Seguridad de la autenticación de WordPress: pasos simples para asegurar su página de autenticación

¿Sabías que hay más de 90,000 ataques de hack en sitios de WordPress por minuto? Esta es una estadística extremadamente alta y que simplemente no podemos ignorar. Para los sitios pirateados de WordPress, los piratas informáticos se dirigen más a la página de autenticación. Esto se debe al hecho de que al acceder a su sitio a través de esta página, un hacker puede obtener el control total de su sitio. La destrucción tendrá un impacto severo en su sitio. Los piratas informáticos pueden vender productos ilegales a su nombre o pueden enviarle visitantes a maliciosos. sitios web. También podría engañar a los visitantes para comprar productos duplicados o descargar malware. Esto puede afectar seriamente su negocio y reputación.
Afortunadamente, puede evitar que los piratas informáticos abusen de su sitio web protegiendo la página más específica: la página de autenticación. En Malcare, tratamos con estos hacks diariamente y queremos abordar el problema de todos los usuarios de WordPress. Aquí le mostraremos las mejores medidas de seguridad que puede tomar para proteger su página de conexión de hackers. También puede consultar a nuestra guía sobre cómo proteger su sitio web de los piratas informáticos. Tl; DR -Si necesita una solución de seguridad de WordPress fácil de implementar que proteja automáticamente su página de autenticación, instale nuestro complemento de seguridad MalCare. Le permitirá limitar instantáneamente los intentos de autenticación y también le dará opciones para fortalecer su sitio de WordPress.
Se esconde el contenido
5 pasos para asegurar su página de autenticación de WordPress
En conclusión: no es solo su página de autenticación
5 Pasos para asegurar su página de autenticación de WordPress Hay varias medidas que puede tomar para asegurar su página de autenticación de WordPress. Sin embargo, no todos los pasos que das es efectivo. A veces, solo agregue ruido mientras su inicio de sesión permanece vulnerable. En este artículo, nos centraremos en 5 pasos importantes que puede hacer, que han demostrado ser eficientes y definitivamente mantendrán su sitio seguro. Ya estamos teniendo SSL instalado en su sitio. Si no tiene protección SSL, debe agregar Inmediatamente de su proveedor de alojamiento o de un proveedor SSL. Cada sitio web debe tener SSL instalado como la primera medida de seguridad básica del sitio. Cifra datos transferidos entre su sitio web y servidor. Esto significa que los piratas informáticos no pueden robar sus datos cuando se transmiten entre su sitio y el servidor host. Por lo tanto, los piratas informáticos que intentan robar las credenciales del usuario de la página de autenticación se evitarán que lo hagan.
1. Uso de nombres de usuario y contraseñas fuertes para asegurar una página de autenticación Al crear cuentas de usuario en sitios de WordPress, las personas tienden a usar algo fácil de recordar o han usado para cualquier otra cuenta. El problema con esto es que hace que el hacker funcione mucho más fácil. En primer lugar, los piratas informáticos usan una técnica llamada Forcing Gross en el que prueban diferentes nombres de usuario y contraseñas para tratar de adivinar su camino en su cuenta. Utilizan robots y algoritmos automatizados que pueden hacer miles de intentos en segundos. Si usa contraseñas simples como “Password123”, un hocico podrá adivinarlo en los primeros intentos. Segundo, si usa las mismas credenciales para todas sus cuentas, esto significa problemas. Hubo tantas violaciones de datos de las principales empresas y solo en 2019 había 4.100 millones de registros. Si su nombre de usuario y contraseña han sido robados en un sitio de compras, los hackers pueden usarlo para intentar piratear otras cuentas de su correo electrónico, servicios de banca por Internet o sitio, su WordPress. Los datos de conexión del administrador son como las claves de su hogar u oficina. Es por eso que el primer paso para conectar la seguridad es el uso de nombres de usuario y contraseñas sólidas.
Recomendamos que nunca use el nombre de usuario “Admin” predeterminado. Si el nombre de su sitio web es theFirstExample.com, no haga que su nombre de usuario sea “theFirstExample”. Estos son los primeros nombres de usuario que los hackers probarán en la pantalla de conexión. En cambio, use los inusuales y únicos que cualquiera puede adivinar. Le recomendamos que use una expresión de acceso en combinación con símbolos y figuras. Esto hace que su contraseña sea realmente fuerte.
Al crear su contraseña, WordPress indicará cuán débil o fuerte es su contraseña para darle un ejemplo, hemos creado lo siguiente en nuestra cuenta de administrador de WordPress:
WordPress indicó que la contraseña es muy débil. Entonces hemos mejorado el juego con esto:
Finalmente, debido a que su sitio de WordPress es un activo valioso, creemos que vale la pena una contraseña única. Ven con uno que no uses en ningún otro sitio. Ahora sabe que los datos de inicio de sesión son seguros. Si tiene más usuarios en su sitio web de WordPress, es importante que todos cumplan con estas recomendaciones, ya que es un paso muy importante para proteger su inicio de sesión de WordPress. 2. Limite el número de intentos de autenticación para una mejor seguridad por defecto, WordPress permite un número ilimitado de intentos de autenticación. Los piratas informáticos aprovechan esta característica a través de ataques de fuerza bruta. Puede obtener protección contra la fuerza bruta simplemente limitando el número de intentos de conexión fallidos para un usuario.
Es posible que haya visto este aviso cuando ha ingresado una contraseña incorrecta en un sitio web, especialmente en un banco en línea: esto se debe al hecho de que el sitio web ha implementado intentos de conexión limitados. Un usuario tiene tres oportunidades de introducir las credenciales correctas para ingresar a su cuenta. Después de tres intentos incorrectos, serían bloqueados desde su cuenta y deberían usar la opción “Olvidé la contraseña”. Puede implementar esta función de dos maneras:

Uso de un complemento: recomendamos el complemento de seguridad MalCare. Una vez instalada, la protección limitada de conexión de WordPress se implementa automáticamente. El complemento también le brinda protección basada en Captcha que evitará los robots malos de su sitio.

Manual: para limitar manualmente el número de pruebas de inicio de sesión, debe acceder al archivo Function.php. Debe agregar una acción de WordPress y filtrar con una función de llamada adecuada. Este método es técnico y arriesgado. Si no eres bueno para codificar, es bueno no probar esto.
Con estas dos medidas, su sitio de WordPress se encarga de las medidas de seguridad básicas para su página de inicio de sesión. Ahora, podemos pasar a medidas más avanzadas.

WordPress permite un número ilimitado de intentos de autenticación de forma predeterminada. Use MalCare para implementar automáticamente intentos de conexión limitados. Haga clic para enviar un tweet
3. Uso de la autenticación de 2 factores para una seguridad de conexión más fuerte debe haber notado que cuando intenta iniciar sesión en su cuenta de Gmail, debe seguir dos pasos.
El primer paso implica la introducción de la acreditación. En el paso dos, Gmail le envía un código de verificación a su número de teléfono o correo electrónico registrado. Después de eso, deberá ingresar este número en su cuenta de Gmail para acceder a sus correos electrónicos. Esta es la verificación o autenticación de dos pasos en dos factores. Para garantizar que el usuario que acceda a la cuenta sea auténtico, el proceso utiliza acreditaciones regulares más una contraseña única (OTP) que se genera en tiempo real. Entonces, incluso si un hacker adivina sus credenciales, aún debe ingresar el código único que se le envía y puede asegurar su página de autenticación de WordPress. Puede implementar la autenticación con 2 factores utilizando un complemento. Dos complementos que recomendamos son Google Authenticator 2FA y la autenticación de dos factores. Nota: Si usa el complemento MalCare, la autenticación de 2 factores estará disponible pronto. 4. Geo-Blocker-prevent a un hacker para llegar a su sitio de WordPress cuando configure un sitio de WordPress, reciba automáticamente el tráfico en todo el mundo, a menos que lo configure en una determinada región. Para ver de dónde proviene su tráfico, debe registrarse en Google Analytics. En el tablero, verá la opción “¿Dónde están sus usuarios?” Al hacer clic en la “presentación general de la ubicación”, puede ver exactamente de dónde provienen sus visitantes.
Alternativamente, un complemento como Malcare también le muestra de dónde proviene su tráfico, he conocido a los propietarios de sitios web que han descubierto que reciben tráfico no deseado de ciertos países. Para mostrarle lo que queremos decir, tome un ejemplo. Digamos que tiene un sitio web que solo aborda el Reino Unido – Ejemplo.co.uk. Pero al verificar el análisis, se ve que gran parte del tráfico de su sitio web en otros países, como Rusia, Singapur y Estados Unidos. Deberías considerarlo una bandera roja. Esto es solo indicativo para los piratas informáticos, puede usar el complemento MalCare para ver si el tráfico es realmente malicioso o no. Después de instalar el complemento MalCare, vaya al tablero. En “Seguridad”, verá la cantidad de intentos de conexión realizados en su sitio y cuántos complementos se han bloqueado. Al hacer clic en “Mostrar más”, los registros de auditoría le mostrarán exactamente dónde proviene el tráfico del usuario.
