CSIRT Panama
  • CSIRT Panamá
    • Nosotros
    • RFC 2350
  • Noticias
    • Eventos
    • Tecnología y Seguridad
  • Avisos de Seguridad
  • Documentos
    • Publicaciones
    • Guías y Manuales
  • Capacitación
    • Plan de Contenido
    • Calendario de Cursos
  • Concienciación
  • Estadísticas
    • Estadísticas 2022
    • Estadísticas 2023
  • Videos
  • Contacto

Buenas prácticas para robustecer el login de wordpress

TOPICS:avisos de seguridadloginwordpress

Posted By: CSIRT Panamá December 3, 2024

WordPress es utilizado en una parte importante de los sitios web en Internet. Esta popularidad hace necesaria la implementación de medidas de seguridad estrictas, especialmente para la página de inicio de sesión. Estos puntos de entrada son objetivos principales para piratas informáticos y actores maliciosos. Al implementar las prácticas de seguridad adecuadas descritas en esta guía, puede mantener un inicio de sesión seguro en WordPress y proteger su sitio contra accesos no autorizados y posibles violaciones de datos.

¿Qué tan segura es la página de inicio de sesión de WordPress?

WordPress viene con funciones de seguridad básicas listas para usar. Sin embargo, estas protecciones estándar pueden no ser suficientes para protegerse de atacantes determinados. La página de inicio de sesión predeterminada puede ser vulnerable a varias amenazas, entre ellas:

  • Ataques de fuerza bruta
  • Credential stuffing
  • Phishing
  • Ataques de Hombre en medio (man in the middle)

Para salvaguardar verdaderamente su sitio de WordPress, debe ir más allá de la configuración de seguridad predeterminada e implementar medidas de protección adicionales.

A continuación, mencionaremos algunas de las formas más efectivas de aumentar la seguridad de inicio de sesión de WordPress:

1. Instalar un plugin de seguridad

Los plugin de seguridad ofrecen una protección integral para su sitio de WordPress. A menudo incluyen características como:

  • Protección cortafuegos
  • Escaneo de malware
  • Monitoreo de intentos de inicio de sesión
  • Bloqueo de IP

Hay opciones tanto pagas como gratuitas, el precio varía dependiendo la cantidad de características que tengan.

2. Modifique el URL de inicio de sesión predeterminada

La URL de inicio de sesión estándar de WordPress es un objetivo bien conocido para los atacantes. Al cambiar esta dirección, puede reducir significativamente la cantidad de ataques que enfrenta su sitio.

Pasos para cambiar su URL de inicio de sesión de WordPress:

  1. Vaya a Complementos > Agregar nuevo.
  2. Descargue, instale y active el complemento WPS Hide Login.
  3. Serás redirigido a la página de configuración del complemento.
  4. Actualice su ruta de inicio de sesión a una nueva URL y guárdela.

Recuerde informar a sus usuarios legítimos sobre la nueva dirección de inicio de sesión. Este simple cambio puede mejorar enormemente la seguridad de su sitio al dificultar que posibles intrusos encuentren el punto de entrada.

3. Aplique políticas de contraseñas seguras

Las contraseñas débiles son un riesgo importante para la seguridad. Aliente a todos los usuarios a crear contraseñas seguras y únicas para sus cuentas. A continuación, se ofrecen algunos consejos para la creación de contraseñas:

  1. Utilice una combinación de letras mayúsculas y minúsculas
  2. Incluir números y caracteres especiales.
  3. Haga contraseñas de al menos 12 caracteres
  4. Evite palabras o frases comunes
  5. No reutilice contraseñas en varios sitios

Considere implementar una política de contraseñas que haga cumplir estas reglas para todas las cuentas de usuario.

4. Asegure el directorio wp-admin

Otra capa de protección que puede agregar a su carpeta wp-admin es proteger con contraseña su directorio wp-admin, lo que requiere que los usuarios proporcionen un conjunto adicional de credenciales antes de poder acceder a la página de inicio de sesión de WordPress.

