En este post os enseño a limitar los intentos de inicio de sesión en WordPress para aumentar la seguridad del formulario de acceso a la administración de WordPress.
El login de acceso a la administración de WordPress es el punto de nuestra página web más atacado por los piratas de internet.
Y tenemos que tomar medidas preventivas para conseguir que nuestro login sea seguro.
Ya que si no hacemos nada al respecto tarde o temprano alguien con malas intenciones conseguirá acceder a nuestro WordPress.
Una de estas medidas es limitar los intentos de inicio de sesión a nuestro login cuando introducimos incorrectamente una contraseña y usuario.
De esta manera impedimos los ataques de fuerza bruta que consiste en probar usuarios y contraseñas hasta dar con la correcta.
Existen robots en internet que pueden probar miles de usuarios y contraseñas comunes en cuestión de horas y entrar en nuestra página web y los hackers también pueden averiguar nuestras contraseñas por medio de la ingeniería social.
La norma de seguridad que vamos a implementar hace que si se prueban varias contraseñas incorrectas, automáticamente se bloquea el acceso durante un periodo de tiempo, normalmente de 2 a 5 minutos.
De esta manera hacemos que la tarea de probar contraseñas se haga interminable por que tardarían años si quieren probar miles de contraseñas.
Plugin para limitar los intentos de acceso de sesión en WordPress
Existen varios plugin en WordPress para limitar los intentos de acceso de sesión, algunos son muy simples y otros como WordFence son más complejos y contienen cientos de configuraciones de la seguridad web.
Limit Login Attempts
Limmit Login Attempts es un plugin veterano con más de un millón de instalaciones activas, su última actualización es desde hace más de 5 años pero no debe preocuparnos, funciona perfectamente (pero si no te gusta tener un plugin poco actualizado vemos alternativas más adelante) y tiene una valoración de 4,7 sobre 5.
Repito, funciona perfectamente, tienes que saber que este plugin hace algo muy básico y no necesita actualizarse constantemente.
Una vez instalado sus opciones se encuentran en Ajustes > Limit Login Attempts
Nos permite limitar los intentos de sesión a través del login de WordPress ya sea por IP o mediante cookies, y si se excede el número de intentos muestra un mensaje de aviso.
Podemos configurar el número de intentos permitidos y los minutos que tendrá que esperar el usuario para volver a introducir los datos si ha fallado estos intentos.
Como vemos tiene pocas opciones y es fácil de configurar, es un plugin sencillo y ligero que hace únicamente aquello que promete.
Login LockDown
Login LockDown es similar al anterior y nos permite limitar los intentos de inicio de sesión ademas tiene muchas instalaciones activas y la ventaja de que es actualizado con frecuencia.
Una vez instalado sus opciones se encuentran en Ajustes > Login LockDown, también es muy fácil de configurar y como el anterior hace únicamente lo que promete.
Este plugin nos permite:
- Configurar el número de intentos de conexión fallidos.
- Elegir el tiempo de restricción entre intentos de conexión.
- El tiempo que será bloqueda una IP después de hacer varios intentos superando el tiempo de restricción.
- Configurar que al introducir un nombre de usuario incorrecto cuente como intento de conexión fallido.
- Quitar los mensajes que informan si has fallado en el nombre o en la contraseña para no dar pistas a los infractores.
- Mostrar un enlace follow, no follow o no mostrar un enlace con el nombre del plugin en el formulario de acceso a WordPress para apoyar a los desarrolladores.
- Apartado donde podemos ver que IP están bloqueadas.
Limitar los intentos de inicio de sesión con Wordfence
Wordfence es uno de los mejores plugin de seguridad web, contiene cientos de opciones como escáner de datos, firewall verificación en dos pasos y por supuesto con Wordfence podemos limitar los intentos de sesión.
Las opciones para configurar el límite de intentos de sesión en Wordfence se encuentran en Wordfence > Options en el apartado Login Security Options.
Podemos configurar Las opciones de la seguridad del login en la versión gratuita de Wordfence y estas opciones son:
- Forzar a los usuarios para que utilicen contraseñas fuertes.
- Elegir el número de errores de inicio de sesión antes de un bloqueo: Esto bloqueará una dirección IP durante un período de tiempo especificado si ese visitante genera el número especificado de errores de inicio de sesión.
- Elegir el número de veces que se puede olvidar la contraseña antes de un bloqueo.
- Periodo de tiempo en el que se producen los intentos de sesión: es el periodo de tiempo en el que se cuentan los intentos fallidos, después de ese periodo de tiempo el contador de fallos se reiniciará.
- Periodo de tiempo que un usuario es bloqueado al superar los intentos de sesión fallidos.
- Bloquear una IP si se utilizan usuarios que no existan. Esta opción es muy restrictiva y si te equivocas al poner tu propio nombre de usuario te bloqueara si no has configurado tu IP en la lista blanca de Wordfence.
- Configurar los mensajes de WordPress para que no revelen los usuarios válidos en los errores de inicio de sesión, muy útil para no dar pistas sobre los nombres de usuarios o contraseñas válidas.
- No permitir que los usuarios registren el usuario ADMIN, ya que es uno de los más frecuentes y por lo tanto de los más atacados.
- Evitar que descubran los nombres de usuario utilizados en una instalación de WordPress a través de exploraciones avanzadas de las URL de autor.
- Bloquear automáticamente IP que utilicen un nombre de usuario concreto.
Como vemos WordFence es muy completo en cuanto a la seguridad del login de WordPress.
Limitar los intentos de inicio de sesión con iThemes Security
IThemes Security es otro de los grandes plugin de seguridad para WordPress, es similar en características a Wordfence y también incluye la opción de limitar los intentos de acceso en el login de WordPress.
Las opciones se encuentran en Seguridad > Ajustes > Activar protección por fuerza bruta
Recomendaciones sobre la seguridad del Login
En mis paginas web utilizo Wordfence o iThemes Secury para conseguir una seguridad de la web mas completa y os recomiendo cualquiera de los dos para implementar los limites de sesión en WordPress.
Y si queréis una solución mas sencilla utilizar Login LockDown.
Hay que tener en cuenta que es frecuente que los usuarios de nuestra página web olviden sus usuarios y contraseñas e intenten más de 5 intentos de inicio de sesión al intentar recordar sus credenciales.
Por lo tanto, es recomendable establecer los límites de los intentos de sesión entre 5 y 20, lo que da a los usuarios muchas oportunidades de iniciar sesión, pero bloqueará un ataque de fuerza bruta creado por robots.
Si por cualquier circunstancia somos nosotros los bloqueados parcial o permanentemente por los plugin de seguridad podemos acceder por FTP y renombrar o borrar la carpeta del plugin para desactivarlo y poder entrar en la configuración de WordPress para reinstalarlo o ajustar sus opciones.
Otras formas de proteger el login de WordPress que podemos combinar con la medida de restringir los intentos de sesión son:
- Usar un Captcha en el login de WordPress.
- Cambiar la URL /wp-admin/ que da acceso al formulario de registro. Post «Cambiar la URL de wp-admin por seguridad»
- Implementar una verificación en dos pasos.
Espero que este post te haya sido de ayuda para mejorar adecuadamente la seguridad de WordPress.
Muy útil, aunque me surgen dudas ¿recomendarías además algún upgrade de hosting como defensa adicional contra el hacking? Es que en el que estoy actualmente me ofrecen una mejora extra y no estoy seguro de hacerlo, o si ya con lo que dices es suficiente.
Todos los extras de seguridad que permita tu hosting siempre son recomendables y serán útiles para aumentar la seguridad de la web.
Limitar los intentos de sesión es solo una medida más a tomar, puedes aprovechar los extra de seguridad que incluya tu hosting para aumentar más la seguridad, y si te ofrecen la característica de «limites de intentos de sesión desde el hosting» te puedes ahorrar instalar el plugin.
La ventaja de tener el plugin es que es muy fácil de configurar y es gratis.
Lo recomendable es que tengas varias medidas de seguridad ya sean medidas en el hosting o en la instalación de WordPress.
Muchas gracias por el post. Creo que ahora que estoy empezando, voy a instalar el LockDown para limitar los intentos de inicios de sesión en mi WordPress. Ya te contaré.
Un abrazo
Muy buenas Gerardo llegué a tu blog por una recomendación, cosa que me alegró porque gracias a ella me suscribí para no perderme nada.
Fuera de esto, un artículo muy completo, me gusta, porqueda das las opciones de plugins específicos para el tema de limitar inicios, y luego comentas las de dos de los plugins más usados como son Wordfence e IThemes Security, y no solo usados, sino también recomendados.
Una cuestión, sobre tema de doble autentificación, tirar de Google o Clef, por ejemplo, verdad?
Un saludo y gracias.
Hola Javi
Exacto, para el sistema de doble autentificación puedes utilizar los plugin Clef, Duo Two-Factor Authentication o Google Authenticator. Yo utilizo Clef y me funciona perfectamente.
Gracias por tu Feedback, me has alegrado el día.
Muy buen artículo!
Tengo una duda: si por ejemplo instalo el primer plugin y los ataques van sucediendo y se suceden los consiguientes bloqueos, durante estos yo también tengo limitado el acceso al backoffice?
Muchas gracias!
Cuando se bloquea a un usuario o bot, normalmente se hace mediante su IP y por lo tanto eso no te afecta a ti como administrador.
Saludos