homefinance blog
Más del 70% de los sitios de WordPress más populares en Internet son propensos a los ataques. Sabes mal, ¿verdad? Bueno, aquí están las buenas noticias: su sitio puede estar entre el otro 30%, si puede seguir reglas de seguridad simples de WordPress. Puede comenzar limitando sus pruebas de inicio de sesión en su sitio de WordPress. Este es el por qué. De forma predeterminada, WordPress permite que un usuario intente tantas contraseñas como sea posible al conectarse. Aunque esto es conveniente, un hocico o un hacker humano pueden explotar esto. En primer lugar, uso un método de prueba y error para obtener la combinación de nombre de usuario/contraseña. Luego me subo a tu sitio. Se llama un ataque de fuerza grosera.
¿Cómo puedes prevenir este tipo de ataque? Es fácil: simplemente limite el número de pruebas fallidas en WordPress. Vamos a mostrarte cómo.
Contenido
Cómo limitar sus intentos de conexión utilizando un complemento
Prueba de inicio de sesión de límite de WordPress sin un complemento
Cómo deshabilitar el límite de inicio de sesión de Lord en WordPress
¿Por qué debería limitar sus intentos de inicio de sesión?
Ventajas y desventajas de limitar los intentos de inicio de sesión
Más consejos de seguridad de WordPress
Conclusión
Cómo limitar sus intentos de conexión utilizando una forma más simple de limitar los intentos de autenticación de WordPress es usar los “Atteptos de inicio de sesión de límite recargados”. El complemento funciona detectando robots, bloqueando a los usuarios después de varios intentos fallidos, bloqueando temporalmente las direcciones IP y notificándole cuando un usuario está bloqueado.
Usaremos este complemento por las siguientes razones:
Se usa activamente en más de 1 millón de sitios web.
El complemento recibe actualizaciones regulares. Se prueba con la última versión de WordPress.
Tiene una impresionante evaluación de 4.9/5 estrellas.
Es absolutamente gratis.
Para comenzar con el complemento “Limite los intentos de inicio de sesión recargados”, explore “complementos >> agregue nuevo” en el tablero de WordPress.
Escriba “Limite las pruebas de conexión recargada” en la barra de búsqueda. Luego, haga clic en la pestaña “Instalación ahora” justo al lado del complemento.
Después de completar la instalación, haga clic en “Activación”. Ahora tiene un complemento completamente funcional. Es hora de configurarlo.
Para hacer esto, vaya a “Configuración >> Limite las pruebas de inicio de sesión”.
Esto lo llevará a la página de configuración del complemento. En la sección “Configuración general”, puede deshabilitar/activar el cumplimiento de GDPR (para protección de datos). También puede ingresar el correo electrónico al que se envían notificaciones después de los bloqueos.
En la sección “Configuración de la aplicación”, establezca cuántos intentos de conexión se permiten antes de bloquear un usuario. También puede determinar cuánto tiempo permanece un usuario bloqueado.
La pestaña “Journal” le permite ingresar IPS y/o nombres de usuario. Cualquier IP o nombre de usuario que permita puede conectarse con la mayor frecuencia posible sin ser bloqueado.
Por otro lado, cualquier IP o nombre de usuario que rechace se bloqueará permanentemente. Esto es particularmente importante cuando nota actividades sospechosas de una dirección IP. Después de haber realizado todas las configuraciones, no olvide presionar la pestaña “Guardar cambios”.
¡Ahí está! Ha limitado con éxito sus pruebas de inicio de sesión en su sitio de WordPress. Pruebas de inicio de sesión de límite de WordPress sin un complemento Si usted es uno de los usuarios de WordPress con fobia de arado, puede limitar manualmente sus intentos de conexión. Pero, antes de dar este paso, haga bien en hacer una copia de seguridad de su sitio. Puede usar cualquiera de nuestros complementos principales para WordPress. Esto evitará la pérdida del contenido de su sitio precioso. Después de tener la última copia de seguridad de WordPress, inicie sesión en su sitio a través de FTP. Abra la carpeta public_html (o donde sea que sus archivos de WordPress). Luego explore los temas de WP-Content >>. Abra la carpeta de temas activos y busque el archivo funct.php. Haga clic derecho en el archivo y seleccione Editar. Cuando se abra, ingrese el siguiente código en el archivo. Código: limite las pruebas de inicio de sesión en WordPress
