12 mejores consejos y técnicas para asegurar el área de administración de WordPress

Publicado: 2023-05-01

En este blog, discutiremos las mejores técnicas para asegurar el área de administración de sus sitios web de WordPress de manera efectiva.

La gente a menudo piensa que su sitio web es demasiado pequeño para que los piratas informáticos tengan algún interés en él. Pero eso sería un gran error. Cualquier sitio web puede ser vulnerable a amenazas cibernéticas como spam, malware, ataques brutos, inyecciones de SQL, etc. Además, los piratas informáticos pueden incluso usar su sitio web para propagar malware a otros sitios web.

Obviamente, no querrá despertarse un día y descubrir que su sitio web fue pirateado y se filtraron todos sus datos confidenciales. Por lo tanto, sería mejor reforzar el área de administración de su sitio web de WordPress con algunas herramientas confiables.

Mostrar tabla de contenido
  • Los mejores consejos y técnicas para proteger el área de administración de sus sitios web de WordPress
    • 1. Actualización de la versión de WordPress
    • 2. Complementos de seguridad
    • 3. Cambie el nombre de usuario y la contraseña del administrador
    • 4. Cree una URL de inicio de sesión personalizada
    • 5. Limite los intentos de inicio de sesión
    • 6. Asegure la página de inicio de sesión y el área de administración con un certificado SSL
    • 7. Asegure el directorio wp-admin con una contraseña
    • 8. Incluya un captcha en la página de inicio de sesión
    • 9. Eliminar el mensaje de error de la página de inicio de sesión
    • 10. Permitir que IP específicas inicien sesión
    • 11. Agregue una capa adicional mediante autenticación de dos factores
    • 12. Contraseña de un solo uso (OTP)
  • ¡Finalmente!

Los mejores consejos y técnicas para proteger el área de administración de sus sitios web de WordPress

WordPress-trabajo-portátil-escritorio-oficina

Estos consejos de seguridad son muy importantes para proteger los sitios web de vulnerabilidades como:

  • Ataque de denegación de servicio distribuido (DDoS): DDoS inmoviliza su sitio web al inundarlo con conexiones redundantes y colapsarlo.
  • Inyección SQL (SQLi): Ejecuta por la fuerza consultas SQL maliciosas en el sistema para manipular datos.
  • Inclusión de archivos locales (LFI): LFI obliga al sitio a procesar archivos maliciosos colocados en el servidor web.
  • Falsificación de solicitud entre sitios (CSRF): puede obligar a los usuarios web a ejecutar acciones no deseadas en una aplicación web confiable.
  • Omisión de autenticación: esta amenaza de seguridad brinda a los piratas informáticos acceso a recursos confidenciales de su sitio web sin verificación de autenticidad.
  • Cross-site scripting (XSS): XSS inyecta código malicioso para transportar malware a través de su sitio web.

Para asegurarse de que su sitio web no sea vulnerable a estas amenazas de seguridad, asegúrese de implementar los consejos y técnicas que se mencionan a continuación:

Recomendado para usted: 10 razones por las que su sitio web de WordPress necesita mantenimiento.

1. Actualización de la versión de WordPress

sincronización sincronización actualización sincronizada

Una forma sencilla de reforzar la seguridad de su sitio web es actualizar WordPress y todos los complementos de seguridad instalados a sus últimas versiones. WordPress es de código abierto, por lo que los colaboradores trabajan incansablemente para mejorar las funciones y la seguridad con cada nueva versión. Por eso debes actualizar el CMS a su última versión para mejorar la seguridad del sitio web.

2. Complementos de seguridad

seguro-WordPress-admin-seguridad-plugins

Una de las mejores cosas de WordPress es que puede encontrar un complemento para casi todas las características y funciones posibles del sitio web. Sin embargo, no todos los complementos de seguridad serían adecuados para proteger la página de inicio de sesión. Entonces, la mejor manera de reforzar la seguridad del área de administración de su sitio web sería a través de complementos de WordPress como Sucuri, MalCare, Wordfence, etc.

