14 consejos vitales para proteger su área de administración de WordPress (Actualizado)

¿Estás viendo muchos ataques en tu área de administración de WordPress? La protección del área de administración contra el acceso no autorizado le permite bloquear muchas amenazas de seguridad comunes. En este artículo, le mostraremos algunos de los consejos y hacks vitales para proteger su área de administración de WordPress.

1. Usar un Firewall de Aplicación de Sitio Web

Un cortafuegos de aplicación de sitio web o WAF monitorea el tráfico del sitio web y bloquea las solicitudes sospechosas para que no lleguen a su sitio web.

Aunque hay varios plugins del firewall de WordPress, recomendamos usar Sucuri. Es un servicio de seguridad y monitoreo de sitios web que ofrece un WAF basado en la nube para proteger su sitio web.

Todo el tráfico de su sitio web pasa primero por su proxy en la nube, donde analizan cada solicitud y bloquean las que son sospechosas de llegar a su sitio web. Evita que su sitio web se vea afectado por posibles intentos de piratería informática, phishing, malware y otras actividades maliciosas.

Para más detalles, vea cómo Sucuri nos ayudó a bloquear 450.000 ataques en un mes.

2. Proteger con contraseña el directorio administrativo de WordPress

Su área de administración de WordPress ya está protegida por su contraseña de WordPress. Sin embargo, añadir protección con contraseña a tu directorio de administración de WordPress añade otra capa de seguridad a tu sitio web.

En primer lugar, inicie sesión en el panel de control de cPanel de alojamiento de WordPress y, a continuación, haga clic en el icono «Proteger directorios con contraseña» o «Privacidad del directorio».

A continuación, deberá seleccionar la carpeta wp-admin, que normalmente se encuentra dentro del directorio /public_html/.

En la siguiente pantalla, debe marcar la casilla situada junto a la opciónProteger este directorio con contraseña y proporcionar un nombre para el directorio protegido.

Después de eso, haga clic en el botón de guardar para establecer los permisos.

A continuación, debe presionar el botón Atrás y luego crear un usuario. Se le pedirá que proporcione un nombre de usuario / contraseña y luego haga clic en el botón de guardar.

Ahora, cuando alguien intenta visitar el directorio de administración de WordPress o wp-admin en su sitio web, se le pedirá que introduzca el nombre de usuario y la contraseña.

Para instrucciones más detalladas, vea nuestra guía sobre cómo proteger con contraseña el directorio admin (wp-admin) de WordPress.

3. Siempre use contraseñas seguras

Utilice siempre contraseñas seguras para todas sus cuentas en línea, incluyendo su sitio de WordPress. Recomendamos utilizar una combinación de letras, números y caracteres especiales en sus contraseñas. Esto dificulta que los hackers adivinen su contraseña.

A menudo los principiantes nos preguntan cómo recordar todas esas contraseñas. La respuesta más simple es que no es necesario. Hay algunas aplicaciones de administración de contraseñas muy buenas que puedes instalar en tu computadora y teléfonos.

Para obtener más información sobre este tema, consulte nuestra guía sobre la mejor manera de administrar las contraseñas para principiantes de WordPress.

4. Usar la verificación de dos pasos para la pantalla de inicio de sesión de WordPress

La verificación en dos pasos añade otra capa de seguridad a sus contraseñas. En lugar de utilizar únicamente la contraseña, te pide que introduzcas un código de verificación generado por la aplicación Google Authenticator en tu teléfono.

Incluso si alguien es capaz de adivinar tu contraseña de WordPress, necesitará el código del Autenticador de Google para entrar.

Para instrucciones detalladas paso a paso vea nuestra guía sobre cómo configurar la verificación de 2 pasos en WordPress usando Google Authenticator.

5. Limitar intentos de inicio de sesión

Por defecto, WordPress permite a los usuarios introducir contraseñas tantas veces como quieran. Esto significa que alguien puede seguir intentando adivinar su contraseña de WordPress introduciendo diferentes combinaciones. También permite a los hackers utilizar scripts automatizados para descifrar contraseñas.

Para solucionar este problema, debe instalar y activar el plugin Login LockDown. Tras la activación, vaya a la página Settings » Login LockDown para configurar los ajustes del plugin.

Para instrucciones detalladas, vea nuestra guía sobre por qué debe limitar los intentos de inicio de sesión en WordPress.

6. Limitar el acceso de inicio de sesión a las direcciones IP

Otra gran manera de asegurar el acceso a WordPress es limitando el acceso a direcciones IP específicas. Este consejo es particularmente útil si usted o sólo unos pocos usuarios de confianza necesitan acceso al área de administración.

Simplemente agregue este código a su archivo.htaccess.

123456789101112AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName «WordPress Admin Access Control «AuthType Basicorder deny,allowdeny from all# whitelist La dirección IP de Syed permite desde xx.xx.xx.xxx# La dirección IP de David permite desde xx.xx.xx.xx.xxx

No olvide reemplazar los valores xx con su propia dirección IP. Si utiliza más de una dirección IP para acceder a Internet, asegúrese de añadirlas también.

Para instrucciones detalladas, vea nuestra guía sobre cómo limitar el acceso a WordPress admin usando .htaccess.

7. Desactivar sugerencias de inicio de sesión

En un intento fallido de inicio de sesión, WordPress muestra errores que indican a los usuarios si su nombre de usuario era incorrecto o la contraseña. Estas sugerencias de inicio de sesión pueden ser utilizadas por alguien para intentos maliciosos.

