14 consejos vitales para proteger su área de administración de WordPress (actualizado)

¿Ve muchos ataques en su área de administración de WordPress? Proteger el área de administración del acceso no autorizado le permite bloquear muchas amenazas de seguridad comunes. En este artículo, le mostraremos algunos de los consejos y trucos vitales para proteger su área de administración de WordPress.

1. Utilice un firewall de aplicaciones de sitios web

Un firewall de aplicaciones de sitios web o WAF monitorea el tráfico del sitio web y evita que las solicitudes sospechosas lleguen a su sitio web. Aunque existen varios complementos de firewall de WordPress, le recomendamos que utilice Sucuri. Este es un servicio de vigilancia y seguridad de sitios web que ofrece WAF basado en la nube para proteger su sitio web.

Todo el tráfico de su sitio web pasa primero por su proxy en la nube, donde analiza cada solicitud y evita que las solicitudes sospechosas lleguen a su sitio web. Evita que su sitio web sea pirateado, phishing, malware y otras actividades maliciosas. Para obtener más detalles, lea cómo Sucuri nos ayudó a bloquear 450.000 ataques en un mes.

2. Directorio de administración de WordPress de protección con contraseña

Su área de administración de WordPress ya está protegida por su contraseña de WordPress. Sin embargo, agregar protección con contraseña a su directorio de administración de WordPress agrega otra capa de seguridad a su sitio web. Primero inicie sesión en su panel de control de cPanel de alojamiento de WordPress, luego haga clic en el icono `` Protección de contraseña de directorio '' o `` Privacidad de directorio ''.

A continuación, deberá seleccionar su carpeta wp-admin, que normalmente se encuentra en el directorio / public_html /. En la siguiente pantalla, debe marcar la casilla junto a la opción "Proteger con contraseña este directorio" y proporcionar un nombre para el directorio protegido. Después de eso, haga clic en el botón Guardar para establecer los permisos.

A continuación, debe presionar el botón Atrás y luego crear un usuario. Se le pedirá que proporcione un nombre de usuario / contraseña y luego haga clic en el botón Guardar. Ahora, cuando alguien intente visitar el directorio admin de WordPress o wp-admin en su sitio web, se le pedirá el nombre de usuario y la contraseña.

Para obtener instrucciones más detalladas, consulte nuestra guía de protección con contraseña del directorio de administración de WordPress (wp-admin).

3. Utilice siempre contraseñas seguras

Utilice siempre contraseñas seguras para todas sus cuentas en línea, incluido su sitio de WordPress. Le recomendamos que utilice una combinación de letras, números y caracteres especiales en sus contraseñas. Esto dificulta que los piratas informáticos adivinen su contraseña. Los novatos a menudo nos preguntan cómo recordar todas estas contraseñas. La respuesta más simple es que no la necesita. Hay algunas excelentes aplicaciones de administración de contraseñas que puede instalar en su computadora y teléfonos. Para obtener más información sobre este tema, consulte nuestra guía sobre la mejor manera de administrar las contraseñas para principiantes de WordPress.

4. Utilice la verificación de dos pasos en la pantalla de inicio de sesión de WordPress

La verificación en dos pasos agrega otra capa de seguridad a sus contraseñas. En lugar de usar solo la contraseña, le pide que ingrese un código de verificación generado por la aplicación Google Authenticator en su teléfono. Incluso si alguien puede adivinar su contraseña de WordPress, aún necesitará el código del Autenticador de Google para ingresar. Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo configurar la verificación en 2 pasos en WordPress usando Google Authenticator.

5. Limita los intentos de conexión

De forma predeterminada, WordPress permite a los usuarios ingresar contraseñas tantas veces como deseen. Esto significa que alguien puede seguir intentando adivinar su contraseña de WordPress ingresando diferentes combinaciones. También permite a los piratas informáticos utilizar scripts automatizados para descifrar contraseñas. Para resolver este problema, debe instalar y activar el complemento Login LockDown. Al activar, vaya a Configuración »Bloqueo de conexión página para configurar los ajustes del complemento. Para obtener instrucciones paso a paso, consulte nuestra guía sobre por qué debe limitar los intentos de inicio de sesión en WordPress.

6. Limite el acceso de inicio de sesión a las direcciones IP

Otra excelente manera de asegurar la conexión de WordPress es limitar el acceso a direcciones IP específicas. Este consejo es especialmente útil si usted o solo unos pocos usuarios de confianza necesitan acceder al área de administración. Simplemente agregue este código a su archivo .htaccess. AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "Control de acceso de administrador de WordPress" AuthType Basic

orden denegar, permitir denegar desde todos # lista blanca La dirección IP de Syed permite desde xx.xx.xx.xxx # lista blanca La dirección IP de David permite desde xx.xx.xx.xxx

Recuerde reemplazar los valores xx con su propia dirección IP. Si está utilizando varias direcciones IP para acceder a Internet, asegúrese de agregarlas también. Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo restringir el acceso al administrador de WordPress usando .htaccess.

