¿Cómo puede proteger la página de inicio de sesión en WordPress?

La seguridad web debe ser una preocupación permanente y permanente para todos los sitios web. Independientemente de las medidas de precaución que haya tomado, siempre hay un lugar de mejora. Esto se debe a que no hay seguridad infalible. Además, los piratas informáticos son 24 × 7, por lo que debes estar en un guardia constante. El alojamiento, las contraseñas débiles, las versiones anteriores de WordPress o los temas / complementos dudosos son los posibles puntos de entrada para que los robots ingresen a su sitio. Una forma en que puede dificultar que los hackers es intensificar el administrador de WordPress o la protección de la página de la conexión. Es la puerta de acceso a su sitio web y puede detener a la mayoría de los malvados justo en la puerta, fortaleciendo la seguridad en esta página.
Algunas formas en que puede proteger su página de administración, cambiar el nombre de usuario predeterminado de WordPress es “Administrador” y los robots lo saben. Ahora, si puedo adivinar su contraseña, literalmente les ha dado una invitación para ingresar. Así que cambie su nombre de usuario con algo único y no se puede adivinar. Por ejemplo, para el New York Soccer Club, “NY Soccer” no es un nombre de usuario adecuado.

Puede cambiar su nombre de usuario después de estos simples pasos,
Inicie sesión en WordPress usando su cuenta de administrador existente.
Agregue un nuevo usuario haciendo clic en Usuarios> Agregar un nuevo.
Elija “Administrador” como papel para este nuevo usuario. Elija un nombre de usuario único aquí porque este usuario recién agregado se convertirá en el nuevo usuario administrador.
Inicie sesión en la antigua cuenta de usuario “Administrador”.
Inicie sesión nuevamente utilizando el nuevo nombre de usuario único que creó. Limpie al usuario original “Admin”. Tendrá que reasignar todas las publicaciones antiguas del viejo “administrador” al nuevo usuario.
También puede cambiar su nombre de usuario accediendo a PhPMyAdmin. Lea esto en SiteGround.
Contraseña El cambio fuerte del nombre de usuario es solo a mitad de camino. Consolide su contraseña para que los robots no puedan adivinarlo. Los cumpleaños, el nombre de la mascota, el atleta favorito pueden ser adivinados. Los ataques de fuerza bruta son solo intentos frecuentes y repetidos de adivinar la contraseña por prueba y error. Y debe tener éxito si la contraseña es débil. Por lo tanto, las contraseñas seguras son importantes. Una contraseña segura debe usar idealmente una combinación de números y letras, tanto superiores como en minúsculas. Tire un símbolo o dos como “!” o “@”. WordPress ofrece la opción de generar una contraseña segura y puede usarla en ella. O tomar la ayuda de un generador de contraseñas. Compruebe si su contraseña es fuerte en lo segura que es mi contraseña. Y cambie su contraseña regularmente.
¿Es difícil recordar su contraseña? Verifique los administradores de contraseña como LastPass, Dashlane, Keepass, 1Password y RoboForm. Un administrador de contraseñas almacena todas las contraseñas en un formulario cifrado y puede acceder a ella desde cualquier dispositivo. Si no he admitido una contraseña segura, este informe de SplashData que enumera las peores contraseñas de 2015 puede convencerlo. Limite el acceso del usuario Si usted es el único que accede al administrador, esto no es para usted. Pero si permite que más usuarios accedan al Backynd, debe mantener un control estricto sobre sus privilegios. Permita el acceso y los privilegios solo a las áreas y en la medida en que sea necesario realizar sus tareas. No solo eso, los usuarios en su sitio deben verse obligados a usar contraseñas seguras. Para garantizar esto, puede instalar el complemento Force Strong Passwords. Este complemento permite a los usuarios acceder al sitio solo si han configurado una contraseña segura para ellos mismos. O puede ver la solución de seguridad para la conexión, que examina e impone la potencia de la contraseña, sin alterar a los usuarios auténticos. Limite los intentos de conexión de robot ingrese a su sitio intentando varias combinaciones de nombre de usuario y contraseña. Es posible pasar muchos intentos antes de que puedan entrar. Si limitamos el número de intentos que se pueden hacer con una sola IP, podemos reducir drásticamente las posibilidades de que los robots tengan acceso.

Hay complementos especializados que pueden realizar esta tarea –

Pruebas de inicio de sesión limitantes: limite la tasa de prueba de conexión para cada IP. Es un complemento de uso común, incluso si no se ha actualizado durante mucho tiempo. Protección de inicio de sesión de fuerza bruta: protege su sitio contra los ataques de fuerza bruta utilizando .htaccess.

