12 pasos para proteger su área de administración de WordPress

Con WordPress, es muy fácil crear un blog o sitio web. Sin embargo, hay casos (que crecen diariamente) cuando las personas sufren porque no prestan atención a las características de seguridad del sitio o blog de WordPress. Hay muchos casos en que echas un vistazo a los sitios independientes, donde los sitios y blogs de personas son pirateados y piden ayuda.
Se esconde el contenido
1. 1. Cambie el nombre de usuario de administrador implícitamente y elija una contraseña segura
2. 2. Crear enlaces de conexión personalizados
3. 3. Limite las pruebas de inicio de sesión
4. 4. Fuerza SSL en las páginas de inicio de sesión y el área de administración
5. 5. Contraseña Proteger WP-Admin Directy
6. 6. Ingrese una captcha en la página de inicio de sesión
7. 7. Eliminar el mensaje de error de la página de inicio de sesión
8. 8. Permitir la autenticación solo a direcciones IP específicas.
9. 9. Agregue una capa adicional por autenticación con dos factores
10. 10. Use la contraseña encriptada para autenticar
11. 11. Contraseña única
12. 12. Actualice WordPress a la última versión
Estos incidentes muestran que cuando no presta atención a la seguridad de su sitio de WordPress, existe la posibilidad de que los hackers puedan atacarlo. Para evitar estos casos, debe mantener su área de administración de WordPress y la página de inicio de sesión protegida. En este artículo, le daré información sobre las formas y los pasos para proteger el área más sofisticada de su sitio de WordPress, “Área de administración de WordPress”. Comiencemos, 1. Cambie el nombre de usuario de administrador predeterminado y elija una contraseña segura si instala WordPress, nunca permita que la cuenta de administrador predeterminada sea administradora. Esto es tan predecible para probar un ataque de fuerza bruta o cualquier otro ataque. Elija una contraseña segura

Aquí, incluso si cambia el nombre de usuario de su administrador como iamadmin, puede crear muchas diferencias y puede ahorrarle muchos problemas (pero no vaya después de este nombre, es un ejemplo para mostrar cómo hacer el cambio de nombre. Usuario del administrador una diferencia). En cuanto a las contraseñas, siempre siga la guía de WordPress. Al ingresar la contraseña en el cuadro de entrada, muestra qué tan fuerte es su contraseña siempre su contraseña segura en este aspecto. Ahora, incluso si su sitio no proporciona ningún privilegio financiero al hacker, pero esto no impide que el hacker intente obtener acceso a su sitio. Permíteme presentarle un escenario simple, que es bastante común en los sitios de WordPress. Eche un vistazo a la figura a continuación:
Administrador de WordPress con ataque de fuerza en bruto

Como puede ver, están estos intentos de piratería en un sitio de WordPress en un día. Entonces, de la figura, está bastante claro que todos los intentos de bloqueo están dirigidos al nombre de usuario. Así que creo que hice mi punto aquí. Ahora, la pregunta simplificada es ¿por qué continúan intentando? Una de las razones más importantes y predominantes es que “WordPress no tiene una regla básica para prohibir a ningún atacante”. Entonces, si no haces nada, no dejarán de intentarlo. Esto nos lleva a nuestro próximo punto.2. Crear enlaces de conexión personalizados es muy obvio que para acceder al panel de administración de WordPress, todo lo que tiene que hacer es ingresar la URL del sitio Cu /WP-Login.php. Ahora, si ha usado la misma contraseña en varias ubicaciones y ha sido en peligro, entonces es fácil para Hacker piratear su sitio. Un complemento llamado STEALTH Soge le permite crear URL personalizadas para la autenticación, la desconexión, la administración y el registro para su blog de WordPress. También puede activar el “modo de sigilo”, que evitará que los usuarios puedan acceder a wp-login.php. Luego puede establecer la conexión a la conexión a algo más críptico. Esto no perfeccionará su sitio perfectamente, pero si alguien logra romper su contraseña, puede ser difícil encontrar dónde conectarse de manera efectiva. Esto también evita que los robots que se utilicen con fines maliciosos accedan a wp-login.php-wp-login.php su wp-login.php e intente ingresar.
Cambiar la URL de conexión
3. Limite los intentos de inicio de sesión al finalizar el punto anterior diciendo que WordPress no prohíbe a ningún usuario que intente sin éxito conectarse a una cuenta. Por lo tanto, debe limitar la autenticación a su área de administración y prohibir al usuario durante un cierto período de tiempo, de lo contrario, continuarán tratando de adivinar con éxito para su blog o sitio de WordPress. Para este propósito, puede usar complementos como Seguridad de WordFency, intentos de inicio de sesión de límite de WP y bloqueo de inicio de sesión. A continuación se muestra una captura de pantalla de inicio de sesión de límite de WP, porque actualmente lo uso. Entonces, cuando ingresa cualquier credencial incorrecta, se ve, limite sus intentos de conexión