check_attempted_login ($ user, $ username, contraseña) {if (get_transient (‘tents_login’)) {$ data = get_transient (‘tent_login’); If ($ data [‘prueba’]> = 3) {$ uni = get_option (‘_transient_timeout_’. ‘Tents_login’); $ Time = Time_To_Go ($ a); Return nuevo wp_error (‘too_many_ried’, sprintf (__ ( error : ha alcanzado el límite de autenticación, podrá intentarlo nuevamente en %$ 1 s. ‘), $ Tiempo)); }} Devuelve $ user; } add_filter (‘autenticate’, ‘check_teptnd_login’, 30, 3); Login_Failed Function ($ username) {if (get_transient (‘tents_login’)) {$ data = get_transient (‘tent_login’); $ data [‘probado’] ++; If ($ data [‘probado’] 1); set_ransient (‘intento de conexión’, $ data, 300); }} add_action (‘wp_login_failed’, ‘login_failed’, 10, 1); Time_to_go function ($ timestamp) {// conversión de mysql timestam en php $ periods = array (“segundo”, “minuto”, “hora”, “día”, “semana”, “luna”, “an”); $ longitud = matrix (“60”, “60”, “24”, “7”, “4,35”, “12”); $ timestampa_current = time (); $ Difference = ABS ($ current_timestamp – $ timestam); para ($ i = 0; $ diferencia> = $ longitudes [$ i] && $ i <number ($ longitudes) – 1; $ i ++) {$ diferencia /= $ longitudes [$ i]; } $ Difference = Round ($ Difference); if (isset ($ diferencia)) {if ($ diferencia! = 1) $ períodos [$ i]. = "s"; $ exit = "$ diferencia $ períodos [$ i]"; |
Finalmente, ahorre los cambios. Si ha seguido el proceso en consecuencia, los usuarios con 3 intentos de conexión fallidos se bloquearán (por un período de tiempo). Cómo deshabilitar el límite de inicio de sesión de Lord en WordPress porque sabe cómo limitar las pruebas de inicio de sesión de WordPress, es lógico aprender a deshabilitarlo.
Si ha utilizado un complemento para limitar sus intentos de conexión, simplemente deshabilite o desinstale el complemento. Pero si usó el código para limitar sus intentos de conexión, elimine cuidadosamente el código. Si no limita sus intentos de inicio de sesión de WordPress, ¿qué sucede? En primer lugar, discutamos los problemas de seguridad del sitio web de WP en general.
Millones de sitios se han roto en los últimos años. Alarmante, ¿verdad? Bueno, como sabes, no hay humo sin fuego. Hay una razón por la cual los sitios WP están rotos. Los complementos no factores, los permisos incorrectos para los archivos, el alojamiento débil, son solo algunos.
Casi el 60% de los problemas de seguridad de WP fueron el resultado de la vulnerabilidad del complemento. Lo más probable es que los propietarios del sitio hayan utilizado complementos cuestionables o cancelados o no los actualizaron regularmente. Para comprender, mantener el sitio actualizado de WordPress y mantenerlo puede ser lo último que tiene en mente. Todavía no es una razón suficiente para exponer su sitio. Nuestro plan de mantenimiento de WordPress cubre las actualizaciones del sitio y los complementos, las copias de seguridad de la nube, la optimización de velocidad y el solucionador de problemas. Suscríbase a un plan y concéntrese en desarrollar su negocio. Dicho esto, el segundo ataque más grande en los sitios de WordPress fueron los ataques brutos (16.1%). Esto significa que los ciberdelincuentes han podido penetrar en los sitios web a través de la adivinación correcta de usuario/contraseña. Cuando un hacker ingresa a un sitio web por estos medios, él/ella puede:
Hazte el control de tu sitio.
Redirige a sus visitantes a sitios web peligrosos.
Deforma su sitio.
Atrae a los visitantes para descargar malware.
Promueve cosas ilegales a su nombre.
Robar información del cliente.
Inyectar malware en su sitio.
Cuando ocurra alguno de estos, perderá su reputación no solo entre sus clientes, sino también en términos de motores de búsqueda. Entonces, haga todo lo posible para desalentar a los piratas informáticos a conectarse a su sitio de WordPress. Cuando limita sus pruebas de inicio de sesión, solo los usuarios que ciertamente saben que la contraseña tendrá acceso a su sitio. Otro usuario que depende de un método de prueba y error se bloqueará después de algunos intentos de conexión fallidos. Ventajas y desventajas de limitar las pruebas de conexión de inicio de sesión que limitar los intentos de autenticación de WordPress tienen su buena parte, pero hay algunas partes no deseadas. Pro La principal ventaja de limitar los intentos de conexión es que evita que los robots y las personas ingresen a su blog o sitio de WordPress (ya he dicho esto). Esto es útil incluso si tiene una contraseña difícil de adivinar. También previene la presión excesiva en su servidor cuando un hacker ingresa demasiadas contraseñas en su sitio en poco tiempo, su servidor aumenta. Como resultado, la velocidad y el rendimiento sufren. No quieres eso. El bloqueo temporal de un hacker suele ser suficiente para desalentar más intentos de inicio de sesión. Simplemente cambie al próximo sitio web. Contra usuarios auténticos se pueden bloquear y si tienen más intentos de conexión fallidos. Esto es bastante incómodo. Sin embargo, puede resolver este problema incluyendo en la lista blanca de todos los usuarios conocidos de WordPress para que nunca se bloqueen. En segundo lugar, el método más fácil de limitar los límites de conexión implica un complemento.
