14 consejos vitales para proteger su área de administración de WordPress (actualizado)
¿Estás viendo muchos ataques en tu área de administración de WordPress? Proteger el área de administración del acceso no autorizado le permite bloquear muchas amenazas de seguridad comunes. En este artículo, le mostraremos algunos de los consejos y trucos más importantes para proteger su área de administración de WordPress..
1. Utilice un servidor de seguridad de aplicaciones web
Un firewall de aplicación de sitio web o WAF monitorea el tráfico del sitio web y bloquea las solicitudes sospechosas para que no puedan llegar a su sitio web.
Si bien hay varios complementos de firewall de WordPress, recomendamos usar Sucuri. Es un servicio de seguridad y monitoreo de sitios web que ofrece un WAF basado en la nube para proteger su sitio web..
Todo el tráfico de su sitio web pasa primero a través de su proxy en la nube, donde analizan cada solicitud y evitan que los sospechosos lleguen a su sitio web. Previene su sitio web de posibles intentos de piratería, phishing, malware y otras actividades maliciosas.
Para más detalles, vea cómo Sucuri nos ayudó a bloquear 450,000 ataques en un mes.
2. Contraseña proteger el directorio de administración de WordPress
Su área de administración de WordPress ya está protegida por su contraseña de WordPress. Sin embargo, agregar protección de contraseña a su directorio de administrador de WordPress agrega otra capa de seguridad a su sitio web.
Primero inicie sesión en el panel de control de cPanel de WordPress y luego haga clic en el ícono 'Protección de directorios de contraseña' o 'Privacidad del directorio'.
A continuación, deberá seleccionar su carpeta wp-admin, que normalmente se encuentra en el directorio / public_html /.
En la siguiente pantalla, debe marcar la casilla junto a la opción "Proteger con contraseña este directorio" y proporcionar un nombre para el directorio protegido.
Después de eso, haga clic en el botón Guardar para establecer los permisos..
A continuación, debe presionar el botón Atrás y luego crear un usuario. Se le pedirá que proporcione un nombre de usuario / contraseña y luego haga clic en el botón Guardar.
Ahora, cuando alguien intente visitar el directorio de WordPress admin o wp-admin en su sitio web, se le pedirá que ingrese el nombre de usuario y la contraseña.
Para obtener instrucciones más detalladas, consulte nuestra guía sobre cómo proteger con contraseña el directorio de administración de WordPress (wp-admin).
3. Utilice siempre contraseñas seguras
Siempre use contraseñas seguras para todas sus cuentas en línea, incluido su sitio de WordPress. Recomendamos el uso de una combinación de letras, números y caracteres especiales en sus contraseñas. Esto hace que sea más difícil para los hackers adivinar su contraseña.
Los principiantes nos preguntan a menudo cómo recordar todas esas contraseñas. La respuesta más simple es que no es necesario. Hay algunas aplicaciones de administrador de contraseñas realmente excelentes que puede instalar en su computadora y teléfonos.
Para obtener más información sobre este tema, consulte nuestra guía sobre la mejor manera de administrar las contraseñas para los principiantes de WordPress.
4. Utilice la verificación de dos pasos para la pantalla de inicio de sesión de WordPress
La verificación en dos pasos agrega otra capa de seguridad a sus contraseñas. En lugar de usar solo la contraseña, le solicita que ingrese un código de verificación generado por la aplicación Google Authenticator en su teléfono.
Incluso si alguien puede adivinar su contraseña de WordPress, seguirá necesitando el código de Google Authenticator para ingresar.
Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo configurar la verificación de 2 pasos en WordPress mediante el Autenticador de Google..
5. Limitar los intentos de inicio de sesión
Por defecto, WordPress permite a los usuarios ingresar contraseñas tantas veces como lo deseen. Esto significa que alguien puede seguir intentando adivinar su contraseña de WordPress ingresando diferentes combinaciones. También permite a los piratas informáticos usar scripts automatizados para descifrar contraseñas.
Para solucionar este problema, debe instalar y activar el complemento Login LockDown. Tras la activación, vaya a visitar Configuraciones "Login LockDown página para configurar los ajustes del plugin.
Para obtener instrucciones detalladas, consulte nuestra guía sobre por qué debería limitar los intentos de inicio de sesión en WordPress.
6. Limitar el acceso de inicio de sesión a direcciones IP
Otra gran manera de asegurar el inicio de sesión de WordPress es limitando el acceso a direcciones IP específicas. Esta sugerencia es particularmente útil si usted o solo unos pocos usuarios de confianza necesitan acceso al área de administración.
Simplemente agregue este código a su archivo .htaccess.
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basic denegar, permitir denegar de todas # la dirección IP de Syed permitir desde xx.xx.xx.xxx # whitelist la dirección IP de David permitir desde xx.xx .xx.xxx
No olvide reemplazar los valores xx con su propia dirección IP. Si usa más de una dirección IP para acceder a Internet, asegúrese de agregarlas también.
Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo limitar el acceso a los administradores de WordPress usando .htaccess.
7. Inhabilitar sugerencias de inicio de sesión
En un intento fallido de inicio de sesión, WordPress muestra errores que indican a los usuarios si su nombre de usuario era incorrecto o la contraseña. Estas sugerencias de inicio de sesión pueden ser utilizadas por alguien para intentos maliciosos.
