Cómo y por qué debe limitar los intentos de inicio de sesión en su WordPress

De vez en cuando los hackers pueden intentar entrar en su sitio de WordPress adivinando su contraseña de administrador. Por defecto, WordPress permite a los usuarios probar contraseñas diferentes tantas veces como quieran. Esto también se conoce como ataque de fuerza bruta. Sin embargo, puede cambiar esto y añadir una capa extra de seguridad a su sitio de WordPress. En este artículo, le mostraremos cómo y por qué debe limitar los intentos de acceso en su WordPress.

Video Tutorial

Suscribirse a AprenderWP

Si no te gusta el video o necesitas más instrucciones, entonces continúa leyendo.

¿Por qué es necesario limitar los intentos de acceso en WordPress?

Por defecto, WordPress permite a los usuarios introducir contraseñas tantas veces como quieran. Los hackers pueden tratar de explotar esto usando scripts que introducen diferentes combinaciones hasta que su sitio web se agrieta.

Para evitarlo, puede limitar el número de intentos de inicio de sesión fallidos por usuario.

Por ejemplo, puede decir que después de 5 intentos fallidos, bloquear al usuario temporalmente.

Si alguien tiene más de 5 intentos fallidos, entonces su sitio bloquea su IP por un período de tiempo temporal basado en su configuración. Puede hacerlo en 5 minutos, 15 minutos, 24 horas e incluso más.

Cómo limitar los intentos de inicio de sesión en WordPress?

Lo primero que tienes que hacer es instalar y activar el plugin Login LockDown. Tras la activación, debe visitar la página Settings » Login LockDown para configurar la configuración del plugin.

En primer lugar, debe definir cuántos intentos de inicio de sesión se pueden realizar. Después de eso, elija por cuánto tiempo un usuario no podrá volver a intentarlo si excede los intentos fallidos.

También puede definir el período de bloqueo para los bloques de rango IP. El valor por defecto es de 60 minutos, puedes ajustarlo si lo necesitas.

El plugin permitirá a los usuarios seguir probando diferentes nombres de usuario no válidos. Haga clic en yes under lockout invalid usernames option to stop this.

Por defecto, WordPress permite a los usuarios saber si han introducido un nombre de usuario o una contraseña no válidos en los inicios de sesión fallidos. Puede ocultarlo haciendo clic en «Sí» en la opción de errores de inicio de sesión de la máscara.

No olvide hacer clic en el botón de actualización de la configuración para guardar los cambios.

Punta Pro

La primera capa de protección para tus sitios de WordPress son tus contraseñas. Siempre debe usar contraseñas seguras en su sitio de WordPress. Entendemos que las contraseñas seguras son difíciles de recordar. Pero vea nuestra guía para principiantes que muestra la mejor manera de administrar contraseñas para los usuarios de WordPress.

Si usted ejecuta un sitio de WordPress de varios autores, entonces vea cómo puede forzar contraseñas fuertes en los usuarios de WordPress.

Ningún sitio web es 100% seguro porque los hackers siempre encuentran nuevas formas de evadir el sistema. Es por eso que es crucial que usted mantenga copias de seguridad completas de su sitio WordPress en todo momento. Recomendamos el plugin BackupBuddy. Aquí hay una lista de los mejores plugins de copia de seguridad de WordPress.

Si su sitio web es un negocio, entonces le recomendamos encarecidamente que añada un cortafuegos que se ocupe de los ataques de fuerza bruta y mucho más. Utilizamos Sucuri que garantiza nuestra seguridad y si algo le sucede a nuestro sitio, entonces su equipo es responsable de arreglarlo sin costo adicional.

Esperamos que hayas encontrado este artículo útil, y que hayas añadido con éxito el límite de intentos de acceso a tu sitio de WordPress. También puede ver nuestra lista de 13 consejos y herramientas vitales para proteger su área de administración de WordPress.

Si te ha gustado este artículo, suscríbete a nuestros tutoriales de vídeo de YouTube Channel for WordPress. También puede encontrarnos en Twitter y Facebook.

Deja un comentario