Aunque el complemento es fácil en sí mismo, una gran cantidad de usuarios de WordPress fruncen el ceño por su uso. Para resolver esto, puede usar un método alternativo editando la función.php del tema. Varios consejos de seguridad que limitan las pruebas de inicio de sesión son solo una parte de la seguridad de WordPress. Hay otros consejos de seguridad que lo ayudan a mantener alejados a los piratas informáticos. Aquí hay otros consejos: use contraseñas seguras. Su contraseña es la puerta de su sitio. Si es débil, cualquier persona (deseada y no deseada) puede entrar sin resistencia. Si es fuerte, es probable que solo los usuarios legítimos ingresen. Por lo tanto, tanto como pueda, use una contraseña segura. No podemos subrayar esto lo suficiente. Un estudio de Nordpass mostró que más de 2.5 millones de sitios web usan “123456” como contraseñas. ¡Y adivina qué! Se tarda menos de un segundo en romperlo. Su contraseña debe ser única, que consiste en números, caracteres especiales y una mezcla de minúsculas y mayúsculas. Si encuentra demasiado trabajo, puede usar una herramienta de generación de contraseñas para aliviar el estrés. Además, cambie el nombre de usuario de “Admin” de forma predeterminada a un nombre más fuerte. Cambie sus sales y claves de seguridad de WordPress cuando inicie sesión, WordPress almacena nombre de usuario y contraseña en cookies. Esto significa que no debe ingresar la información de inicio de sesión en la próxima visita. Aunque esto es útil, puede abrir sus problemas de seguridad. Para resolver esto, use sales de WordPress y claves de seguridad. Encrippten su información de inicio de sesión. Para que tu contraseña
No aparece en el texto simple, sino en una cadena de caracteres incomprensibles. Ahora, el cambio de claves podría darle a su sitio una capa protectora adicional. Vea nuestro artículo sobre WordPress Salts para obtener más información sobre sus beneficios y cómo cambiarlos. Autenticación con 2 factores Este es un proceso de seguridad en el que un usuario de WordPress recibe acceso a un sitio web solo después de proporcionar 2 factores de autenticación. Es otra forma de evitar ataques de fuerza bruta. Una vez que lo haya configurado, recibirá un código en su teléfono cada vez que inicie sesión. Este método de autenticación funciona bien, especialmente cuando se combina con una contraseña sólida. Realice un escaneo regular de malware Una exploración regular ayuda a detectar malware en su sitio web antes de afectar su sitio. La forma más fácil de verificar si hay malware en su sitio es pedir nuestro servicio de escaneo de malware de WordPress. También debe considerar el uso de un buen proveedor de host de WordPress y un excelente complemento de seguridad. Las actualizaciones de WordPress ya han mencionado que la mayor causa de violaciones de seguridad en WordPress es la vulnerabilidad de los complementos. Es esencial mantener su núcleo de WP, complementos y temas actualizados. Desinstale los complementos y los temas que no necesita. De esta manera, no solo tendrá la última función de seguridad instalada en su sitio web, sino que también ahorrará dolores de cabeza innecesarios.
Evite los complementos o los temas cancelados Los temas y complementos cancelados de WordPress son niños pirateados del original. Se distribuyen a precios baratos ridículos o incluso se ofrecen de forma gratuita. Cuando se usan, pueden comprometer la seguridad de su sitio. Use solo un host de WordPress recomendado no nos ha dejado en la oscuridad. Los requisitos de un host de WordPress están claramente especificados. Para ejecutar bien su sitio de WordPress, un host web debe aceptar la versión PHP 7.4 o más grande, MySQL 5.6 o versión más grande o MariadB versión 10.1 o más. También tienes que aceptar https. El uso de un host que no tiene este requisito expondrá su sitio a los ataques. No utiliza el certificado SSL Los datos enviados en un sitio web sin SSL están expuestos. Esto significa que los datos pueden ser robados y utilizados con fines ilegales. Un certificado SSL encripta sus datos y evita que los piratas informáticos tengan sus manos en sus datos. Las malas prácticas sobre el papel del usuario de WordPress tienen 5 roles de usuario: administrador, editor, autor, colaborador, suscriptor. Esto significa que puede restringir a los usuarios de acuerdo con sus roles. Por ejemplo, un autor puede escribir una publicación, pero no puede eliminar publicaciones o agregar usuarios. Un editor no puede hacer nada más que editar. Cualquiera que tenga privilegios de administrador, por otro lado, tiene acceso sin restricciones a editar, modificar, agregar usuarios, eliminar publicaciones, etc. CONCLUSIÓN – WordPress limita los intentos de inicio de sesión incluso si confiamos en los desarrolladores de WordPress para mantener su plataforma segura, aún tiene su papel que desempeñar.