Estos complementos ayudan a bloquear el tráfico malicioso sin afectar en lo más mínimo el rendimiento del sitio web.

3. Cambie el nombre de usuario y la contraseña del administrador

WordPress-Dashboard-Admin-Area-Add-New-User

Una de las primeras formas de proteger el sitio web es cambiando el nombre de usuario y la contraseña predeterminados. Para cada instalación de WordPress, el primer nombre de usuario de inicio de sesión predeterminado es Admin. Este tipo de nombre de usuario es solo un cebo para los piratas informáticos; solo tendrían que predecir la contraseña después de eso.

Por lo tanto, debe cambiar el nombre de usuario y la contraseña a algo más personalizado. Primero, abra el tablero de WordPress. Seleccione Usuarios y haga clic en "Todos los usuarios".

Incluso cambiar el nombre de usuario de "admin" a "mynameisadmin" puede ayudar a proteger su sitio web de los piratas informáticos. Cuando se trata de contraseñas, hay una pequeña pantalla que muestra qué tan fuerte es. Por lo tanto, pruebe diferentes contraseñas con combinaciones de letras mayúsculas y minúsculas, símbolos y números hasta que esté satisfecho con una. Asegúrese siempre de que la contraseña sea lo más segura posible para proteger el sitio web de los piratas informáticos. Los expertos incluso sugieren usar símbolos y números en lugar de letras en las contraseñas para hacerlas más oscuras. Por ejemplo, si desea que su contraseña sea "California", elija algo como "[email protected][email protected]". Eso hará que sea más difícil de adivinar.

A menudo, cuando las personas intentan iniciar sesión en algún lugar donde no deberían, solo se enfocan en la contraseña y mantienen el mismo nombre de usuario en diferentes intentos. Entonces, cambiar tanto el nombre de usuario como la contraseña sería una excelente idea.

4. Cree una URL de inicio de sesión personalizada

seguridad-del-sitio-web-https-ssl-secure-socket-layer

Puede acceder a la página de inicio de sesión de cualquier sitio web de WordPress escribiendo /wp-login.php después de su URL. Por ejemplo, si la URL de su sitio web de WordPress es www.mywebsitename.com, puede acceder a su página de inicio de sesión a través de www.mywebsitename.com/wp-login.php.

Este fácil acceso a la página de inicio de sesión hace que su sitio web sea más vulnerable a las ciberamenazas. Por lo tanto, cambie el slug de URL de inicio de sesión a algo más personalizado a través de complementos como WPS Hide Login. Este complemento cambia la URL de la página del formulario de inicio de sesión a cualquier cosa que desee y hace que el directorio wp-admin y la página wp-login.php sean inaccesibles. Por lo tanto, sería mejor marcar estas páginas como favoritas, ya que puede perderlas.

Después de instalar WPS Hide Login, vaya a Configuración y seleccione WPS Hide Login en su panel de WordPress. Luego, ingrese una nueva URL en el campo URL de inicio de sesión y guarde los cambios. Después de eso, solo se podrá acceder a las páginas de administración de su sitio web a través de estas páginas.

Entonces, incluso si alguien tiene su nombre de usuario y contraseña sin su conocimiento, no podrá acceder a su página de inicio de sesión, lo cual es un gran alivio. Es por eso que las URL de inicio de sesión personalizadas siempre se incluyen en el desarrollo personalizado de WordPress.

5. Limite los intentos de inicio de sesión

Secure-WordPress-Dashboard-Admin-Area-WordFence-Brute-Force-Protection

¿Sabía que aunque los piratas informáticos no conozcan la contraseña de su sitio web, aún pueden piratear su sitio web? A través de secuencias de comandos automatizadas, pueden probar miles de contraseñas potenciales en poco tiempo para encontrar la correcta y, finalmente, tener éxito. Para evitar que esto suceda, puede limitar los intentos de inicio de sesión en su sitio web.

