¿Estás viendo muchos ataques en tu área de administración de WordPress? Proteger el área de administración del acceso no autorizado le permite bloquear muchas amenazas de seguridad comunes. En este artículo, le mostraremos algunos de los consejos y hacks vitales para proteger su área de administración de WordPress.

Consejos y hacks para proteger el área de administración de WordPress

1. Utilice un cortafuegos de aplicación de sitio web

Un firewall de aplicaciones web o WAF supervisa el tráfico del sitio web y bloquea las solicitudes sospechosas para que no lleguen a su sitio web.

Si bien hay varios complementos de firewall de WordPress, recomendamos utilizar Sucuri. Es un servicio de monitoreo y seguridad del sitio web que ofrece un WAF basado en la nube para proteger su sitio web.

Sitio web Aplicación Firewall

Todo el tráfico de su sitio web pasa primero por su proxy de nube, donde analizan cada solicitud y bloquean las sospechosas que nunca llegan a su sitio web. Evita que su sitio web tenga posibles intentos de piratería, phishing, malware y otras actividades maliciosas.

Para más detalles, vea cómo Sucuri nos ayudó a bloquear 450,000 ataques en un mes.

2. Proteger con contraseña el directorio de administración de WordPress

Su área de administración de WordPress ya está protegida con su contraseña de WordPress. Sin embargo, agregar protección con contraseña a su directorio de administración de WordPress agrega otra capa de seguridad a su sitio web.

Primero inicie sesión en su panel de control de cPanel de alojamiento de WordPress y luego haga clic en el ícono de «Directorios con protección de contraseña» o «Privacidad de directorio».

Privacidad del directorio

A continuación, deberá seleccionar su carpeta wp-admin, que normalmente se encuentra en / public_html / directory.

En la siguiente pantalla, debe marcar la casilla junto a la opción ‘Proteger con contraseña este directorio’ y proporcionar un nombre para el directorio protegido.

Después de eso, haga clic en el botón guardar para establecer los permisos.

Configuración de directorio de protección de contraseña

A continuación, debe presionar el botón Atrás y luego crear un usuario. Se le pedirá que proporcione un nombre de usuario / contraseña y luego haga clic en el botón Guardar.

Ahora, cuando alguien intente visitar el administrador de WordPress o el directorio de wp-admin en su sitio web, se le pedirá que ingrese el nombre de usuario y la contraseña.

Introducir la contraseña

Para instrucciones más detalladas

3. Usa siempre contraseñas seguras

Usa siempre contraseñas seguras

Siempre use contraseñas seguras para todas sus cuentas en línea, incluido su sitio de WordPress. Recomendamos usar una combinación de letras, números y caracteres especiales en sus contraseñas. Esto hace que sea más difícil para los hackers adivinar su contraseña.

A menudo, los principiantes nos preguntan cómo recordar todas esas contraseñas. La respuesta más simple es que no es necesario. Existen algunas aplicaciones geniales de administrador de contraseñas que puede instalar en su computadora y teléfonos.

Para más información sobre este tema

4. Utilice la verificación de dos pasos para la pantalla de inicio de sesión de WordPress

La pantalla de inicio de sesión de WordPress con Google Authenticator habilitado

La verificación en dos pasos agrega otra capa de seguridad a sus contraseñas. En lugar de usar solo la contraseña, le solicita que ingrese un código de verificación generado por la aplicación Google Authenticator en su teléfono.

Incluso si alguien es capaz de adivinar su contraseña de WordPress, todavía necesitará el código de Google Authenticator para entrar.

5. Limite los intentos de inicio de sesión

Limitar los intentos de inicio de sesión

De forma predeterminada, WordPress permite a los usuarios ingresar contraseñas tantas veces como lo deseen. Esto significa que alguien puede seguir tratando de adivinar su contraseña de WordPress al ingresar diferentes combinaciones. También permite a los piratas informáticos utilizar scripts automatizados para descifrar las contraseñas.

Para solucionar esto, debe instalar y activar el complemento Login LockDown. Después de la activación, ve a visitar Configuración »Login LockDown página para configurar los ajustes del plugin.

Para instrucciones detalladas

6. Limitar el acceso de inicio de sesión a las direcciones IP

Otra excelente forma de proteger el inicio de sesión de WordPress es limitando el acceso a direcciones IP específicas. Este consejo es particularmente útil si usted o solo unos pocos usuarios de confianza necesitan acceso al área de administración.

Simplemente agregue este código a su archivo .htaccess.

AuthUserFile / dev / null
 AuthGroupFile / dev / null
 AuthName "Control de acceso de administrador de WordPress"
 AuthType Basic orden denegar, permitir
 Negar todo
 # whitelist Dirección IP de Syed
 permitir desde xx.xx.xx.xxx
 # whitelist Dirección IP de David
 permitir desde xx.xx.xx.xxx 

No olvides reemplazar los valores xx con tu propia dirección IP. Si usa más de una dirección IP para acceder a Internet, asegúrese de agregarlas también.