7. Deshabilitar las sugerencias de conexión

Si el intento de inicio de sesión falla, WordPress muestra errores que le dicen a los usuarios si su nombre de usuario o contraseña son incorrectos. Alguien puede utilizar estos consejos de conexión para intentos maliciosos. Puede ocultar fácilmente estos consejos de inicio de sesión agregando este código al archivo functions.php de su tema o un complemento específico del sitio. function no_wordpress_errors () {return '¡Algo está mal!'; } add_filter ('login_errors', 'no_wordpress_errors');

8. Obligar a los usuarios a utilizar contraseñas seguras

Si está ejecutando un sitio de WordPress de varios autores, estos usuarios pueden cambiar su perfil y usar una contraseña débil. Estas contraseñas se pueden piratear y dar acceso a alguien al área de administración de WordPress. Para resolver este problema, puede instalar y activar el complemento Forzar contraseñas seguras. Funciona de inmediato y no hay ajustes para configurar. Una vez activado, evitará que los usuarios guarden contraseñas más débiles. No verificará la seguridad de la contraseña para las cuentas de usuario existentes. Si un usuario ya está usando una contraseña débil, puede continuar usando su contraseña.

9. Restablecer la contraseña para todos los usuarios

¿Le preocupa la seguridad de las contraseñas en su sitio de WordPress multiusuario? Puede pedir fácilmente a todos sus usuarios que restablezcan sus contraseñas. Primero, debe instalar y activar el complemento de restablecimiento de contraseña de emergencia. Al activar, vaya a Usuarios »Restablecimiento de contraseña de emergencia y haga clic en el botón "Restablecer todas las contraseñas".

Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo restablecer las contraseñas para todos los usuarios de WordPress.

10. Mantenga WordPress actualizado

WordPress a menudo lanza nuevas versiones del software. Cada nueva versión de WordPress contiene importantes correcciones de errores, nuevas funciones y correcciones de seguridad. El uso de una versión anterior de WordPress en su sitio lo deja abierto a exploits conocidos y vulnerabilidades potenciales. Para resolver este problema, debe asegurarse de estar utilizando la última versión de WordPress. Para obtener más información sobre este tema, consulte nuestra guía sobre por qué siempre debe usar la última versión de WordPress. Del mismo modo, los complementos de WordPress también se actualizan a menudo para introducir nuevas funciones o solucionar problemas de seguridad y otros. Asegúrese de que sus complementos de WordPress también estén actualizados.

11. Cree páginas de inicio de sesión y registro personalizadas

Muchos sitios de WordPress requieren que los usuarios se registren. Por ejemplo, los sitios de membresía, los sitios de administración de aprendizaje o las tiendas en línea requieren que los usuarios creen una cuenta. Sin embargo, estos usuarios pueden usar sus cuentas para iniciar sesión en el área de administración de WordPress. Esto no es gran cosa, ya que solo podrán hacer las cosas permitidas por su rol de usuario y sus habilidades. Sin embargo, esto le impide limitar correctamente el acceso a las páginas de inicio de sesión y registro, ya que necesita estas páginas para que los usuarios puedan registrarse, administrar su perfil e iniciar sesión. La forma más sencilla de resolver este problema es crear páginas de inicio de sesión y registro personalizadas, de modo que los usuarios puedan registrarse e iniciar sesión directamente desde su sitio web. Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo crear páginas personalizadas de inicio de sesión y registro en WordPress.

12. Obtenga más información sobre los roles y permisos de usuario de WordPress.

WordPress viene con un poderoso sistema de administración de usuarios con diferentes roles y capacidades de usuario. Cuando agrega un nuevo usuario a su sitio de WordPress, puede seleccionar un rol de usuario para él. Este rol de usuario define lo que pueden hacer en su sitio de WordPress. Asignar el rol de usuario incorrecto puede darles a los usuarios más capacidad de la que necesitan. Para evitar esto, debe comprender qué funciones están asociadas con los diferentes roles de usuario en WordPress. Para obtener más información sobre este tema, consulte nuestra guía para principiantes sobre los roles y permisos de usuario de WordPress.

13. Restringir el acceso al tablero

Algunos sitios de WordPress tienen algunos usuarios que necesitan acceso al panel de control y algunos usuarios que no. Sin embargo, por defecto, todos pueden acceder al área de administración. Para resolver este problema, debe instalar y activar el complemento Eliminar acceso al panel. Durante la activación, vaya a Configuración »Acceso al tablero y seleccione los roles de usuario que tendrán acceso al área de administración de su sitio. Para obtener instrucciones más detalladas, consulte nuestra guía sobre cómo limitar el acceso al panel de control en WordPress.

14. Cerrar sesión de usuarios inactivos

WordPress no cierra automáticamente la sesión de los usuarios hasta que cierran la sesión o cierran explícitamente la ventana de su navegador. Esto puede ser un problema para los sitios de WordPress con información confidencial. Es por eso que los sitios web y las aplicaciones de las instituciones financieras cierran automáticamente la sesión de los usuarios si no han estado activos. Para resolver este problema, puede instalar y activar el complemento de cierre de sesión de usuario inactivo. Sobre...