Problema de seguridad con el inicio de sesión en WordPress

La popularidad que ha adquirido WordPress en los últimos años ha provocado también que se haya transformado en el blanco de muchos ataques y hackeos. Estos son muy comunes en todos los sitios que utilizan la plataforma, por lo que nunca está demás el trabajar para hacer nuestro sitio más robusto y menos vulnerable. Aquí mostraré como reforzar un aspecto en concreto del sitio: el inicio de sesión en WordPress.

Una situación común de debilidad

Hay dos atributos del inicio de sesión de los sitios WordPress que son muy comunes y por ello representan un punto débil para los administradores.

  1. El primero consiste en que una gran cantidad de sitios mantiene para su página de inicio la dirección que WordPress trae por defecto. Es la URL del dominio seguida por “/wp-login.php”. Hay varias formas sencillas de cambiar esta URL, con lo que ya estaríamos haciendo la web más segura.
  2. Un segundo punto consiste en que muchos administradores mantienen como nombre de usuario el “admin”. Con ello, los intrusos ya tienen un campo menos que identificar y sólo les resta la contraseña. Hay programas que intentan diferentes contraseñas una y otra vez buscando adivinarla para poder ingresar.

Otra medida de seguridad inteligente es limitar el número de intentos de entrada a una cierta cantidad, luego de los cuales podría bloquearse el ingreso a esa dirección IP. Esto vamos a hacerlo con un plugin llamado “Limit Login Attempts”, que es muy sencillo de utilizar y también de configurar.

Instalación y configuración del Limit Login Attempts

Desde nuestro escritorio de WordPress vamos al menú de “Plugins” y “Añadir nuevo”. En el cuadro ingresamos su nombre y damos a la búsqueda. Al encontrarlo instalamos y activamos. Luego en “Ajustes” vamos a su menú para realizar la configuración.
Primeramente nos muestra una estadística de la cantidad de bloqueos que se han producido. Luego tenemos unas simples opciones a configurar:

  • Cantidad de intentos a permitir antes del bloqueo
  • Tiempo durante el cual se mantendrá el bloqueo
  • En caso de reincidir otra cierta cantidad de intentos fallidos de la misma IP, cuánto tiempo durará el segundo bloqueo
  • Cuánto durarán los bloqueos posteriores para esa misma IP

Recomiendo dejar esta configuración tal y como viene por defecto, como también las siguientes dos opciones que refieren a la dirección IP y cookies del login.

Luego en caso de bloqueo podemos seleccionar registrar la dirección IP y también enviar un correo al administrador de que uno, o cierta cantidad de bloqueos, ha tenido lugar. Recomiendo activar ambas opciones. Guardamos la configuración y salimos.

Intentando ingresar al login

Una vez que el plugin está funcionando podemos ver una variación en la pantalla de ingreso de WordPress. Tendremos un cuadro encima de los campos que notificará cuando la información (nombre de usuario o contraseña) ingresada es incorrecta. También nos notificará la cantidad de intentos restantes de los que disponemos antes de ser bloqueados.

Picture of Sobre mí

Sobre mí

¡Hola! Me llamo Jose AMD, vivo en Sevilla y soy Desarrollador Web. Estoy aquí para ayudarte a crear y mejorar tu página web, para que así puedas convertir tus grandes ideas en realidad. ¡Infórmate!

Déjame un mensaje

Me gustaría saber más sobre ti, tus proyectos y cómo crees que puedo ayudarte con tu página web. Puedes contactar conmigo enviándome un email a info@joseamd.es o rellenando el siguiente formulario, como prefieras 😉

  • Este campo es un campo de validación y debe quedar sin cambios.