Cómo bloquear los intentos de prueba fallidos en WordPress

La autenticación fallida puede ocurrir por varias razones. A menudo, es simplemente el resultado de un usuario que realmente olvidó su contraseña. Le sucede a los mejores de nosotros, para que no juzguemos demasiado duro. A veces, sin embargo, puede suceder algo más serio: alguien está tratando de entrar. El arte de solucionar problemas de la autenticación fallida, así como todos los demás problemas de WordPress, la resolución de problemas (también conocido como alcanza la parte inferior de las cosas) es el primer paso que tenemos que tomar. Esto nos ayudará a asegurarnos de que estamos lidiando con el problema real y no con su síntoma. Afortunadamente, hay una manera fácil de comenzar este proceso: mire los datos. Esencialmente, deberías ver una de las dos cosas:
Combinaciones incorrectas de nombre de usuario y contraseñas incorrectas
Las combinaciones incorrectas de nombre de usuario y contraseña pueden ocurrir por una de las dos razones. Ya sea que alguien o algo intente adivinar una combinación de nombre de usuario/contraseña para obtener acceso, o es un ataque dirigido. En el caso de la primera opción, este es un evento bastante común. De lo contrario, podría ser un ataque dirigido en su sitio para obtener acceso o sobrecargar su sitio (DOS/DDOS).
Combinaciones correctas de nombre de usuario y contraseñas y contraseñas tergiversadas
Las combinaciones correctas del nombre de usuario y las contraseñas incorrectas pueden significar una de dos cosas. O es un caso auténtico de alguien que olvidó su contraseña, o alguien ha descubierto un nombre de usuario real registrado en WordPress y ahora trata de adivinar la contraseña.
Otra cosa que debes recordar ver es la frecuencia. Una gran cantidad de intentos en un período corto suele ser el signo de un ataque automático. Por otro lado, una cronología lenta e irregular es un signo revelador de una persona que aún no ha bebido café. Los peligros de demasiados intentos para conectar los ataques con contraseña están bastante extendidos. Demasiados intentos fallidos de conectarse a WordPress generalmente indica este tipo de ataques. Sin una forma de administrar esto, puede dejar el sitio abierto a ataques e interrupciones. Afortunadamente, la gestión de este riesgo es muy fácil y requiere poco esfuerzo administrativo. WordPress no proporciona ninguna funcionalidad para limitar o tomar acciones evasivas cuando hay intentos de autenticación fallidos. Un usuario puede continuar intentando la NAUSE hasta que entiendo bien. Si bien dar a las personas de posibilidades adicionales puede considerarse lo ético, imponer límites y controles puede contribuir en gran medida a garantizar la seguridad y la integridad de su sitio de WordPress. Cómo evitar las pruebas de conexión de WordPress fallidas que implementan una política de inicio de sesión fallida de WordPress es más fácil de lo que parece. Hay primeros dos opciones para elegir, que discutiremos ahora.
Limite manualmente las conexiones fallidas Si desea limitar las conexiones fallidas a WordPress sin un complemento, puede cambiar la función.php del tema activo y puede agregar el código relevante. Hay varias formas de agregar código personalizado a los sitios de WordPress; Sin embargo, esto requiere una buena comprensión del PHP y cómo funciona WordPress. Instale un complemento Hay otra opción y la más práctica: use un complemento. Los complementos vienen en todas las formas y dimensiones, incluidos los complementos que solo limitan los intentos y complementos de autenticación que le permiten aplicar una política de seguridad de contraseña para un control y seguridad aún más estrictos. Ofrece a los administradores un mayor control sobre cómo se utilizan y se administran las contraseñas en sus sitios de WordPress. Incluye la capacidad de configurar una política que trata explícitamente los intentos de conexión fallidos, entre muchas otras características. Otras cosas a considerar otra opción que vale la pena mencionar es Captcha. Los complementos como Nocapptcha avanzado y Captcha invisible son excelentes para ayudar a detener los ataques automáticos. Debido a que se debe completar un Captcha antes de hacer un intento de registro, los robots detrás de tales ataques fallan la prueba y no realizarán un solo intento de conexión.
Otra opción que tiende a aparecer en las conversaciones sobre las políticas de conexión fallidas es bloquear las IP. A través de esta opción, la IP ofensiva se incluye en la lista negra, evitando que primero acceda a su sitio. Aunque esto es técnicamente correcto, un actor muy persistente puede simplemente usar otra IP, lo que puede hacer fácilmente. Por esta razón, la estrategia de bloquear las IP a menudo termina siendo un juego con el gato y los ratones. Una mejor opción es usar un CDN (red de entrega de contenido) y dejar que se ocupen de IP ofensivos. Esto puede ahorrarle un tiempo precioso, que puede invertir en cosas productivas. Cómo diseñar una política de autenticación de WordPress fallida antes de comenzar a aplicar una política de conexión fallida en un sitio web de WordPress, hay algunas cosas que debe pensar. Como todos los demás problemas de seguridad, la gestión de pruebas fallidas que sufren de la paradoja de la seguridad/usabilidad. El algo más seguro, menos utilizable se vuelve. El reverso es tan cierto. No permitir que nadie se autentique es muy seguro, pero difícil de usar. Ofrecer a los usuarios de posibilidades ilimitadas de registro puede comprometer la seguridad, pero aumenta el grado de uso.