Si considera que dicho tráfico es un riesgo no deseado, simplemente puede bloquear países enteros. Para hacer esto, Malcare tiene una opción llamada “Geoblock” que agregará una capa de seguridad bloqueando cualquier dirección IP del país que seleccione. Así es cómo:
En el tablero, seleccione su sitio, luego haga clic en “Geoblock”.

Luego, desde el menú de caída, seleccione los países que desea bloquear. Después de hacer clic en “Bloquear el país”, se habrá bloqueado con éxito un mensaje “de los países seleccionados.

El bloqueo geográfico o el bloqueo del país ayuda a mitigar el riesgo de ser pirateado. No es aconsejable bloquear países enteros, porque parte del tráfico podría ser legítimo. Sin embargo, si está 100% seguro de que no necesita tráfico proveniente de ese país, es mejor bloquearlo, por lo que puede proporcionar su página de autenticación de WordPress, sin permitir que un hacker lo alcance. Lea también: Cómo remediar los problemas de conexión de WordPress no son seguros 5. La desconexión automática no es inusual tener el hábito de conectarse a una cuenta y dejarla abierta. Puede encontrarse cerrando el navegador sin desconectarse de sus cuentas. Si deja su sistema desatendido, un hacker puede reabrir su navegador y se conectará automáticamente a sus cuentas. Tales hábitos aumentan el riesgo de ataques. Para aliviar tales riesgos, muchos sitios web implementan “desconexión automática”. Esta es una práctica regular con los servicios bancarios en línea. Si está inactivo por un período de tiempo, el sitio web lo desconecta automáticamente. Es posible ver una solicitud como la siguiente:

Esta es una medida esencial que puede implementar en su sitio web de WordPress. Se asegura que no hay posibilidad de que alguien pueda explotar una cuenta conectada mientras el usuario está lejos de su sistema. Esta medida se recomienda especialmente para las personas que trabajan de forma remota o en sus propios dispositivos personales. Como propietario del sitio web, nunca puede asegurarse de que recuerden desconectarse cuando estén inactivos. Si usa una computadora pública pública o no asegurada, esto pone en peligro su sitio. A diferencia de los servicios de e -banking, WordPress no desconecta automáticamente a los usuarios cuando están inactivos. Pero puede implementar esta medida de seguridad utilizando complementos como la seguridad a prueba de balas. El complemento tiene una función de seguridad llamada “Desconectación de la sesión inactiva” que puede activar. Puede seleccionar el período de inactividad después del cual un usuario se desconectará automáticamente. Esta medida protegerá su sitio para no caer en manos equivocadas.

Aseguré fácilmente la página de inicio de sesión de WordPress con esta guía de seguridad de MalCare. Haga clic para enviar un tweet