Dinero para demasiados intentos de inicio de sesión
Pasemos al siguiente punto que es: 4. Forzar SSL en las páginas de conexión y el área de administración Hay momentos en que se conecta a su sitio de WordPress a través de una red pública. Este es uno de los casos en los que puede estar expuesto a ser un “ataque medio”. Los piratas informáticos pueden escuchar el tráfico y acceder a su solicitud HTTP. Después de acceder a su solicitud en WordPress, pueden ver sus credenciales de WordPress en el texto simple. Esto se puede prevenir utilizando la autenticación SSL. La conexión SSL permite que su sitio de WordPress sea accesible a través de HTTPS. Por lo general, sus servicios de alojamiento ofrecen esto en su suscripción si no, entonces debe comprar un certificado SSL y establecerlo en el servidor de su sitio. Es posible que desee verificar algunas opciones de algunos certificados SSL, como SSL Shop Cheap. O puede seguir esta guía para instalar SSL en su servidor si lo posee.

Si su sitio ya tiene un certificado SSL y se ejecuta en HTTPS, abra el archivo wp-config.php y edítelo con el siguiente código: // use ssl (https) para la página de conexión. True);

// Use SSL (HTTPS) para todo el área de administración.
define (‘force_ssl_admin’, true); Constanta Force_SSL_Login asegura que la página de conexión solo se abra en HTTPS. Force_SSL_Login Constant Put en segundo lugar una conexión segura en todo el área de administración de WordPress. 5. Proteja al director WP-Admin con contraseña no es nada de malo en tener dos contraseñas. Simplemente agregue otro nivel de seguridad a su área de administración de WordPress. Esto se puede hacer utilizando un complemento llamado Askapache Password Protect. Cifra su contraseña y crea el archivo .htpasswd, además de establecer los permisos correctos para mejorar los archivos de seguridad para ambos. También puede usar la protección de contraseña de Cpanel en un directorio si utiliza un host web Cpanel para proteger al director WP-Admin.