Para este propósito, WordPress tiene ciertos complementos como Wordfence Security y Login Lockdown en la biblioteca oficial que pueden ser de ayuda. Después de instalar cualquiera de estos complementos, puede definir la configuración de cuántos intentos de inicio de sesión se permitirán y cuánto tiempo se bloqueará a la persona después de cruzar el límite de inicio de sesión.

Por ejemplo, puede establecer un límite en el número de intentos de 3 y el tiempo de bloqueo de 24 horas. Entonces, si alguien tiene más de 3 intentos fallidos, su IP se bloqueará durante las próximas 24 horas, después de lo cual podrá volver a intentarlo.

6. Asegure la página de inicio de sesión y el área de administración con un certificado SSL

Certificado HTTP a HTTPS-SSL

A veces, es posible que deba iniciar sesión en su sitio web en una red pública, lo que lo deja vulnerable a los piratas informáticos en una situación de ataque arbitrario. En una red pública, los piratas informáticos pueden acceder a sus solicitudes HTTP y ver sus credenciales de inicio de sesión claras como el día.

Para evitar estos ataques arbitrarios, puede utilizar un inicio de sesión SSL, a través del cual puede acceder a su sitio web a través de HTTPS. Por lo general, puede tener un certificado de inicio de sesión SSL del proveedor de alojamiento. Pero si no, tendrás que comprar uno y configurarlo en el servidor de tu sitio web.

Si ya tiene un certificado SSL en su sitio web para ejecutar en HTTPS, abra su archivo wp-config.php y edítelo como tal:

 // Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);

Con FORCE_SSL_LOGIN, su página de inicio de sesión solo se abrirá en HTTPS y la conexión segura se mantendrá en toda el área de administración de su sitio web. Es por eso que cuando contrata a desarrolladores de WordPress, una de las primeras configuraciones de seguridad que se encargan es usar un certificado SSL para la página de inicio de sesión y el área de administración.

Te puede interesar: ¿Quieres crear un sitio web de WordPress? Siga estos 13 sencillos pasos.

7. Asegure el directorio wp-admin con una contraseña

email-security-tips-create-unique-password

Proteger con contraseña el directorio "wp-admin" es como agregar una segunda capa de seguridad en su sitio web y su área de administración de WordPress. Una de las mejores formas de abordarlo sería a través de la configuración de "Privacidad de directorio" de su alojamiento. Si está utilizando un servidor web cPanel para proteger con contraseña su directorio wp-admin, también puede usar la protección con contraseña de cPanel en un directorio.

8. Incluya un captcha en la página de inicio de sesión

wordpress-login-page

Los captchas en el área de administración pueden ayudar a prevenir ataques cibernéticos de fuerza bruta impulsados ​​por scripts automatizados. Puede agregar un captcha a su página de inicio de sesión a través de complementos de WordPress como Google reCAPTCHA, reCaptcha de BestWebSoft, WPForms, etc.

Esta técnica es bastante efectiva para detener los intentos de piratería a través de scripts automatizados.

9. Eliminar el mensaje de error de la página de inicio de sesión

WordPress-Admin-Area-Login-Page

Incluyendo un captcha, hay tres cosas que los piratas informáticos querrían hacer correctamente para iniciar sesión en su sitio web. Por lo general, cuando intentan iniciar sesión y fallan, aparece un mensaje de error que dice que una o más credenciales son incorrectas.

Entonces, suponga que los piratas informáticos ingresan el nombre de usuario, la contraseña y el captcha, y una de las credenciales es incorrecta; verán un mensaje de error "Nombre de usuario incorrecto" o "Contraseña incorrecta". En ese caso, sabrán que una de las credenciales es correcta y solo tendrán que trabajar en la otra.

