Saltar al contenido

14 consejos vitales para proteger su área de administración de WordPress (actualizado)

Tips and hacks to protect WordPress admin area

¿Estás viendo muchos ataques en tu área de administración de WordPress? Proteger el área de administración del acceso no autorizado le permite bloquear muchas amenazas de seguridad comunes. En este artículo, le mostraremos algunos de los consejos y trucos vitales para proteger su área de administración de WordPress.

Consejos y hacks para proteger el área de administración de WordPress

1. Use un firewall de aplicación de sitio web

Un firewall de aplicación de sitio web o WAF monitorea el tráfico del sitio web y bloquea las solicitudes sospechosas de llegar a su sitio web.

Si bien existen varios complementos de firewall de WordPress, recomendamos utilizar Sucuri. Es un servicio de seguridad y monitoreo de sitios web que ofrece un WAF basado en la nube para proteger su sitio web.

Cortafuegos de aplicaciones web

Todo el tráfico de su sitio web pasa primero por su proxy en la nube, donde analizan cada solicitud y evitan que los sospechosos lleguen a su sitio web. Evita que su sitio web intente piratería, phishing, malware y otras actividades maliciosas.

Para más detalles, vea cómo Sucuri nos ayudó a bloquear 450,000 ataques en un mes.

2. Proteger con contraseña el directorio de administración de WordPress

Su área de administración de WordPress ya está protegida por su contraseña de WordPress. Sin embargo, agregar protección con contraseña a su directorio de administrador de WordPress agrega otra capa de seguridad a su sitio web.

Primero inicie sesión en su panel de control cPanel de alojamiento de WordPress y luego haga clic en el icono «Proteger directorios con contraseña» o «Privacidad de directorio».

Privacidad del directorio

A continuación, deberá seleccionar su carpeta wp-admin, que normalmente se encuentra dentro del directorio / public_html /.

En la siguiente pantalla, debe marcar la casilla junto a la opción «Proteger con contraseña este directorio» y proporcionar un nombre para el directorio protegido.

Después de eso, haga clic en el botón Guardar para configurar los permisos.

Configuración de directorio de protección con contraseña

A continuación, debe presionar el botón Atrás y luego crear un usuario. Se le pedirá que proporcione un nombre de usuario / contraseña y luego haga clic en el botón Guardar.

Ahora, cuando alguien intente visitar el directorio de WordPress admin o wp-admin en su sitio web, se le pedirá que ingrese el nombre de usuario y la contraseña.

Introducir la contraseña

Para obtener instrucciones más detalladas, consulte nuestra guía sobre cómo proteger con contraseña el directorio de administración de WordPress (wp-admin).

3. Utilice siempre contraseñas seguras

Siempre use contraseñas seguras

Utilice siempre contraseñas seguras para todas sus cuentas en línea, incluido su sitio de WordPress. Recomendamos utilizar una combinación de letras, números y caracteres especiales en sus contraseñas. Esto hace que sea más difícil para los hackers adivinar su contraseña.

A menudo, los principiantes nos preguntan cómo recordar todas esas contraseñas. La respuesta más simple es que no es necesario. Hay algunas aplicaciones de administrador de contraseñas realmente geniales que puede instalar en su computadora y teléfonos.

Para obtener más información sobre este tema, consulte nuestra guía sobre la mejor manera de administrar las contraseñas para principiantes de WordPress.

4. Use la verificación en dos pasos para la pantalla de inicio de sesión de WordPress

Pantalla de inicio de sesión de WordPress con Google Authenticator habilitado

La verificación en dos pasos agrega otra capa de seguridad a sus contraseñas. En lugar de usar solo la contraseña, le pide que ingrese un código de verificación generado por la aplicación Google Authenticator en su teléfono.

Incluso si alguien puede adivinar su contraseña de WordPress, aún necesitará el código del Autenticador de Google para ingresar.

Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo configurar la verificación en 2 pasos en WordPress usando Google Authenticator.

5. Limite los intentos de inicio de sesión

Limite los intentos de inicio de sesión

Por defecto, WordPress permite a los usuarios ingresar contraseñas tantas veces como lo deseen. Esto significa que alguien puede seguir intentando adivinar su contraseña de WordPress ingresando diferentes combinaciones. También permite a los hackers usar scripts automáticos para descifrar contraseñas.

Para solucionar esto, debe instalar y activar el complemento Login LockDown. Tras la activación, vaya a visitar Configuración »Iniciar sesión LockDown página para configurar los ajustes del complemento.

Para obtener instrucciones detalladas, consulte nuestra guía sobre por qué debería limitar los intentos de inicio de sesión en WordPress.

6. Limite el acceso de inicio de sesión a las direcciones IP

Otra excelente manera de asegurar el inicio de sesión de WordPress es limitando el acceso a direcciones IP específicas. Este consejo es particularmente útil si usted o solo unos pocos usuarios confiables necesitan acceso al área de administración.

Simplemente agregue este código a su archivo .htaccess.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic

order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx

No olvide reemplazar los valores xx con su propia dirección IP. Si usa más de una dirección IP para acceder a Internet, asegúrese de agregarlas también.

Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo limitar el acceso al administrador de WordPress usando .htaccess.

7. Deshabilitar sugerencias de inicio de sesión

Sugerencias de inicio de sesión deshabilitadas

En un intento de inicio de sesión fallido, WordPress muestra errores que indican a los usuarios si su nombre de usuario es incorrecto o la contraseña. Estas sugerencias de inicio de sesión pueden ser utilizadas por alguien para intentos maliciosos.