Proteja su zona de administración de WordPress por contraseña
6. Escriba un captcha en la página de conexión El uso de un captcha en el área de administración puede reducir los intentos de piratería, ya que evita que los scripts automáticos a la fuerza aproximada o cualquier otro ataque automático en su página de autenticación. Vaya al tablero y luego al complemento → Agregue nuevo y luego escriba “Captcha”. Obtendrá muchos complementos de WordPress para activar Captcha en su página de inicio de sesión. Actualmente uso el complemento CaptCha de BestWebSoft. Este complemento tiene más de 300,000 instalaciones activas y una buena evaluación. Este complemento crea una nueva área en su página de inicio de sesión. Simplemente activar este complemento creará una imagen Captcha, sin la cual nadie puede autenticarse incluso conociendo al usuario y la contraseña. Esto realmente bloquea los ataques automatizados de fuerza bruta con scripts. Eche un vistazo a la captura de pantalla dada de la utilidad del complemento. Usando el Captcha para la autenticación
Además, también puede optar por complementos Captcha, como Captcha Anti-Spam, captcha realmente simple y captcha de matemáticas. 7. Elimine el mensaje de error de la página de inicio de sesión Cuando ingrese una contraseña incorrecta o nombre de usuario no válido, reciba un mensaje de error en la página de inicio de sesión. Entonces, si un hacker tiene éxito una cosa, el mensaje de error lo ayudará a identificar eso. Por lo tanto, debe eliminar completamente ese mensaje de error. Abra funciones.php ubicado en la carpeta de temas e inserte el siguiente código: add_filter (‘erori_login’, create_function (‘$ a’, “return null;”)); Un complemento llamado Secure WordPress también logra esto y tiene otras características. Y este es el resultado: eliminar los mensajes de error de conexión
8. Permitir la autenticación solo a direcciones IP específicas. Antes de continuar este punto, quiero ser claro. Recomiendo este paso solo a aquellos que tienen una dirección IP estática. Si conoce su dirección IP, enumere IP en .htaccess usando el archivo .htaccess en la carpeta WP-Admin. Sin embargo, puede pagar muchas direcciones IP para conectarse a su área de administración, pero mi recomendación es solo para propietarios de IP estáticos. Para poner en la lista blanca de una IP, debe abrir la carpeta WP-Admin y editar un archivo llamado .htaccess y agregar los siguientes códigos: el pedido se niega, permite

# Reemplazar 99.99.99.99 con la dirección IP deseada
Permite 99.99.99.99

# Permitir más direcciones IP para acceder al área WP-Admin decorando la línea a continuación y editando la dirección IP
# permite de 98.98.98.98

Nega de todos, como puede ver, cambie 99.99.99.99 a la dirección IP deseada, de manera similar para la segunda IP.Cuando no agrega ninguna dirección IP e intentan acceder a su área de administración, recibirán este mensaje: Bloquear acceso por dirección IP
9. Agregue una capa adicional mediante autenticación con dos factores, puede usar la autenticación de dos factores para agregar una capa de seguridad adicional a su área de administración de WordPress.Para aplicarlo en su sitio, solo tiene que instalar y activar un complemento.Cuando busque la autenticación de dos factores en la página del complemento del sitio de WordPress, verá los siguientes resultados:
Complementos de autenticación de dos factores
Lea este artículo para averiguar exactamente cómo configurar la autenticación de dos factores. 10. Use la contraseña cifrada para autenticar cuando no tiene SSL activado, este método es útil. Hay un complemento que le permite hacer este trabajo y se llama Semiscure Login Reimagined. SemiseCure Iniciar sesión ReimagenID aumenta la seguridad del proceso de conexión utilizando una clave pública para cifrar la contraseña del lado del cliente cuando un usuario se conecta. El servidor luego descifra la contraseña cifrada con la clave privada. Se requiere JavaScript para activar el cifrado. 11. El complemento de contraseña único, una contraseña de tiempo, le permite conectarse a su diario web de WordPress utilizando contraseñas que son solo para una sola sesión. Las contraseñas únicas evitan el robo de la contraseña principal de WordPress en entornos menos confiables, como cafés en Internet, por ejemplo, por Keyloggeri. 12. Actualizar WordPress a la última versión por última vez, pero no menos importante, es conocer la última versión de WordPress, porque después de que se lanza cada versión, WordPress también libera los errores y los exploits de la versión anterior, que pone en peligro el área de su administración si lo hace. no actualizar. Al final, WordPress es muy fácil de usar y es por eso que a todos les encanta. Pero olvidamos que esta facilidad de funcionalidad puede ser brutal si alguien más ha encontrado acceso a su sitio. Entonces, mi recomendación es seguir todos los pasos que mencioné anteriormente en el artículo. Si tiene problemas, avíseme a través de los comentarios y lo ayudaré a resolver este problema. La biografía del autor: Kerin Miller es un blogger apasionado y apasionado.