Pero si elimina el mensaje de error, se equivocarán sobre si han insertado uno de ellos incorrectamente o ambos. Luego, comenzarán a trabajar en ambos nuevamente. Ahora, si ha limitado la cantidad de intentos de inicio de sesión además de esta estrategia, le dará más tiempo contra los piratas informáticos.

Por lo tanto, elimine el mensaje de error de la página de inicio de sesión.

10. Permitir que IP específicas inicien sesión

403-Prohibido-HTTP-Código de error

Puede limitar el acceso a direcciones IP estáticas específicas para proteger el sitio web. Si conoce su propia dirección IP, déle acceso a través del archivo .htaccess de la carpeta wp-admin.

Simplemente abra la carpeta wp-admin, edite un archivo llamado .htaccess y agregue este código:

 order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all

Todo lo que necesita hacer es reemplazar 99.99.99.99 con su IP o la que desea dar acceso.

Entonces, si alguien sin acceso intenta iniciar sesión, verá este mensaje.

11. Agregue una capa adicional mediante autenticación de dos factores

acceso-alarma-inicio-autenticación-bloqueo-seguridad-protección-contraseña-seguro-WordPress-admin-2fa

Otra forma de reforzar la seguridad de su sitio web es mediante el uso de un complemento de WordPress para agregar otra capa con autenticación de dos factores. Todo lo que necesita hacer es instalar y configurar un complemento como WP 2FA, y su sitio web estará seguro contra amenazas cibernéticas como scripts automatizados y ataques de fuerza bruta.

12. Contraseña de un solo uso (OTP)

seguro-WordPress-admin-OTP-seguridad-seguridad-internet-contraseña-bloqueo

Como sugiere el nombre, las contraseñas de un solo uso le permiten iniciar sesión en el sitio web a través de una contraseña válida solo una vez. Estas contraseñas las recibes en tu correo o número de móvil. Dado que las OTP se envían por correo y número de teléfono móvil y son válidas para una sola sesión, no tendrá que preocuparse de que le roben su contraseña principal durante el inicio de sesión en lugares como cibercafés. No hace falta decir que algunos complementos de WordPress pueden ayudar a agregar una función OTP a su página de inicio de sesión.

Estas técnicas ayudarán a proteger el área de administración de su sitio web de WordPress de amenazas cibernéticas como ataques de fuerza bruta, spam, bots maliciosos, inyecciones de SQL y, lo que es más importante, scripts automatizados (para generar contraseñas).

También te puede interesar: ¿ Qué es Schema? ¿Cómo agregar el marcado de esquema a su sitio web de WordPress?

¡Finalmente!

logro-negocio-marketing-éxito-pulgares arriba-ganar-conclusión

Cuando diseñas un nuevo sitio web de WordPress, la idea de que sea pirateado está lejos de ser lejana. Pero sigue siendo una posibilidad. Por lo tanto, debe hacer que la seguridad sea una parte distinta del desarrollo personalizado de WordPress para proteger y asegurar el área de administración para que los piratas informáticos no puedan acceder a la información confidencial de su sitio web.

Es por eso que hemos enumerado estos consejos y técnicas como actualizaciones de WordPress, complementos de seguridad, OTP, contraseñas encriptadas, autenticación de dos factores, captchas, etc., para garantizar que su sitio web esté a salvo de piratas informáticos. Asegúrese de discutir estas técnicas cuando contrate a desarrolladores de WordPress para crear un nuevo sitio web o actualizar el anterior.

Autor: Palak Shah

Este artículo está escrito por Palak Shah. Palak es una escritora de contenido de calidad para WPWeb Infotech y le encanta escribir sobre WordPress, tecnología y pequeñas empresas. Es una jugadora de equipo increíble y trabaja en estrecha colaboración con el equipo para lograr grandes resultados. Ve Netflix y lee no ficción, autoayuda y autobiografías de grandes personalidades.