Lo que necesita entender es cuánto está dispuesto a dar a sus usuarios. Tradicionalmente, tres intentos se consideran apropiados y razonables. Algunos no están de acuerdo con esta noción y colocan el número máximo de intentos de conexión permitidos en las diez. De todos modos, proporcionar intentos de conexión ilimitados no es una buena estrategia y puede tener repercusiones negativas. La verdad es que no hay una respuesta correcta o incorrecta. Tres es un número seguro, pero aumentará los gastos administrativos. Diez podrían tener gastos administrativos más bajos, pero presenta varios riesgos. Como tal, es posible que desee comenzar con el número de intentos de conexión a tres y luego evaluar la situación. Cuando se usa WPassword, es muy fácil cambiar este número. Como tal, puede adaptar fácilmente la política a los usuarios y las circunstancias. Sería mejor pensar en lo que sucede cuando se bloquea una cuenta. La cuenta debe desbloquearse automáticamente después de una ventana de tiempo preconfigurada o un administrador debe desbloquearla manualmente? Esta pregunta da al mismo problema que antes: debe decidir entre el uso y la seguridad. Otro aspecto esencial que podría influir en esta parte de la política es la ubicación de sus usuarios. Si las personas se conectan desde el otro lado del mundo, ¿está feliz de despertarse a las dos de la mañana para desbloquear una cuenta? Y si no, ¿cuánto tiempo debe esperar un usuario antes de poder conectarse nuevamente? ¿Afectará esto su productividad o el resultado final?
Elegir los complementos correctos (y la política) para administrar las conexiones de WordPress falló una vez que comprende cómo desea mostrar la política de contraseña y falla, debe comenzar a trabajar en la implementación. Mencioné anteriormente WPassword como el candidato principal. Ofrece muchas opciones de configuración, lo que le permite una libertad considerable cuando configura e implementa la política de contraseña. Después de activar la política de inicio de sesión fallida de WordPress, puede elegir cuántos usuarios antes de bloquear su cuenta. También puede decidir cómo se desbloquea y si desea obligar a los usuarios a cambiar sus contraseñas o no, como se explica a continuación. Paso 1: Instalar y activar WPassword La instalación WPassword es fácil. Puede descargar el complemento para la seguridad de la contraseña directamente desde el sitio web de seguridad de WP White y luego cargarlo en su sitio de WordPress. Después de instalar el complemento, haga clic en los complementos en el menú lateral de WordPress, ubique el complemento y haga clic en. Esto agregará una nueva opción de menú llamada Políticas de contraseña, a las que debe hacer clic. Paso 2: active la política de autenticación fallida Verifique el cuadro de selección junto a las políticas de inicio de sesión fallidas para limitar las pruebas de inicio de sesión fallidas en su sitio web de WordPress. Ingrese el número de pruebas de inicio de sesión fallidas antes de bloquear a un usuario, 3 – 5 generalmente se considera un buen comienzo.
Otras opciones de configuración incluyen lo que sucede una vez que se bloquea una cuenta y si los usuarios bloqueados tienen que restablecer su contraseña para desbloquear. Consulte el artículo de la política de inicio de sesión fallida de WordPress para obtener más información. Paso 3: Tome medidas de seguridad de Captcha adicionales que también toqué Captcha: la prueba ubicua presente en muchas autentificaciones y formas que están diseñadas para permitir que las personas pasen mientras detengan los robots y otras formas de ataques automáticos. Los complementos como Advanced No Captcha e Invisible Captcha hacen la implementación de pruebas tan fáciles, al tiempo que ofrecen compatibilidad universal y soporte para diferentes versiones. La autenticación Con dos factores para aumentar la seguridad de los procesos de conexión, la autenticación de dos factores es una necesidad. A través de este proceso, los usuarios deben autenticar la segunda vez ingresando una contraseña única proporcionada a través de su teléfono inteligente. Usando 2FA, que puede hacer fácilmente a través de complementos como WP 2FA, puede asegurarse de que incluso si las contraseñas se comprometen, a menos que la persona tenga el teléfono conectado a esa cuenta de usuario, no podrá conectarse. Paso 4: