limitar-los-intentos-de-sesion

En este post os ense帽o a limitar los intentos de inicio de sesi贸n en WordPress para aumentar la seguridad del formulario de acceso a la administraci贸n de WordPress.

El login de acceso a la administraci贸n de WordPress es el punto de nuestra p谩gina web m谩s atacado por los piratas de internet.

Y tenemos que tomar medidas preventivas para conseguir que nuestro login sea seguro.

Ya que si no hacemos nada al respecto tarde o temprano alguien con malas intenciones conseguir谩 acceder a nuestro WordPress.

Una de estas medidas es limitar los intentos de inicio de sesi贸n聽a nuestro login cuando introducimos incorrectamente una contrase帽a y usuario.

De esta manera impedimos los ataques de fuerza bruta que consiste en probar usuarios y contrase帽as hasta dar con la correcta.

Existen robots en internet que pueden probar miles de usuarios y contrase帽as comunes en cuesti贸n de horas y entrar en nuestra p谩gina web y los hackers tambi茅n pueden averiguar nuestras contrase帽as por medio de la ingenier铆a social.

La norma de seguridad que vamos a implementar hace que si se prueban varias contrase帽as incorrectas, autom谩ticamente se bloquea el acceso durante un periodo de tiempo, normalmente de 2 a 5 minutos.

De esta manera hacemos que la tarea de probar contrase帽as se haga interminable por que tardar铆an a帽os si quieren probar miles de contrase帽as.

 

Plugin para limitar los intentos de acceso de sesi贸n en WordPress

Existen varios plugin en WordPress para limitar los intentos de acceso de sesi贸n, algunos son muy simples y otros como WordFence son m谩s complejos y contienen cientos de configuraciones de la seguridad web.

intentos de inicio de sesi贸n

Vista del login de WordPress con l铆mites de sesi贸n activos.

Limit Login Attempts

Limmit Login Attempts es un plugin veterano con m谩s de un mill贸n de instalaciones activas, su 煤ltima actualizaci贸n es desde hace m谩s de 5 a帽os pero no debe preocuparnos, funciona perfectamente (pero si no te gusta tener un plugin poco actualizado vemos alternativas m谩s adelante) y tiene una valoraci贸n de 4,7 sobre 5.

Repito, funciona perfectamente, tienes que saber que este plugin hace algo muy b谩sico y no聽necesita actualizarse constantemente.

 

instalar plugin limit login attempts para limitar los accesos al login wordpress

 

Una vez instalado sus opciones se encuentran en Ajustes > Limit Login Attempts

Nos permite limitar los intentos de sesi贸n a trav茅s del login de WordPress ya sea por IP o mediante cookies, y si se excede el n煤mero de intentos muestra un mensaje de aviso.

Podemos configurar el n煤mero de intentos permitidos y los minutos que tendr谩 que esperar el usuario para volver a introducir los datos si ha fallado estos intentos.

 

como limitar los accesos de sesi贸n en wordpress

Opciones del plugin limit login attempts

Como vemos tiene pocas opciones y es f谩cil de configurar, es un plugin sencillo y ligero que hace 煤nicamente aquello que promete.

 

Login LockDown

Login LockDown es similar al anterior y nos permite limitar los intentos de inicio de sesi贸n ademas tiene muchas instalaciones activas y la ventaja de que es actualizado con frecuencia.

intentos de sesion limitados con login lockdown

 

Una vez instalado sus opciones se encuentran en Ajustes > Login LockDown, tambi茅n es muy f谩cil de configurar y como el anterior hace 煤nicamente lo que promete.

opciones de intento de sesion limitados con login lockdown

 

Este plugin nos permite:

  • Configurar el n煤mero de intentos de conexi贸n fallidos.
  • Elegir el tiempo de restricci贸n entre intentos de conexi贸n.
  • El tiempo que ser谩 bloqueda una IP despu茅s de hacer varios intentos superando el tiempo de restricci贸n.
  • Configurar que al introducir un nombre de usuario incorrecto cuente como intento de conexi贸n fallido.
  • Quitar los mensajes que informan si has fallado en el nombre o en la contrase帽a para no dar pistas a los infractores.
  • Mostrar un enlace follow, no follow o no mostrar un enlace con el nombre del plugin en el formulario de acceso a WordPress para apoyar a los desarrolladores.
  • Apartado donde podemos ver聽que IP est谩n bloqueadas.

 

Limitar los intentos de inicio de sesi贸n con Wordfence

Wordfence es uno de los mejores plugin de seguridad web, contiene cientos de opciones como esc谩ner de datos, firewall verificaci贸n en dos pasos y por supuesto con Wordfence podemos limitar los intentos de sesi贸n.

Las opciones para configurar el l铆mite de intentos de sesi贸n en Wordfence se encuentran en Wordfence > Options en el apartado Login Security Options.

Limitar los intentos de sesion wp admin con wordfence

Opciones de configuraci贸n de Wordfence

 

Podemos configurar Las opciones de la seguridad del login en la versi贸n gratuita de Wordfence y estas opciones son:

  • Forzar a los usuarios para que utilicen contrase帽as fuertes.
  • Elegir el n煤mero de errores de inicio de sesi贸n antes de un bloqueo: Esto bloquear谩 una direcci贸n IP durante un per铆odo de tiempo especificado si ese visitante genera el n煤mero especificado de errores de inicio de sesi贸n.
  • Elegir el n煤mero de veces que se puede olvidar la contrase帽a antes de un bloqueo.
  • Periodo de tiempo en el que se producen los intentos de sesi贸n: es el periodo de tiempo en el que se cuentan los intentos fallidos, despu茅s de ese periodo de tiempo el contador de fallos se reiniciar谩.
  • Periodo de tiempo que un usuario es bloqueado al superar los intentos de sesi贸n fallidos.
  • Bloquear una IP si se utilizan usuarios que no existan. Esta opci贸n es muy restrictiva y si te equivocas al poner tu propio nombre de usuario te bloqueara si no has configurado tu IP en la lista blanca de Wordfence.
  • Configurar los mensajes de WordPress para que no revelen los usuarios v谩lidos en los errores de inicio de sesi贸n, muy 煤til para no dar pistas sobre los nombres de usuarios o contrase帽as v谩lidas.
  • No permitir que los usuarios registren el usuario ADMIN, ya que es uno de los m谩s frecuentes y por lo tanto de los m谩s atacados.
  • Evitar que descubran los nombres de usuario utilizados en una instalaci贸n de WordPress a trav茅s de exploraciones avanzadas de las URL de autor.
  • Bloquear autom谩ticamente IP que utilicen un nombre de usuario concreto.

Como vemos WordFence es muy completo en cuanto a la seguridad del login de WordPress.

 

Limitar los intentos de inicio de sesi贸n con iThemes Security

IThemes Security es otro de los grandes plugin de seguridad para WordPress, es similar en caracter铆sticas a Wordfence y tambi茅n incluye la opci贸n de limitar los intentos de acceso en el login de WordPress.

Las opciones se encuentran en Seguridad > Ajustes > Activar protecci贸n por fuerza bruta

Limitar los intentos de sesion con ithemes security

Opciones de configuraci贸n de iThemes security

Recomendaciones sobre la seguridad del Login

En mis paginas web utilizo Wordfence o iThemes Secury para conseguir una seguridad de la web mas completa y os recomiendo cualquiera de los dos para implementar los limites de sesi贸n en WordPress.

Y si quer茅is una聽soluci贸n聽mas sencilla utilizar聽Login LockDown.

Hay que tener en cuenta que es frecuente que los usuarios de nuestra p谩gina web olviden sus usuarios y contrase帽as e intenten m谩s de 5 intentos de inicio de sesi贸n al intentar recordar sus credenciales.

Por lo tanto, es recomendable establecer聽los l铆mites de los intentos de sesi贸n entre 5 y 20, lo que da a los usuarios muchas oportunidades de iniciar sesi贸n, pero bloquear谩 un ataque de fuerza bruta creado por robots.

Si por cualquier circunstancia somos nosotros los bloqueados parcial o permanentemente por los plugin de seguridad podemos acceder por FTP y renombrar o borrar la carpeta del plugin para desactivarlo y poder entrar en la configuraci贸n de WordPress para reinstalarlo o ajustar sus opciones.

Otras formas de proteger el login de WordPress que podemos combinar con la medida de restringir los intentos de sesi贸n son:

Espero que este post te haya sido de ayuda para mejorar adecuadamente la seguridad de WordPress.

7 comentarios en “Limitar intentos de inicio de sesi贸n en WordPress

  1. Muy 煤til, aunque me surgen dudas 驴recomendar铆as adem谩s alg煤n upgrade de hosting como defensa adicional contra el hacking? Es que en el que estoy actualmente me ofrecen una mejora extra y no estoy seguro de hacerlo, o si ya con lo que dices es suficiente.

    1. Todos los extras de seguridad que permita tu hosting siempre son recomendables y ser谩n 煤tiles para aumentar la seguridad de la web.

      Limitar los intentos de sesi贸n es solo una medida m谩s a tomar, puedes aprovechar los extra de seguridad que incluya tu hosting para aumentar m谩s la seguridad, y si te ofrecen la caracter铆stica de «limites de intentos de sesi贸n desde el hosting» te puedes ahorrar instalar el plugin.

      La ventaja de tener el plugin es que es muy f谩cil de configurar y es gratis.

      Lo recomendable es que tengas varias medidas de seguridad ya sean medidas en el hosting o en la instalaci贸n de WordPress.

  2. Muchas gracias por el post. Creo que ahora que estoy empezando, voy a instalar el LockDown para limitar los intentos de inicios de sesi贸n en mi WordPress. Ya te contar茅.
    Un abrazo

  3. Muy buenas Gerardo llegu茅 a tu blog por una recomendaci贸n, cosa que me alegr贸 porque gracias a ella me suscrib铆 para no perderme nada.

    Fuera de esto, un art铆culo muy completo, me gusta, porqueda das las opciones de plugins espec铆ficos para el tema de limitar inicios, y luego comentas las de dos de los plugins m谩s usados como son Wordfence e IThemes Security, y no solo usados, sino tambi茅n recomendados.

    Una cuesti贸n, sobre tema de doble autentificaci贸n, tirar de Google o Clef, por ejemplo, verdad?

    Un saludo y gracias.

    1. Hola Javi
      Exacto, para el sistema de doble autentificaci贸n puedes utilizar los plugin Clef, Duo Two-Factor Authentication o Google Authenticator. Yo utilizo Clef y me funciona perfectamente.
      Gracias por tu Feedback, me has alegrado el d铆a.

  4. Muy buen art铆culo!
    Tengo una duda: si por ejemplo instalo el primer plugin y los ataques van sucediendo y se suceden los consiguientes bloqueos, durante estos yo tambi茅n tengo limitado el acceso al backoffice?
    Muchas gracias!

Deja un comentario

El email no ser谩 publicado. Vas a introducir datos en la web si comentas:

  • Responsable de los datos Gerardo Garc铆a Asensio
  • Los datos se usar谩n para gesti贸n de comentarios y medidas de seguridad
  • Legitimaci贸n: tu consentimiento.
  • Destinatarios: los datos estar谩n ubicados en los servidores de Siteground.
  • Derechos: podr谩s ejercer tus derechos, entre otros, rectificar, limitar y borrar tus datos.

Pin It on Pinterest

Esta web utiliza cookies para su funcionamiento. Lee y acepta el aviso legal o abandona la web. m谩s info

Los ajustes de cookies de esta web est谩n configurados para "permitir cookies" y as铆 ofrecerte la mejor experiencia de navegaci贸n posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estar谩s dando tu consentimiento a esto.

Cerrar