Puede ocultar fácilmente estas sugerencias de inicio de sesión agregando este código al archivo functions.php de su tema o un complemento específico del sitio.

function no_wordpress_errors(){
  return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

8. Requerir a los usuarios que utilicen contraseñas seguras

Si ejecuta un sitio de WordPress de varios autores, esos usuarios pueden editar su perfil y usar una contraseña débil. Estas contraseñas pueden descifrarse y dar acceso a alguien al área de administración de WordPress.

Para solucionar esto, puede instalar y activar el complemento Forzar contraseñas seguras. Funciona de fábrica, y no hay configuraciones para que pueda configurar. Una vez activado, evitará que los usuarios guarden contraseñas más débiles.

No verificará la seguridad de la contraseña para las cuentas de usuario existentes. Si un usuario ya está usando una contraseña débil, podrá continuar usando su contraseña.

9. Restablecer contraseña para todos los usuarios

¿Le preocupa la seguridad de la contraseña en su sitio de WordPress multiusuario? Puede pedir fácilmente a todos sus usuarios que restablezcan sus contraseñas.

Primero, debe instalar y activar el complemento Restablecimiento de contraseña de emergencia. Tras la activación, vaya a visitar Usuarios »Restablecimiento de contraseña de emergencia página y haga clic en el botón «Restablecer todas las contraseñas».

Restablecer todas las contraseñas

Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo restablecer las contraseñas para todos los usuarios en WordPress

10. Mantenga WordPress actualizado

WordPress a menudo lanza nuevas versiones del software. Cada nueva versión de WordPress contiene correcciones de errores importantes, nuevas funciones y correcciones de seguridad.

El uso de una versión anterior de WordPress en su sitio lo deja abierto a vulnerabilidades conocidas y vulnerabilidades potenciales. Para solucionar esto, debe asegurarse de estar utilizando la última versión de WordPress. Para obtener más información sobre este tema, consulte nuestra guía sobre por qué siempre debe usar la última versión de WordPress.

Del mismo modo, los complementos de WordPress también se actualizan a menudo para introducir nuevas funciones o solucionar problemas de seguridad y otros. Asegúrese de que sus complementos de WordPress también estén actualizados.

11. Cree páginas de inicio de sesión y registro personalizadas

Muchos sitios de WordPress requieren que los usuarios se registren. Por ejemplo, los sitios de membresía, los sitios de administración de aprendizaje o las tiendas en línea necesitan que los usuarios creen una cuenta.

Sin embargo, estos usuarios pueden usar sus cuentas para iniciar sesión en el área de administración de WordPress. Este no es un gran problema, ya que solo podrán hacer cosas permitidas por su rol y capacidades de usuario. Sin embargo, le impide limitar adecuadamente el acceso a las páginas de inicio de sesión y registro, ya que necesita esas páginas para que los usuarios se registren, administren su perfil e inicien sesión.

La manera fácil de solucionar esto es mediante la creación de páginas de inicio de sesión y registro personalizadas, para que los usuarios puedan registrarse e iniciar sesión directamente desde su sitio web.

Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo crear páginas de inicio de sesión y registro personalizadas en WordPress.

12. Conozca los roles y permisos de usuario de WordPress

WordPress viene con un poderoso sistema de administración de usuarios con diferentes roles y capacidades de usuario. Al agregar un nuevo usuario a su sitio de WordPress, puede seleccionar un rol de usuario para ellos. Este rol de usuario define lo que pueden hacer en su sitio de WordPress.

Asignar un rol de usuario incorrecto puede dar a las personas más capacidades de las que necesitan. Para evitar esto, debe comprender qué capacidades vienen con diferentes roles de usuario en WordPress. Para obtener más información sobre este tema, consulte nuestra guía para principiantes sobre los roles y permisos de usuario de WordPress.

13. Limite el acceso al tablero

Algunos sitios de WordPress tienen ciertos usuarios que necesitan acceso al panel y algunos usuarios que no lo hacen. Sin embargo, por defecto todos pueden acceder al área de administración.

Para solucionar esto, debe instalar y activar el complemento Eliminar acceso al tablero. Tras la activación, vaya a Configuración »Acceso al tablero página y seleccione qué roles de usuarios tendrán acceso al área de administración en su sitio.

Para obtener instrucciones más detalladas, consulte nuestra guía sobre cómo limitar el acceso al tablero en WordPress.

14. Cerrar sesión en usuarios inactivos

Cierre de sesión de usuario inactivo

WordPress no cierra la sesión de los usuarios automáticamente hasta que cierran la sesión explícitamente o cierran la ventana del navegador. Esto puede ser una preocupación para los sitios de WordPress con información confidencial. Es por eso que los sitios web y las aplicaciones de las instituciones financieras desconectan automáticamente a los usuarios si no han estado activos.

Para solucionar este problema, puede instalar y activar el complemento Idle User Logout. Tras la activación, vaya a Configuración »Cierre de sesión de usuario inactivo página e ingrese el tiempo después del cual desea que los usuarios cierren sesión automáticamente.

Para obtener más detalles, consulte nuestro artículo sobre cómo cerrar sesión automáticamente en usuarios inactivos en WordPress.

Esperamos que este artículo te haya ayudado a aprender algunos consejos y trucos nuevos para proteger tu área de administración de WordPress. También es posible que desee ver nuestra guía de seguridad paso a paso de WordPress para principiantes.

Si le gustó este artículo, suscríbase a nuestro canal de YouTube para ver videos tutoriales de WordPress. También nos puede encontrar en Twitter y Facebook.

.