X

Cómo limitar los intentos de inicio de sesión en WordPress (paso a paso)

How to limit login attempts

¿Le preocupa que los piratas informáticos puedan entrar en su sitio?

Por defecto, WordPress le permite probar un número ilimitado de nombres de usuario y contraseñas para acceder a su sitio.

Si bien esto le da una mejor experiencia de inicio de sesión, también da a los hackers la oportunidad de entrar en su sitio usando “ataques de fuerza bruta”, donde hacen miles de intentos para adivinar sus credenciales de inicio de sesión.

En esta entrada, le mostraremos cómo limitar los intentos de inicio de sesión en su sitio para impedir que los hackers accedan a él.

Pero antes, aclaremos qué son los ataques de fuerza bruta y por qué son un problema tan grave.

¿Qué es exactamente un ataque de fuerza bruta?

Muchas personas en Internet establecen nombres de usuario comunes y contraseñas débiles como sus credenciales de inicio de sesión. Seleccionan credenciales fáciles de recordar y que requieran el mínimo esfuerzo para escribirlas.

En el caso de los nombres de usuario, los más comunes son “admin” o el nombre real del usuario. Y las contraseñas suelen ser “123456” o “qwerty”.

Los piratas informáticos son muy conscientes de ello y programan bots para encontrar la página de inicio de sesión de tu sitio y luego probar una larga lista de credenciales de uso común y diferentes combinaciones de ellas.

Estos bots son capaces de intentar cientos de combinaciones en cuestión de segundos. Y cuando adivinan la correcta, irrumpen en su sitio y causan daños importantes.

La mejor forma de prevenir estos ataques de fuerza bruta es limitando los intentos de inicio de sesión en tu sitio. Así, cuando un usuario introduce credenciales incorrectas, digamos 3 o 5 veces, se le bloquea.

Lost password in WordPress

Los usuarios tendrán que hacer clic en la opción “Ha perdido su contraseña” para recuperarla.

Dicho esto, limitar los intentos de inicio de sesión no basta para bloquear a los hackers y otras amenazas.

Debe utilizar una solución de seguridad integral que proteja su sitio web por completo de este tipo de ataques. Esto incluye protección CAPTCHA, autenticación de 2 factores, protección de cortafuegos y listas de bloqueo de IP.

Con esta mejor comprensión de los ataques de fuerza bruta, vamos a empezar a proteger su sitio.

Limitar los intentos de inicio de sesión en su sitio WordPress

Si quieres una solución sencilla y gratuita para limitar los intentos de inicio de sesión, echa un vistazo al plugin Limit Login Attempts Reloaded. Simplemente necesita instalar el plugin en su sitio y automáticamente aplicará la medida de seguridad a su sitio.

Dicho esto, hay mucho más sobre la seguridad de los sitios web y los ataques de fuerza bruta.

Una solución de seguridad más completa para limitar los intentos de inicio de sesión y proteger su sitio es utilizar Sucuri. Es una solución de seguridad total que viene con todas las medidas de seguridad que necesita para proteger su sitio.

Sucuri WordPress Malware Removal Plugin

El Firewall de Aplicaciones Web Sucuri detecta navegadores falsos y bots maliciosos y luego los bloquea automáticamente.

Además, cuenta con un potente motor de correlación que bloquea los intentos de fuerza bruta sin afectar a los usuarios de su sitio web.

Así es como Sucuri bloquea los ataques de fuerza bruta en su sitio web:

  • Limitar los intentos de inicio de sesión – Los usuarios tendrán un número máximo de intentos para introducir las credenciales correctas antes de que se les pida restablecer su contraseña.
  • Detección de firmas – Sucuri comprueba patrones conocidos de hackers y malware y los bloquea antes de que lleguen a su sitio.
  • Bloqueo de bots y escaneos – Identifica y bloquea herramientas automatizadas y bots de fuerza bruta que atacan su sitio.
  • Autenticación de 2 factores – Puede añadir una capa adicional de seguridad en su sitio que requiera que los usuarios proporcionen una contraseña de un solo uso generada en tiempo real.
  • CAPTCHA y códigos de acceso – Le permite añadir protección CAPTCHA a su página de inicio de sesión, por lo que los bots serán incapaces de pasar su autenticación de inicio de sesión. O incluso puede pedir a los usuarios que introduzcan un código de acceso estático.
  • Bloqueo geográfico – Si el firewall de Sucuri detecta que la mayoría de los intentos de fuerza bruta provienen de una ubicación en particular, puede bloquear a los visitantes de esos rangos de IP o incluso bloquear el acceso a su sitio a todo un país.
  • Listablanca – También puede bloquear a todos los usuarios de su página de inicio de sesión y poner en la lista blanca sólo las direcciones IP de su equipo de confianza.

Ahora, vamos a configurar Sucuri en su sitio para implementar intentos de inicio de sesión limitados y otras medidas de protección.

Paso 1: Instalar y activar Sucuri

Sucuri tiene un escáner de seguridad gratuito disponible en el repositorio de WordPress.

Sucuri in WordPress org

Le recomendamos instalar y activar este plugin en su sitio primero. Esto le permitirá acceder y operar sus ajustes de seguridad directamente desde su panel de WordPress.

Para acceder al potente cortafuegos que protegerá tu sitio web de ataques de fuerza bruta, tendrás que suscribirte a la versión Pro.

Le recomendamos que utilice el plan Pro, que cuesta 299 dólares al año. Te da acceso a todas las funciones que necesitas para bloquear no sólo los ataques de fuerza bruta, sino también otros ataques como inyecciones de malware y ataques DDoS.