Puede ocultar fácilmente estas sugerencias de inicio de sesión añadiendo este código al archivo functions.php de su tema o a un plugin específico del sitio.

1234functionno_wordpress_errors(){devuelveAlgo anda mal;}add_filter(login_errors, no_wordpress_errors);

8. Requiere que los usuarios usen contraseñas seguras

Si ejecuta un sitio de WordPress de varios autores, esos usuarios pueden editar su perfil y usar una contraseña débil. Estas contraseñas pueden ser descifradas y dar acceso a alguien al área de administración de WordPress.

Para solucionar este problema, puede instalar y activar el complemento Force Strong Passwords. Funciona desde el primer momento, y no hay ajustes que pueda configurar. Una vez activado, evitará que los usuarios guarden contraseñas más débiles.

No comprobará la seguridad de la contraseña de las cuentas de usuario existentes. Si un usuario ya está usando una contraseña débil, entonces podrá continuar usando su contraseña.

9. Restablecer contraseña para todos los usuarios

¿Preocupado por la seguridad de la contraseña en su sitio WordPress multiusuario? Puede pedir fácilmente a todos sus usuarios que restablezcan sus contraseñas.

Primero, debe instalar y activar el plugin de Restablecimiento de Contraseña de Emergencia. Una vez activada, vaya a la página Users » Emergency Password Reset y haga clic en el botón Reset All Passwords (Restablecer todas las contraseñas).

Para instrucciones detalladas, vea nuestra guía sobre cómo restablecer contraseñas para todos los usuarios en WordPress

10. Mantener WordPress actualizado

WordPress a menudo lanza nuevas versiones del software. Cada nueva versión de WordPress contiene importantes correcciones de errores, nuevas características y correcciones de seguridad.

El uso de una versión anterior de WordPress en su sitio lo deja abierto a exploits conocidos y vulnerabilidades potenciales. Para arreglar esto, necesitas asegurarte de que estás usando la última versión de WordPress. Para más información sobre este tema, vea nuestra guía sobre por qué siempre debe usar la última versión de WordPress.

Del mismo modo, los plugins de WordPress también se actualizan a menudo para introducir nuevas funciones o solucionar problemas de seguridad y de otro tipo. Asegúrate de que tus plugins de WordPress también estén actualizados.

11. Crear páginas de registro e inicio de sesión personalizadas

Muchos sitios de WordPress requieren que los usuarios se registren. Por ejemplo, los sitios de membresía, los sitios de administración de aprendizaje o las tiendas en línea necesitan que los usuarios creen una cuenta.

Sin embargo, estos usuarios pueden utilizar sus cuentas para iniciar sesión en el área de administración de WordPress. Esto no es un gran problema, ya que sólo podrán hacer las cosas permitidas por su rol de usuario y sus capacidades. Sin embargo, le impide limitar adecuadamente el acceso a las páginas de inicio de sesión y de registro, ya que necesita esas páginas para que los usuarios se registren, gestionen su perfil e inicien sesión.

La manera más sencilla de solucionar este problema es crear páginas personalizadas de inicio de sesión y registro, de modo que los usuarios puedan registrarse y conectarse directamente desde su sitio web.

Para instrucciones detalladas paso a paso, vea nuestra guía sobre cómo crear páginas personalizadas de inicio de sesión y registro en WordPress.

12. Aprenda sobre los roles y permisos de usuario de WordPress

WordPress viene con un poderoso sistema de gestión de usuarios con diferentes roles y capacidades. Al agregar un nuevo usuario a su sitio de WordPress puede seleccionar un rol de usuario para ellos. Este rol de usuario define lo que puede hacer en su sitio WordPress.

Asignar un rol de usuario incorrecto puede dar a las personas más capacidades de las que necesitan. Para evitar esto, necesita entender qué capacidades vienen con diferentes roles de usuario en WordPress. Para más información sobre este tema, consulte nuestra guía para principiantes sobre roles de usuario y permisos de WordPress.

13. Limitar el acceso al panel de control

Algunos sitios de WordPress tienen ciertos usuarios que necesitan acceso al tablero y otros que no. Sin embargo, por defecto todos pueden acceder al área de administración.

Para solucionar este problema, debe instalar y activar el plugin Quitar acceso al panel de control. Tras la activación, vaya a la página Settings » Dashboard Access y seleccione los roles de los usuarios que tendrán acceso al área de administración de su sitio.

Para instrucciones más detalladas, vea nuestra guía sobre cómo limitar el acceso al dashboard en WordPress.

14. Cerrar sesión de usuarios inactivos

WordPress no cierra automáticamente la sesión de los usuarios hasta que éstos cierran explícitamente la sesión o cierran la ventana del navegador. Esto puede ser una preocupación para los sitios de WordPress con información sensible. Es por eso que los sitios web y aplicaciones de las instituciones financieras cierran automáticamente la sesión de los usuarios si no han estado activos.

Para solucionar este problema, puede instalar y activar el plugin Idle User Logout. Tras la activación, vaya a la página Settings » Idle User Logout e introduzca el tiempo después del cual desea que los usuarios cierren la sesión automáticamente.

Para más detalles, vea nuestro artículo sobre cómo cerrar automáticamente la sesión de usuarios inactivos en WordPress.

Esperamos que este artículo le haya ayudado a aprender algunos nuevos consejos y hacks para proteger su área de administración de WordPress. También puedes ver nuestra guía de seguridad de WordPress paso a paso para principiantes.

Si te ha gustado este artículo, suscríbete a nuestros tutoriales de vídeo de YouTube Channel for WordPress. También puede encontrarnos en Twitter y Facebook.

Deja un comentario