Para los siguientes pasos, veremos cómo funciona este proceso en cPanel:

  1. Inicie sesión en su cPanel.
  2. Vaya a la sección Privacidad del directorio.
  3. Localice la carpeta public_html/wp-admin y seleccione Editar.
  4. Habilite la protección con contraseña para este directorio.
  5. Ingrese un nombre para el directorio protegido y seleccione Guardar.
  6. Utilice el campo Crear usuario para agregar un nuevo nombre de usuario y contraseña.
  7. Seleccione Guardar.

Después de configurar esto, los usuarios deberán ingresar el nombre de usuario y la contraseña asignados al directorio para poder ver la página de inicio de sesión de WordPress. Esto aún se aplica incluso si ha movido su página de inicio de sesión a una ubicación diferente.

5. Agregue autenticación multifactor

La autenticación de dos factores (2FA) agrega una capa de seguridad adicional al proceso de inicio de sesión. Luego de ingresar su nombre de usuario y contraseña, los usuarios deberán proporcionar una segunda forma de verificación, como, por ejemplo:

  • Un código enviado por SMS
  • Un código de aplicación de autenticación
  • Una llave de seguridad física

Google Authenticator de miniOrange es un complemento popular para implementar la autenticación de dos factores en sitios de WordPress. Ofrece múltiples métodos 2FA y es fácil de configurar tanto para administradores como para usuarios.

6. Realizar auditorías periódicas de las cuentas de los usuarios.

Mantener listas de usuarios limpias es crucial para la seguridad de WordPress. Siga estas mejores prácticas para la gestión de usuarios:

  • Eliminar cuentas de usuario inactivas.
  • Audite periódicamente los roles y permisos de los usuarios.
  • Utilice cuentas temporales para contribuyentes a corto plazo.
  • Implementar un proceso formal para crear y eliminar cuentas de usuario.

Al mantener ordenada su lista de usuarios reduce los posibles puntos de entrada para los atacantes.

7. Deshabilite XML-RPC

XML-RPC es un protocolo que permite el acceso remoto a sitios de WordPress. Si bien es útil para algunas aplicaciones, los atacantes también pueden aprovecharlo para realizar ataques de fuerza bruta.

Si no utiliza XML-RPC, es mejor desactivarlo. Puede hacerlo a través de un complemento de seguridad o agregando el siguiente código en la parte superior del archivo .htaccess de su sitio:

Reemplace ALLOWED.IP.GOES.HERE con la dirección IP que desea permitir. Si desea deshabilitar por completo las solicitudes XML-RPC, puede eliminar esta línea.

Sin embargo, mantenga XML-RPC habilitado si usa:

  • La aplicación móvil de WordPress
  • Jetpack
  • Algunos complementos de terceros que lo requieren

Cuando mantenga XML-RPC activo, vigílelo de cerca para detectar cualquier actividad sospechosa.

8. Limite los intentos de inicio de sesión

Limitar el número de intentos de inicio de sesión puede evitar ataques de fuerza bruta. Después de una cantidad determinada de intentos fallidos, el sistema debería bloquear temporalmente la cuenta o dirección IP. Este enfoque frustra eficazmente los intentos de inicio de sesión automatizados y la adivinación de contraseñas.

Muchos complementos de seguridad ofrecen esta función, o puede utilizar un complemento dedicado como Login LockDown.

9. Habilite los cierres de sesión automáticos

De forma predeterminada, las sesiones de WordPress caducan después de 48 horas, o 14 días si selecciona la opción “Recordarme”. Sin embargo, esto todavía te deja vulnerable a cosas como el secuestro de cookies. Los cierres de sesión automáticos ayudan a evitar el acceso no autorizado a través de sesiones abiertas y son especialmente importantes para sitios a los que se accede desde computadoras públicas o compartidas.

Configure un complemento de cierre de sesión automático para finalizar las sesiones de los usuarios después de un período de inactividad. Esto ayudará a reducir el riesgo de secuestro de sesión y acceso no autorizado a cuentas de administrador.

10. Aplicar el principio de privilegio mínimo

Siga el principio de privilegio mínimo al asignar roles de usuario. Otorgue a los usuarios solo los derechos de acceso mínimos necesarios para realizar sus tareas. Este enfoque limita el daño potencial si una cuenta se ve comprometida.

