WordPress viene con funciones de seguridad b\u00e1sicas listas para usar. Sin embargo, estas protecciones est\u00e1ndar pueden no ser suficientes para protegerse de atacantes determinados. La p\u00e1gina de inicio de sesi\u00f3n predeterminada puede ser vulnerable a varias amenazas, entre ellas:<\/p>\n\n\n\n
- \n
- Ataques de fuerza bruta<\/li>\n\n\n\n
- Credential stuffing<\/li>\n\n\n\n
- Phishing<\/li>\n\n\n\n
- Ataques de Hombre en medio (man in the middle)<\/li>\n<\/ul>\n\n\n\n
Para salvaguardar verdaderamente su sitio de WordPress, debe ir m\u00e1s all\u00e1 de la configuraci\u00f3n de seguridad predeterminada e implementar medidas de protecci\u00f3n adicionales.<\/p>\n\n\n\n
A continuaci\u00f3n, mencionaremos algunas de las formas m\u00e1s efectivas de aumentar la seguridad de inicio de sesi\u00f3n de WordPress:<\/p>\n\n\n\n
1. Instalar un plugin de seguridad<\/h1>\n\n\n\n
Los plugin de seguridad ofrecen una protecci\u00f3n integral para su sitio de WordPress. A menudo incluyen caracter\u00edsticas como:<\/p>\n\n\n\n
- \n
- Protecci\u00f3n cortafuegos<\/li>\n\n\n\n
- Escaneo de malware<\/li>\n\n\n\n
- Monitoreo de intentos de inicio de sesi\u00f3n<\/li>\n\n\n\n
- Bloqueo de IP<\/li>\n<\/ul>\n\n\n\n
Hay opciones tanto pagas como gratuitas, el precio var\u00eda dependiendo la cantidad de caracter\u00edsticas que tengan.<\/p>\n\n\n\n
2. Modifique el URL de inicio de sesi\u00f3n predeterminada<\/h1>\n\n\n\n
La URL de inicio de sesi\u00f3n est\u00e1ndar de WordPress es un objetivo bien conocido para los atacantes. Al cambiar esta direcci\u00f3n, puede reducir significativamente la cantidad de ataques que enfrenta su sitio.<\/p>\n\n\n\n
Pasos para cambiar su URL de inicio de sesi\u00f3n de WordPress:<\/p>\n\n\n\n
- \n
- Vaya a Complementos > Agregar nuevo.<\/li>\n\n\n\n
- Descargue, instale y active el complemento WPS Hide Login.<\/li>\n\n\n\n
- Ser\u00e1s redirigido a la p\u00e1gina de configuraci\u00f3n del complemento.<\/li>\n\n\n\n
- Actualice su ruta de inicio de sesi\u00f3n a una nueva URL y gu\u00e1rdela.<\/li>\n<\/ol>\n\n\n\n
Recuerde informar a sus usuarios leg\u00edtimos sobre la nueva direcci\u00f3n de inicio de sesi\u00f3n. Este simple cambio puede mejorar enormemente la seguridad de su sitio al dificultar que posibles intrusos encuentren el punto de entrada.<\/p>\n\n\n\n
3. Aplique pol\u00edticas de contrase\u00f1as seguras<\/h1>\n\n\n\n
Las contrase\u00f1as d\u00e9biles son un riesgo importante para la seguridad. Aliente a todos los usuarios a crear contrase\u00f1as seguras y \u00fanicas para sus cuentas. A continuaci\u00f3n, se ofrecen algunos consejos para la creaci\u00f3n de contrase\u00f1as:<\/p>\n\n\n\n
- \n
- Utilice una combinaci\u00f3n de letras may\u00fasculas y min\u00fasculas<\/li>\n\n\n\n
- Incluir n\u00fameros y caracteres especiales.<\/li>\n\n\n\n
- Haga contrase\u00f1as de al menos 12 caracteres<\/li>\n\n\n\n
- Evite palabras o frases comunes<\/li>\n\n\n\n
- No reutilice contrase\u00f1as en varios sitios<\/li>\n<\/ol>\n\n\n\n
Considere implementar una pol\u00edtica de contrase\u00f1as que haga cumplir estas reglas para todas las cuentas de usuario.<\/p>\n\n\n\n
4. Asegure el directorio wp-admin<\/h1>\n\n\n\n