Una vez que te hayas registrado y creado una cuenta con Sucuri, puedes empezar.

Paso 2: Habilitar Sucuri Security Scanner

Desde su panel de control de WordPress, vaya a la pestaña Sucuri ” Panel de control.

En esta página, tendrá que introducir su clave API. Para ello, haz clic en el botón ” Generar clave API”.

Sucuri generate api key

Se abrirá una ventana emergente en la que se rellenarán previamente el sitio de WordPress y la dirección de correo electrónico del administrador. Puedes cambiarlo si quieres.

A continuación, marca las casillas para aceptar las condiciones del servicio y la política de privacidad. Y selecciona el botón “Enviar” para generar la clave API.

Generate api key in Sucuri

Verás una ventana emergente que dice que tu sitio se ha registrado correctamente. Puedes dirigirte al panel de control de Sucuri.

API successful in Sucuri

Con eso, su sitio tiene un escáner de seguridad activo en su sitio. Te mostrará si tu sitio está limpio o no, y si estás en alguna lista de bloqueo.

Paso 3: Activar el Firewall de Seguridad Sucuri

Para habilitar el firewall de Sucuri, vaya a la pestaña Sucuri ” Firewall (WAF) en su panel de WordPress.

Aquí, tendrás que introducir tu clave API.

Sucuri firewall api key

Puede encontrar esta clave en su cuenta en el sitio web de Sucuri en la pestaña Configuración ” API.

Sucuri api tab

Copie la clave, introdúzcala en su panel de WordPress y guarde la configuración. Y ya está. Su cortafuegos está activado.

Paso 4: Modificar la configuración DNS

Ahora tendrá que dirigir su tráfico al firewall Sucuri para que pueda comprobarlo y filtrar los malos elementos. Una vez hecho esto, dirigirá el tráfico a tu servidor de alojamiento web.

Para configurar esto, vaya a la pestaña Configuración ” General en el panel de Sucuri.

Primero, verás la opción más fácil que es Integración Automática. Si tienes los datos de acceso de tu alojamiento web, puedes utilizar esta opción.

Automatic integration Sucuri firewall

Sólo tienes que seleccionar ‘cPanel’ o ‘Plesk’ hosting. La mayoría de los alojamientos web utilizan cPanel, pero puedes consultar con el equipo de soporte de tu alojamiento si no estás seguro de cuál utilizar.

Tendrás que proporcionar los datos de acceso a tu alojamiento y se integrará automáticamente.

Si esto no funciona para ti, en la misma página, verás opciones para utilizar los servidores DNS de Sucuri o puedes configurar manualmente tus propios servidores DNS.

Point a record to Firewall

Sigue las instrucciones proporcionadas y actualiza la dirección IP para el registro ‘A’ de tu sitio.

Si no entiende qué significa todo esto, no se preocupe. Puedes ponerte en contacto con tu proveedor de alojamiento web o registrador de dominios y ellos te guiarán. O también puedes enviar un ticket a Sucuri, y su equipo te ayudará a cambiar los registros DNS.

Una vez completado, tu tráfico será dirigido primero al firewall de Sucuri y luego de vuelta a tus servidores de alojamiento de WordPress.

Los cambios en sus DNS pueden tardar hasta 48 horas en reflejarse, pero por lo general ocurren en unas pocas horas.

Paso 5: Monitorear su sitio

El firewall de Sucuri protegerá su sitio y bloqueará cualquier ataque de hackers y bots maliciosos. Además, le presentará informes en su panel de control, como los ataques bloqueados, el tráfico medio por hora y el tráfico por país.

Sucuri dashboard

Debe utilizar estos informes para supervisar la seguridad de su sitio y mantenerse al día sobre los ataques fallidos.

Paso 6: Lista blanca de IPs de usuario (Opcional)

En caso de que desee bloquear todas las IPs de acceso a su panel de administración y permitir sólo a su equipo o usuarios autorizados, puede hacerlo en la pestaña Control de Acceso.

Sucuri whitelist

Aquí, puedes añadir todas las IPs que quieras poner en la lista blanca. A continuación, cambia a la pestaña Seguridad.

Verás una opción para habilitar ‘Panel de administración restringido sólo a direcciones IP de la lista blanca’.

Sucuri admin panel whitelist

Marca esta casilla y guarda tus opciones de seguridad. Ahora sólo tus IPs de la lista blanca pueden acceder a tu página de inicio de sesión.

Y ya está. Sucuri aplicará automáticamente la protección de inicio de sesión a su sitio. Y no sólo eso, su sitio estará protegido contra todo tipo de malware y ataques.

Esperamos que este post le haya sido útil. Si desea mejorar aún más la seguridad de su sitio, le recomendamos leer:

Estos posts pueden ayudarte a hacer que la seguridad de tu sitio sea sólida como una roca para que puedas mantener a raya a los hackers.

Comentarios   Deja una respuesta

Añadir un comentario

Nos alegra que haya decidido dejar un comentario. Tenga en cuenta que todos los comentarios se moderan de acuerdo con nuestra política de privacidad , y que todos los enlaces son nofollow. NO utilice palabras clave en el campo del nombre. Tengamos una conversación personal y significativa.

WordPress Launch Checklist

La lista definitiva para lanzar WordPress

Hemos recopilado todos los elementos esenciales de la lista de comprobación para el lanzamiento de su próximo sitio web de WordPress en un práctico ebook.
Sí, envíeme el ¡gratuito!