Para instrucciones detalladas

7. Deshabilitar sugerencias de inicio de sesión

Indicaciones de inicio de sesión deshabilitado

En un intento fallido de inicio de sesión, WordPress muestra errores que indican a los usuarios si su nombre de usuario es incorrecto o la contraseña. Estas sugerencias de inicio de sesión pueden ser utilizadas por alguien para intentos maliciosos.

Puede ocultar fácilmente estas sugerencias de inicio de sesión agregando este código al archivo functions.php de su tema o a un complemento específico del sitio.

function no_wordpress_errors () {
   regresar '¡Algo está mal!';
 }
 add_filter ('login_errors', 'no_wordpress_errors'); 

8. Requiere que los usuarios usen contraseñas seguras

Si ejecuta un sitio de varios autores de WordPress, esos usuarios pueden editar su perfil y usar una contraseña débil. Estas contraseñas se pueden descifrar y dar a alguien acceso al área de administración de WordPress.

Para solucionarlo, puede instalar y activar el complemento Force Strong Passwords. Funciona de la caja, y no hay configuraciones para que usted configure. Una vez activado, evitará que los usuarios guarden las contraseñas más débiles.

No verificará la fortaleza de la contraseña para las cuentas de usuario existentes. Si un usuario ya usa una contraseña débil, podrá continuar usando su contraseña.

9. Restablecer contraseña para todos los usuarios

¿Preocupado por la seguridad de las contraseñas en su sitio multiusuario de WordPress? Puede pedir fácilmente a todos sus usuarios que restablezcan sus contraseñas.

En primer lugar, debe instalar y activar el complemento Restablecer contraseña de emergencia. Después de la activación, ve a visitar Usuarios »Restablecimiento de contraseña de emergencia página y haga clic en el botón «Restablecer todas las contraseñas».

Restablecer todas las contraseñas

10. Mantenga WordPress actualizado

WordPress a menudo lanza nuevas versiones del software. Cada nueva versión de WordPress contiene importantes correcciones de errores, nuevas funciones y soluciones de seguridad.

El uso de una versión anterior de WordPress en su sitio lo deja abierto a exploits conocidos y vulnerabilidades potenciales. Para arreglar esto

Del mismo modo, los complementos de WordPress también suelen actualizarse para introducir nuevas funciones o corregir problemas de seguridad y de otro tipo. Asegúrese de que sus complementos de WordPress también estén actualizados.

11. Crear páginas de inicio de sesión e inscripción personalizadas

Muchos sitios de WordPress requieren que los usuarios se registren. Por ejemplo, los sitios de membresía, los sitios de administración de aprendizaje o las tiendas en línea necesitan que los usuarios creen una cuenta.

Sin embargo, estos usuarios pueden usar sus cuentas para iniciar sesión en el área de administración de WordPress. Este no es un gran problema, ya que solo podrán hacer cosas permitidas por su función y capacidades de usuario. Sin embargo, impide que limite de forma adecuada el acceso a las páginas de inicio de sesión y registro, ya que necesita esas páginas para que los usuarios se registren, administren su perfil e inicien sesión.

La forma más fácil de solucionar esto es creando páginas de inicio de sesión e inscripción personalizadas, de modo que los usuarios puedan registrarse e iniciar sesión directamente desde su sitio web.

Para instrucciones detalladas paso a paso

12. Aprende sobre los roles de usuario de WordPress y los permisos

WordPress viene con un poderoso sistema de administración de usuarios con diferentes roles y capacidades de usuario. Al agregar un nuevo usuario a su sitio de WordPress, puede seleccionar un rol de usuario para ellos. Esta función de usuario define qué pueden hacer en su sitio de WordPress.

Asignar un rol de usuario incorrecto puede brindar a las personas más capacidades de las que necesitan

13. Limitar el acceso al panel

Algunos sitios de WordPress tienen ciertos usuarios que necesitan acceso al panel y algunos usuarios que no. Sin embargo, de forma predeterminada, todos pueden acceder al área de administración.

Para solucionarlo, debe instalar y activar el complemento Eliminar acceso al panel. Después de la activación, ve a Configuración »Acceso al panel de instrumentos y seleccione qué roles de los usuarios tendrán acceso al área de administración de su sitio.

Para instrucciones más detalladas

14. Salir de la sesión de usuarios inactivos

Usuario desconectado

WordPress no cierra automáticamente la sesión de los usuarios hasta que cierran sesión o cierran su ventana del navegador explícitamente. Esto puede ser una preocupación para los sitios de WordPress con información confidencial. Es por eso que los sitios web y las aplicaciones de las instituciones financieras cierran sesión automáticamente si no han estado activos.

Para solucionarlo, puede instalar y activar el complemento de Idle User Logout. Después de la activación, ve a Configuración »Idle User Logout página e ingrese el tiempo después del cual desea que los usuarios se desconecten automáticamente.

Para más detalles

Esperamos que este artículo te haya ayudado a aprender algunos nuevos consejos y hacks para proteger tu área de administración de WordPress.