Puede ocultar fácilmente estas sugerencias de inicio de sesión agregando este código al archivo functions.php de su tema o un complemento específico del sitio.
function no_wordpress_errors () return 'Algo está mal!'; add_filter ('login_errors', 'no_wordpress_errors');
8. Exigir a los usuarios que usen contraseñas seguras
Si ejecuta un sitio de WordPress de varios autores, esos usuarios pueden editar su perfil y usar una contraseña débil. Estas contraseñas se pueden descifrar y dar acceso a alguien al área de administración de WordPress.
Para solucionar este problema, puede instalar y activar el complemento Forzar contraseñas fuertes. Funciona fuera de la caja, y no hay configuraciones para configurar. Una vez activado, evitará que los usuarios guarden contraseñas más débiles.
No comprobará la seguridad de la contraseña de las cuentas de usuario existentes. Si un usuario ya está usando una contraseña débil, entonces podrá continuar usando su contraseña.
9. Restablecer contraseña para todos los usuarios
¿Preocupado por la seguridad de la contraseña en su sitio de WordPress multiusuario? Puede pedir fácilmente a todos sus usuarios que reinicien sus contraseñas.
Primero, necesita instalar y activar el complemento de restablecimiento de contraseña de emergencia. Tras la activación, vaya a visitar Usuarios »Restablecimiento de contraseña de emergencia página y haga clic en el botón 'Restablecer todas las contraseñas'.
Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo restablecer las contraseñas de todos los usuarios en WordPress
10. Mantén WordPress actualizado
WordPress a menudo lanza nuevas versiones del software. Cada nueva versión de WordPress contiene correcciones de errores importantes, nuevas características y correcciones de seguridad.
El uso de una versión anterior de WordPress en su sitio lo deja abierto a vulnerabilidades conocidas y posibles vulnerabilidades. Para solucionar este problema, debe asegurarse de estar usando la última versión de WordPress. Para obtener más información sobre este tema, consulte nuestra guía sobre por qué debería usar siempre la última versión de WordPress.
De manera similar, los complementos de WordPress a menudo también se actualizan para introducir nuevas funciones o corregir la seguridad y otros problemas. Asegúrese de que sus complementos de WordPress también estén actualizados.
11. Crear páginas personalizadas de inicio de sesión y registro
Muchos sitios de WordPress requieren que los usuarios se registren. Por ejemplo, los sitios de membresía, los sitios de administración de aprendizaje o las tiendas en línea necesitan que los usuarios creen una cuenta.
Sin embargo, estos usuarios pueden usar sus cuentas para iniciar sesión en el área de administración de WordPress. Este no es un gran problema, ya que solo podrán hacer las cosas permitidas por su función y capacidades de usuario. Sin embargo, le impide limitar adecuadamente el acceso a las páginas de inicio de sesión y registro, ya que necesita esas páginas para que los usuarios puedan registrarse, administrar su perfil e iniciar sesión..
La manera fácil de solucionar este problema es mediante la creación de páginas de registro e inicio de sesión personalizadas, para que los usuarios puedan registrarse e iniciar sesión directamente desde su sitio web..
Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo crear páginas de registro e inicio de sesión personalizadas en WordPress.
12. Aprende sobre los roles y permisos de usuario de WordPress
WordPress viene con un poderoso sistema de administración de usuarios con diferentes funciones y capacidades de usuario. Al agregar un nuevo usuario a su sitio de WordPress, puede seleccionar un rol de usuario para ellos. Este rol de usuario define lo que pueden hacer en su sitio de WordPress.
Asignar un rol de usuario incorrecto puede dar a las personas más capacidades de las que necesitan. Para evitar esto, debe comprender qué capacidades vienen con diferentes roles de usuario en WordPress. Para obtener más información sobre este tema, consulte nuestra guía para principiantes de los roles y permisos de usuario de WordPress.
13. Limitar el acceso al panel de control
Algunos sitios de WordPress tienen ciertos usuarios que necesitan acceso al panel de control y algunos usuarios que no lo tienen. Sin embargo, por defecto todos pueden acceder al área de administración..
Para solucionar este problema, debe instalar y activar el complemento Eliminar acceso al panel de control. Tras la activación, vaya a Configuración "Acceso al panel de control página y seleccione qué roles de usuarios tendrán acceso al área de administración en su sitio.
Para obtener instrucciones más detalladas, consulte nuestra guía sobre cómo limitar el acceso al panel de control en WordPress.
14. Cerrar sesión usuarios inactivos
WordPress no cierra la sesión de los usuarios automáticamente hasta que cierran sesión o cierran explícitamente la ventana del navegador. Esto puede ser una preocupación para los sitios de WordPress con información confidencial. Es por eso que los sitios web y las aplicaciones de las instituciones financieras cierran automáticamente la sesión de los usuarios si no han estado activos.
Para solucionar este problema, puede instalar y activar el complemento de cierre de sesión de usuario inactivo. Tras la activación, vaya a Configuración "Inactivo de sesión del usuario inactivo página e ingrese el tiempo después del cual desea que los usuarios cierren sesión automáticamente.
Para obtener más detalles, consulte nuestro artículo sobre cómo cerrar automáticamente la sesión de usuarios inactivos en WordPress.
Esperamos que este artículo le haya ayudado a conocer algunos consejos y trucos nuevos para proteger su área de administración de WordPress. También es posible que desee ver nuestra guía paso a paso de seguridad de WordPress para principiantes..
Si le ha gustado este artículo, suscríbase a nuestros tutoriales en video del Canal de YouTube para WordPress. También puedes encontrarnos en Twitter y Facebook..