WordPress ofrece varios roles de usuario predeterminados:

Administrador: acceso completo a todas las funciones de WordPress. Puede administrar la configuración del sitio, instalar complementos y temas, editar código y controlar el acceso de los usuarios.

Editor: puede publicar y administrar publicaciones, incluidas las de otros usuarios. Tiene acceso a páginas, comentarios, categorías y etiquetas, pero no puede modificar la configuración del sitio.

Autor: Puede publicar y gestionar sus propias publicaciones. Puede cargar archivos e imágenes, pero no puede editar páginas ni publicaciones de otros usuarios.

Colaborador: puede escribir y administrar sus propias publicaciones, pero no puede publicarlas. No se pueden cargar archivos multimedia. Las publicaciones requieren la aprobación de un editor o administrador.

Suscriptor: Puede leer contenido y administrar su propio perfil. Normalmente se utiliza para sitios con contenido restringido o funciones de membresía.

Asigne roles con cuidado y considere crear roles personalizados con permisos específicos si es necesario.

11. Instale un certificado SSL

Los certificados Secure Sockets Layer (SSL) cifran los datos transmitidos entre los navegadores de los usuarios y su sitio web. Este cifrado es vital para proteger información confidencial, como las credenciales de inicio de sesión.

Los beneficios de usar SSL incluyen:

  • Transmisión de datos cifrada
  • Clasificación mejorada en los motores de búsqueda
  • Mayor confianza del usuario

También puede obtener fácilmente un certificado SSL gratuito a través de Let’s Encrypt. Alternativamente, puede comprar un certificado SSL de un proveedor confiable.

12. Ocultar la versión de WordPress

Ocultar su versión de WordPress puede hacer que a los atacantes les resulte más difícil explotar vulnerabilidades específicas de la versión. Agregue esta línea a su archivo funciones.php:

Esto eliminará el número de versión de WordPress del código de su sitio y debería ayudar a disuadir los ataques automatizados.

La implementación de estas medidas de seguridad ayudará significativamente a reducir el riesgo de acceso no autorizado y posibles violaciones de datos, protegiendo tanto sus datos como a sus usuarios.

Los cuidados que debemos de tener en Discord
Privacidad y Seguridad en WhatsApp
  • Previous post

Campaña Nacional de Ciberseguridad

Entradas recientes

  • Buenas prácticas para robustecer el login de wordpress
  • CSIRT Panamá 19-Nov-204 Explotación Activa de Fallas Críticas en Kemp LoadMaster y VMware vCenter Server
  • CISRT Panamá, 2024-Nov-18,  Vulnerabilidad Crítica en el Complemento Really Simple Security para WordPress
  • CSIRT Panamá Aviso 2024-nov-13 Actualizaciones de seguridad de Microsoft para Noviembre 2024.
  • CSIRT Panamá, Octubre 2024: “Mes de la Concientización en Ciberseguridad”.

CATEGORIAS

  • Avisos de Seguridad (437)
  • CSIRT Panamá (3)
  • Documentos de interés (2)
  • Eventos (83)
  • Tecnología y Seguridad (55)
  • Uncategorized (1)

Formamos parte de:

Archives

December 2024
S M T W T F S
1234567
891011121314
15161718192021
22232425262728
293031  
« Nov    

December 3, 2024

Buenas prácticas para robustecer el login de wordpress

November 19, 2024

CSIRT Panamá 19-Nov-204 Explotación Activa de Fallas Críticas en Kemp LoadMaster y VMware vCenter Server

November 18, 2024

CISRT Panamá, 2024-Nov-18,  Vulnerabilidad Crítica en el Complemento Really Simple Security para WordPress

Ciudad de Panamá
Avenida Rómulo Bethancourt, Balboa, Edificio 757
520-2378     info@cert.pa     Llave Pública de CSIRT PANAMA
Copyright © 2023 | CSIRT Panamá, Autoridad Nacional para la Innovación Gubernamental. Todos los derechos reservados.