Jetpack Protect: para proteger los sitios web de WordPress de los ataques de la red BOT.
También vale la pena señalar que algunos webhosts ofrecen esta función incorporada. El motor WP, por ejemplo, agregó esto a la plataforma de alojamiento a principios de 2015 para hacer que los sitios web alojan (además de su SSL gratuito, autenticación de dos factores, niños de seguridad. ).
Cambiar las URL de urtificación URL para conectarse a todos los sitios de WordPress es, por defecto, la URL principal de su sitio, seguida de wp-login.php o wp-admin-for ejemplo, mywebsite.com/ wp-login.php. Los piratas informáticos saben esto y, si puede cambiar esta URL, usted hará su acceso a su sitio web.
Puede instalar WP-Admin Protect para cambiar la URL del panel de administración y bloquear las conexiones predeterminadas. Puedes cambiarlo con lo que quieras, como mywebsite.com/allow_admin_access. Cuando una consulta para mywebsite.com/wp-login.php o mywebsite.com/wp-admin, estará en el sitio, se redirigirá a la página principal. Y solo se permitirá la URL personalizada al panel de administración.
Una forma totalmente confiable de proteger su página de administrador es bloquear completamente el acceso a su página WP-Admin y WP-Login.php. Pero esto solo se puede usar si usa una dirección IP que no cambia. O de lo contrario corre el riesgo de ser bloqueado desde su sitio web. Si puede rastrear múltiples direcciones IP, puede continuar adoptando esta opción. También puede restringir el acceso a su archivo wp-login.php utilizando la autenticación básica HTTP. Esta es una capa de seguridad externa que un usuario debe pasar para acceder a la página de autenticación. Deberá generar un archivo .htpasswd, para enumerar todo el nombre de usuario autorizado y sus respectivas contraseñas cifradas. También se puede lanzar un ataque de fuerza bruta contra la autenticación básica HTTP, pero será el doble del esfuerzo para romper ambas capas. SSL en su sitio web SSL es la tecnología de seguridad estándar. HTTP es un protocolo de transferencia de texto Hyper para la transferencia de datos entre un servidor y un navegador. La versión segura de HTTP es HTTPS, “S” que representa a Secure. Juntos verifican la identidad del sitio al usuario y le garantiza la confidencialidad entre el sitio web y el navegador del usuario. Una vez que haya configurado SSL / HTTPS, el servidor cifra los datos y solo el navegador del usuario puede descifrarlos. Para cualquier tercero no deseado, los datos no tendrán sentido y solo aparecerán como una cadena. Como beneficio adicional, encontrará a Google a favor de HTTPS mientras clasifica los sitios web.
Obtener un certificado SSL ya no puede ser opcional, especialmente si usa el navegador Chrome. Esto se debe a que Google tiene la intención de marcar todos los sitios que no son HTTPS como “inseguros”. Cambiará en enero de 2017. Todos los sitios que necesitan contraseñas o recopilar información de la tarjeta de crédito deben ser seguros o arriesgarse a ser etiquetados como sin protección por Google. Hay muchas compañías como Comodo, Digicert y SSL.com que ofrecen servicios de certificación. Los certificados se pueden comprar sin costos demasiado altos de SSLMate y libre de Let’s Encrypt. Algunos proveedores de servicios de alojamiento ofrecen SSL gratuito con sus planes de alojamiento. Puede leer más sobre la instalación de SSL en nuestra guía HTTPS y SSL.

Autenticación con dos factores La autenticación de dos factores es una de las formas más seguras de proteger su sitio web de los piratas informáticos. Funciona además del nombre de usuario / contraseña estándar que ya tiene. Una vez que haya ingresado estas credenciales, se genera un código en un dispositivo que tiene, a menudo su teléfono inteligente es solo cuando se ingrese este código, tendrá acceso al sitio.

Muchos complementos gratuitos y premium están disponibles para la instalación en su sitio web. Este método de seguridad ha existido durante algún tiempo, pero ahora se aplica cada vez más al acceso al sitio web. Puede leer más sobre la autenticación de dos factores en nuestra publicación anterior. Complementos de seguridad Muchos sitios web instalan complementos que tratan con la seguridad de WordPress de manera integral. Estos incluyen paquetes de protección de firewall, escaneo de malware, lista negra y lista blanca de direcciones IP, monitoreo de la actividad del usuario, registro de auditoría y, en general, fortaleciendo la seguridad. Las opciones gratuitas y premium están disponibles. Algunos complementos que incluyen conectar la protección, WordFense: aplique contraseñas seguras y eviten los ataques de las fuerzas brutas.
ITHEMS: combate ataques automatizados y limita el número de intentos de autenticación. También implementa credenciales de usuario más duras.
Todo en una seguridad y firewall: evita los ataques de fuerza bruta y le permite niveles de IP, bloqueando a un usuario después de un tiempo específico. Otras características de protección de conexión incluyen bloquear la autenticación y las listas blancas y las direcciones IP en la lista negra.

Seguridad a prueba de balas: protección de inicio de sesión y fuerza bruta.
McAfee Secure: ofrece varias capas de protección, que incluyen un sitio confiable, escaneando malware y cubriendo la protección de identidad para las tiendas de comercio electrónico (un gran activo).