Otra capa de protecci\u00f3n que puede agregar a su carpeta wp-admin es proteger con contrase\u00f1a su directorio wp-admin, lo que requiere que los usuarios proporcionen un conjunto adicional de credenciales antes de poder acceder a la p\u00e1gina de inicio de sesi\u00f3n de WordPress.<\/p>\n\n\n\n
Para los siguientes pasos, veremos c\u00f3mo funciona este proceso en cPanel:<\/p>\n\n\n\n
- \n
- Inicie sesi\u00f3n en su cPanel.<\/li>\n\n\n\n
- Vaya a la secci\u00f3n Privacidad del directorio.<\/li>\n\n\n\n
- Localice la carpeta public_html\/wp-admin y seleccione Editar.<\/li>\n\n\n\n
- Habilite la protecci\u00f3n con contrase\u00f1a para este directorio.<\/li>\n\n\n\n
- Ingrese un nombre para el directorio protegido y seleccione Guardar.<\/li>\n\n\n\n
- Utilice el campo Crear usuario para agregar un nuevo nombre de usuario y contrase\u00f1a.<\/li>\n\n\n\n
- Seleccione Guardar.<\/li>\n<\/ol>\n\n\n\n
Despu\u00e9s de configurar esto, los usuarios deber\u00e1n ingresar el nombre de usuario y la contrase\u00f1a asignados al directorio para poder ver la p\u00e1gina de inicio de sesi\u00f3n de WordPress. Esto a\u00fan se aplica incluso si ha movido su p\u00e1gina de inicio de sesi\u00f3n a una ubicaci\u00f3n diferente.<\/p>\n\n\n\n
5. Agregue autenticaci\u00f3n multifactor<\/h1>\n\n\n\n
La autenticaci\u00f3n de dos factores (2FA) agrega una capa de seguridad adicional al proceso de inicio de sesi\u00f3n. Luego de ingresar su nombre de usuario y contrase\u00f1a, los usuarios deber\u00e1n proporcionar una segunda forma de verificaci\u00f3n, como, por ejemplo:<\/p>\n\n\n\n
- \n
- Un c\u00f3digo enviado por SMS<\/li>\n\n\n\n
- Un c\u00f3digo de aplicaci\u00f3n de autenticaci\u00f3n<\/li>\n\n\n\n
- Una llave de seguridad f\u00edsica<\/li>\n<\/ul>\n\n\n\n
Google Authenticator de miniOrange es un complemento popular para implementar la autenticaci\u00f3n de dos factores en sitios de WordPress. Ofrece m\u00faltiples m\u00e9todos 2FA y es f\u00e1cil de configurar tanto para administradores como para usuarios.<\/p>\n\n\n\n
6. Realizar auditor\u00edas peri\u00f3dicas de las cuentas de los usuarios.<\/h1>\n\n\n\n
Mantener listas de usuarios limpias es crucial para la seguridad de WordPress. Siga estas mejores pr\u00e1cticas para la gesti\u00f3n de usuarios:<\/p>\n\n\n\n
- \n
- Eliminar cuentas de usuario inactivas.<\/li>\n\n\n\n
- Audite peri\u00f3dicamente los roles y permisos de los usuarios.<\/li>\n\n\n\n
- Utilice cuentas temporales para contribuyentes a corto plazo.<\/li>\n\n\n\n
- Implementar un proceso formal para crear y eliminar cuentas de usuario.<\/li>\n<\/ul>\n\n\n\n
Al mantener ordenada su lista de usuarios reduce los posibles puntos de entrada para los atacantes.<\/p>\n\n\n\n
7. Deshabilite XML-RPC<\/h1>\n\n\n\n
XML-RPC es un protocolo que permite el acceso remoto a sitios de WordPress. Si bien es \u00fatil para algunas aplicaciones, los atacantes tambi\u00e9n pueden aprovecharlo para realizar ataques de fuerza bruta.<\/p>\n\n\n\n
Si no utiliza XML-RPC, es mejor desactivarlo. Puede hacerlo a trav\u00e9s de un complemento de seguridad o agregando el siguiente c\u00f3digo en la parte superior del archivo .htaccess de su sitio:<\/p>\n\n\n
![\"\"](\"https:\/\/cert.pa\/wp-content\/uploads\/2024\/12\/xml.png\")
<\/a><\/figure><\/div>\n\n\n