4 formas de proteger tu login de WordPress

Cómo proteger tu login de WordPress

Los hackers no necesitan ser especialmente listos o sofisticados para conseguir lo que quieren. A menudo, simplemente entran por la entrada principal. Usar las herramientas adecuadas puede ayudar, pero hay más que puedes hacer para proteger tu login de WordPress.

login de WordPress

Se ha informado que Google pone en la lista negra unos 70.000 sitios web por semana por problemas de seguridad como malware y phishing. Tu primera línea de defensa contra la infiltración es proteger tu login de WordPress. Esta forma de control de acceso parece muy sencilla, pero te sorprendería saber que a menudo las medidas de seguridad más simples se pasan por alto o se dejan de lado.

Independientemente de las características de seguridad que ofrezca tu servicio de alojamiento en el back end, como administrador de un sitio web, la responsabilidad es tuya.

¿Qué hace que los accesos a WordPress sean vulnerables?

La gran popularidad de wordPress es lo que lo hace un blanco fácil y atractivo. Pero, ¿qué es lo que hace que la plataforma sea vulnerable a los ataques y a las vulnerabilidades?

Por un lado, los hackers hacen mucho reconocimiento antes de romper un sistema. Saben que ciertas versiones de WP tienen más vulnerabilidades que otras, y la plataforma ha existido el tiempo suficiente para que los profesionales sepan cuáles son. El número de versión se encuentra en sus páginas web y en su URL a menos que lo eliminen.

Te recomiendo leer  Que es wordpress

Ver tu directorio también proporciona mucha información útil, como el tipo de plugins y temas que tienes instalados. Debido a que funciona en código abierto, dejar en tu directorio los plugins sin usar o sin soporte, incluso si están deshabilitados, es una forma sencilla para que los hackers accedan a tu código. Una vez dentro, pueden lanzar ataques, cambiar la codificación, secuestrar sesiones o bloquearte para que no entres en tu propio sitio web.

Los hackers pueden comprobar la indexación de tu directorio navegando por las ubicaciones de las carpetas y comprobando si hay una respuesta.

Las carpetas que buscan los hackers

/wp-content/

/wp-content/plugins/

/wp-content/themes/

/uploads/

/images/

Pueden buscar plugins vulnerables en tu directorio a través de una búsqueda activa utilizando herramientas de scripting o una búsqueda pasiva con peticiones normales de HTML. Esto se logra revisando el código fuente HTML y buscando los plugins instalados a través de hojas de estilo CSS, comentarios y enlaces JS.

Otra forma en que los hackers acceden a los sitios web de WordPress es a través de la enumeración de usuarios. Este es un simple preludio de un ataque de fuerza bruta que implica descubrir los nombres de usuario y adivinar sus contraseñas a través de un ataque de diccionario o tratar de entrar a través de mecanismos predeterminados. Por ejemplo, los usuarios pueden ser descubiertos por medio de la repetición de sus identificaciones y la adición a la URL de esta manera:

ejemplodewordpress.com/?author=1

ejemplodewordpress.com/?author=2

ejemplodewordpress.com/?author=3

Si funciona, el ID de acceso será revelado a través de una redirección 303.

Una herramienta llamada WPScan que se usa para pruebas de vulnerabilidad puede cribar cientos de posibles contraseñas en menos de un minuto. Fue capaz de devolver la siguiente salida de un tema económico en cuestión de segundos:

ruby wpscan.rb -u 192.241.xx.x68 --threads 20 --wordlist 500worst.txt --username testadmin

********* SNIP ******************

[+] Starting the password brute forcer

Brute forcing user 'testadmin' with 500 passwords... 100% complete.
[+] Finished at Thu Jul 18 03:39:02 2013
[+] Elapsed time: 00:01:16

4 maneras de proteger tu login de WordPress

Afortunadamente, el desarrollador de WP y la comunidad de usuarios son sumamente atentos a la hora de proporcionar apoyo. Debido a esto, hay herramientas que están disponibles gratuitamente y las mejores prácticas que puedes aprender e implementar para mantener tu sitio web seguro.

Te recomiendo leer  Cómo instalar y configurar comentarios de Facebook en WordPress

Aquí hay cuatro técnicas que puedes implementar para asegurar la página de acceso de WordPress.

1. Eliminar el número de versión de WP

Como los hackers suelen buscar primero el número de versión cuando comprueban las vulnerabilidades, esto es lo primero que debe cambiar al configurar su sitio web. Esto debería hacerse de tal manera que se elimine de las páginas, URLs y meta tags sin quitar el gancho de la cabecera u otros malos métodos que se están promocionando en Internet.

La mejor manera de eliminar el número de versión de WP es añadir este trozo de código al archivo functions.php:

Para eliminar del header:

remove_action('wp_head', 'wp_generator');

Para eliminar del feed RSS:

function remove_version_info() {
return '';
}
add_filter('the_generator', 'remove_version_info');

Para eliminar el número de versión de los scripts y estilos:

function remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
return $src;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js',9999);
add_filter( 'script_loader_src', 'remove_version_from_style_js',9999);

No importa cuando instales WP, siempre debes mantener tu WordPress actualizado a la última versión tan pronto como sea lanzado. Lo mismo ocurre con los plugins y los temas.

2. Cambiar la URL de inicio de sesión (proteger tu login de WordPress)

La dirección de inicio de sesión por defecto para los administradores de WP es tupaginaweb.com/wp-admin y eso es algo que casi todos los que están familiarizados con la plataforma saben. Todo lo que se necesita es añadir /wp-login.php después del nombre de dominio y estarán dentro. Una simple alteración de la URL es todo lo que se necesita para evitar que los hackers adivinen tu página de inicio de sesión.

Puedes usar un plugin como iThemes Security para lograr esto de manera efectiva.

Te recomiendo leer  Optimizar imágenes en Wordpress con WP Smush

3. Reducir el número de intentos de inicio de sesión

Otra característica defectuosa de WP por defecto es la de permitir intentos ilimitados de acceso. Esto permite ataques de diccionario y otras técnicas de adivinación de contraseñas. El plugin de seguridad de iThemes tiene una función que bloquea tu sitio web después de un número determinado de intentos fallidos de inicio de sesión y te envía una alerta.

Si sólo quieres la función de cierre de sesión, puedes instalar un plugin llamado Limit Login Attempts Reloaded y entrar en su configuración para configurar el número de inicios de sesión permitidos.

4. Limitar el acceso y utilizar la autenticación de dos factores

A estas alturas, deberías saber que debes elegir una contraseña segura usando un plugin de autenticación de dos factores. El siguiente paso para limitar el acceso es limitar el número de personas que tienen acceso al funcionamiento interno de tu sitio web. Tercero, usa la autenticación de dos factores que utiliza una combinación de contraseña y clave encriptada para acceder.

Conclusiones finales sobre cómo proteger tu login de WordPress

Aunque estas precauciones de seguridad y medidas preventivas explicadas en este post no protegerán tu sitio web al 100%, te proporcionarán una enorme medida de seguridad.

Es importante recordar que los hackers y demás personas malintencionadas buscan las puertas traseras más fáciles de acceder a tu sitio web. La mayoría de las veces se utilizan soluciones automatizadas para encontrar estas puertas traseras.

Asegurando tu login de WP se mantienen esas puertas cerradas y se asegura que la única persona que tiene acceso a tu sitio es tú mismo.

Deja un comentario

Háblame ;)
¿Necesitas ayuda?
Hola! Necesitas ayuda? hablemos por WhatsApp :)