Acordamos desde el principio que a nadie le gusta usar contraseñas largas y complicadas. Cuantos más caracteres le agregue, cuanto más seguro lo haga, mayores serán las posibilidades de que cometa un error cuando intente iniciar sesión en aplicaciones, cuentas de servicio y ... su sitio web de WordPress. Aún así, lo revisa todo porque la seguridad es importante.
Para alguien que está decidido a mantener su sitio web lo más seguro posible con contraseñas largas y complicadas, limitar el número de intentos de inicio de sesión en WordPress puede parecer lo último que querría hacer. Pero, como dijimos antes, la seguridad es importante, y forzar un tiempo de espera entre un número determinado de intentos de inicio de sesión es una medida de seguridad válida..
En este artículo, te mostraremos:
¿Por qué poner un límite a los intentos de inicio de sesión en WordPress?
La mayoría de los propietarios y administradores de sitios web saben que no son las únicas personas que iniciarán sesión en su sitio web. Todos, desde los creadores de contenido hasta los especialistas en optimización de motores de búsqueda, necesitarán acceso al backend de su sitio web. Pero aunque puede hacer que sus días laborales sean un poco más difíciles en los días en que tienen problemas para recordar sus datos de inicio de sesión, no son las personas para las que está configurando una limitación de inicio de sesión en su sitio web.
Las personas contra las que protege su sitio web con la limitación de intentos de inicio de sesión son piratas informáticos con sus bots y scripts. Entre las muchas técnicas, herramientas y vectores de ataque que pueden emplear para dañar su sitio web, aprovecharlo para obtener ganancias o simplemente meterse con usted, Los piratas informáticos pueden intentar algo llamado ataque de fuerza bruta para obtener acceso al backend de su sitio web..
Cuando se utiliza un ataque de fuerza bruta para intentar acceder al backend de su sitio web, un pirata informático intentará efectivamente combinaciones de letras, números y caracteres hasta que encuentre uno que le permita acceder al sitio web. Por lo general, no realizarán la piratería por su cuenta; usarán scripts para probar decenas de miles de contraseñas cada segundo hasta que encuentren una.. Eso significa que, dependiendo de qué tan fuerte sea la contraseña que use, pueden tardar desde segundos hasta años en descifrar su contraseña.
Obligar al pirata informático a tomarse un descanso cada par de intentos no hace que su sitio web sea impenetrable, pero hace que piratearlo lleve más tiempo. Cuando intentar descifrar la contraseña se vuelve poco práctico, demasiado costoso en términos de tiempo y recursos, es probable que el pirata informático pase al siguiente objetivo.. Si lo tienen para ti, intentarán un tipo diferente de ataque. De cualquier manera, es poco probable que sigan intentando abrirse camino por la fuerza bruta.
Cómo agregar un limitador de intentos de inicio de sesión a WordPress
La forma más sencilla de limitar los intentos de inicio de sesión en WordPress es mediante un plugin. El plugin Limit Login Attempts Reloaded es una excelente opción por un par de razones: es gratis, tiene muchas instalaciones activas y las personas que lo usan en su mayoría no tienen nada malo que decir al respecto. Puede instalarlo sobre otros plugins de seguridad que ya usa si no tienen una función de limitación de intentos de inicio de sesión.
Una vez que haya instalado y activado el plugin, puede ir a Configuración> Limitar intentos de inicio de sesión para configurar el plugin. El primer conjunto de opciones a las que accede se encuentra en la pestaña Panel de control. Allí, podrá acceder a algunas estadísticas de bloqueo, pero lo que es más importante, podrá incluir en la lista negra y en la lista blanca ciertas IP y nombres de usuario..
En la pestaña Configuración, podrá elegir si necesita que el plugin sea compatible con GDPR y si desea que se le notifique por correo electrónico cuando se produzcan bloqueos.
La configuración del trabajador es donde puede Configure el número de reintentos permitidos, cuánto tiempo desea que dure el bloqueo y cuánto tiempo desea esperar antes de que se restablezcan los reintentos..
La pestaña final contiene el código de depuración que debe enviar al soporte del fabricante del plugin si algo sale mal.
Una vez que haya ajustado todas las configuraciones y las haya guardado, el plugin comenzará a hacer su trabajo. Cuando alguien intenta iniciar sesión con una contraseña o un nombre de usuario incorrectos, se le notificará la cantidad de intentos que le quedan..
Si no logran proporcionar un nombre de usuario y contraseña válidos en los intentos que les quedan, se les impedirá volver a intentarlo durante un período que hayas establecido.
Cómo hacer que sus contraseñas sean más seguras
Limitar los intentos de inicio de sesión no debería ser la única medida que tome para proteger su sitio web. Dar prioridad a la seguridad es algo que debe hacer al elegir un proveedor de alojamiento web. Es la razón por la que generalmente es mejor optar por ese tema premium de WordPress que descargar quién sabe qué y usarlo para personalizar su sitio web. Y solo entonces debería comenzar a pensar en plugins que podrían ayudarlo a proteger su sitio web.
Mucho de esto también depende de ti. Por ejemplo, saber cómo crear, almacenar y usar contraseñas es casi tan necesario como saber cómo encender su ordenador o teléfono inteligente; no debería poder hacer nada en línea sin tener ese conocimiento.
Estos son algunos de los conceptos básicos de la seguridad de las contraseñas:
- Tu contraseña debe ser lo más larga posible. Cuanto más tiempo, mejor, en realidad, ya que más personajes hacen que sea más lento romper.
- Utilice una combinación aleatoria de letras, caracteres, números y casos.. Evite el uso de palabras, ya que son susceptibles a ataques de diccionario.
- No le digas tu contraseña a nadie. Las personas suelen ser el eslabón más débil de un sistema de seguridad. Cuantas menos personas conozcan una contraseña, más segura será.
- Intente cambiarlos con una frecuencia razonable. No necesita una contraseña nueva todos los días. Un par de veces al año funcionaría muy bien.
- Utilice un buen administrador de contraseñas. Un buen administrador de contraseñas puede ayudarlo con todo, desde generar contraseñas súper seguras hasta cambiarlas con regularidad.
Una vez que haya hecho todo esto, debe esperar que su contraseña esté razonablemente bien protegida contra la mayor parte de las posibles amenazas. Todo lo que queda por hacer es estar atento a las nuevas amenazas y luego tomar medidas contra ellas.
Vamos a envolverlo
Nunca es una buena idea dejar que alguien deambule por el backend de su sitio web. Para eso tenemos contraseñas: para ayudarnos a controlar el acceso a las partes críticas de nuestros sitios web.
Pero el mero hecho de que existan contraseñas no impedirá que los malos actores intenten acceder a su sitio web por sus propias razones, a menudo nefastas. Es por eso que necesita ayudar a que sus contraseñas hagan su trabajo. Puede hacerlos fuertes, variados y cambiarlos con frecuencia. Pero también puede poner un límite a los intentos de inicio de sesión en su sitio web de WordPress y enviar un mensaje claro a cualquiera que intente utilizar la fuerza bruta en su sitio web.