Después de haberlo instalado, navegue por WordFense> Todas las opciones. En opciones de pantalla de protección, seleccione Protección de fuerza bruta: luego asegúrese de activar la configuración de activación contra la fuerza bruta. Luego puede especificar cuántos intentos de conexión fallidos deberían permitir que WordPress antes de bloquear la dirección IP ofensiva. 5. Configure la autenticación en dos factores (2FA) 2FA es un sistema de seguridad en el que los usuarios deben aprobar un control adicional antes de obtener acceso a su área de administración de WordPress. Puede agregarlo a su cuenta de WordPress utilizando un complemento de seguridad como WordFency. Como parte de la función 2FA de WordFency, instalará una aplicación de autenticación en su teléfono inteligente o tableta. Cuando intente iniciar sesión en su área de administración de WordPress, se enviará un código de seguridad a su dispositivo móvil.
Puede verificar su identidad ingresando este código en la pantalla de autenticación de WordPress.Suponiendo que el hacker no tenga acceso a su teléfono inteligente o tableta personal, 2FA es una forma efectiva de asegurar su cuenta.También puede proteger su cuenta de gestión con 2FA para que los atacantes no puedan obtener acceso a sus sitios de esta manera.Para activar esta función, inicie sesión en su cuenta. Luego puede hacer clic en su nombre de usuario, seguido de Configuración> Seguridad:
Entonces MANWP lo guiará a través del proceso de configuración de 2FA. ManageWP utiliza la aplicación Google Authenticator, que está disponible para iOS y Android. 6. Use una pantalla de protección para aplicaciones para sitios web (WAF) Un WAF monitorea el tráfico de su sitio y evita que las solicitudes sospechosas lleguen al sitio. Puede configurar uno usando un complemento como WordFency. Al instalar por primera vez en el firewall de aplicación web de WordFency, es aconsejable dejarlo en modo de aprendizaje durante al menos una semana. Sin embargo, esto permite que Wordfency monitoree su sitio web y aprenda cómo protegerlo mejor, permitiendo que los visitantes legítimos pasen. También puede optimizar el firewall navegando en WordPress> Firewall> Haga clic aquí para configurar. Como parte del proceso de optimización, Wordfency seleccionará una configuración de servidor recomendada para su sitio web. Sin embargo, puede seleccionar manualmente la configuración del servidor si es necesario. 7. Restringir el acceso de inicio de sesión a ciertas direcciones IP Si solo unos pocos usuarios requieren acceso a su área de administración de WordPress, entonces puede limitar la autenticación a ciertas direcciones IP editando su sitio. Archivo htaccess. Esto le permite bloquear a los usuarios de todas las direcciones IP desconocidas. Es recomendable crear una copia de seguridad completa antes de editar el archivo. Archivo htaccess. Puede acceder a él a través del Protocolo de transferencia de archivos (FTP) o usar su administrador de host web: después de haber encontrado .htaccess y abrirlo para editar, puede agregar el siguiente código: AuthuserFile /Dev /Null
Authgroupfile /dev /null
AuthName “Control Access Administrator WordPress” AuthType Basic
el comando se niega, permite
negar
# Lista de la dirección blanca IP
Permite de xx.xx.xx.xxx
Asegúrese de reemplazar xx.xx.xx.xxx con su propia dirección IP y guarde sus cambios. Ahora, los usuarios podrán acceder a su área de administración de WordPress solo desde las direcciones IP específicas que se enumeran aquí. Conclusión Los terceros terceros desean acceder intencionalmente a su área administrativa de WordPress, pero hay pasos que puede tomar para proteger su sitio contra estos ataques. Esto puede ayudarlo a evitar dañar su reputación, enfrentar consecuencias legales y pagar una limpieza costosa. Para ayudarlo a mantener seguros su sitio web, datos y visitantes, le recomendamos que haga lo más difícil posible el acceso de los piratas informáticos a su inicio de sesión, reemplazando la URL de autenticación WP estándar con un enlace personalizado y limitando el acceso de inicio de sesión. a ciertas direcciones IP si puede. ¿Tiene alguna pregunta sobre cómo proteger su área de administración de WordPress? ¡Háganos saber en la sección de comentarios! Crédito de la imagen: Unssplash.
