Última actualización el 20 de junio de 2024 por Jérôme Kerviel

Limitar los intentos de inicio de sesión en WordPress es crucial para mejorar la seguridad de su sitio web. Aquí tienes una guía paso a paso sobre cómo hacerlo:

Aunque WordPress es una plataforma segura, esto no significa que su sitio sea inmune a los intrusos. Uno de los ataques más comunes es el de hackers humanos o bots que intentan forzar su página de inicio de sesión probando varias combinaciones de nombre de usuario y contraseña hasta que algo funciona. Para evitar que lo consigan, puedes utilizar un plugin de WordPress para limitar los intentos de inicio de sesión.

Al restringir el número de intentos desde una IP específica dentro de un plazo determinado, puede bloquear los intentos de acceso excesivos, reforzando la seguridad.

Este post te guiará en la configuración de esta característica de seguridad con un plugin gratuito, discutiendo sus ventajas e inconvenientes. ¡Entremos en materia!

1. Utilice un plugin de seguridad

Una de las formas más sencillas de limitar los intentos de inicio de sesión es utilizar un plugin de seguridad. Plugins como WordfenceiThemes Security o Limit Login Attempts Reloaded ofrecen sólidas funciones para proteger su sitio.

Pasos:

• Instale y active el plugin de su elección.
• Vaya a la configuración del plugin.
• Configure los límites de intentos de inicio de sesión según sus preferencias (por ejemplo, bloquear una IP después de tres intentos fallidos).

por ejemplo Instalar el "Limitar los intentos de inicio de sesión"Complemento

Para la mayoría de los usuarios, un plugin de WordPress para limitar los intentos de inicio de sesión es la mejor opción para restringir los intentos de inicio de sesión. Hay varias opciones de calidad, pero recomendamos el plugin gratuito Limit Login Attempts Reloaded porque es:

• Ofrece una versión gratuita.
• Popular: activo en más de 2 millones de sitios, según WordPress.org.
• Bien valorado - 98%.
• Fácil de usar.

Una vez activado el plugin, puedes abrirlo y accederás a su panel de control. Aquí es donde se obtiene una visión general, incluyendo el número total de intentos fallidos de inicio de sesión de las últimas 24 horas y un panel de configuración.

Paso 2: Personalizar la configuración del plugin

En primer lugar, diríjase a la página "Ajustes". Es una buena idea empezar seleccionando el área "Cumplimiento del GDPR"en la parte superior. Esto mostrará un mensaje de seguridad en su página de inicio de sesión de administrador de WordPress, manteniendo las cosas transparentes. Además, considere activar la opción "Notificar el bloqueo. De este modo, se le informará por correo electrónico cada vez que alguien intente iniciar sesión demasiadas veces y no lo consiga, quedando a su entera discreción el umbral de "demasiados intentos de inicio de sesión".

Por debajo, el "Aplicación localLa sección "Intentos de inicio de sesión" te permite ajustar las reglas relativas a los intentos de inicio de sesión, incluido el número de intentos permitidos antes del bloqueo, la duración del bloqueo de un usuario tras varios intentos fallidos y la especificación de la duración y el aumento de los bloqueos para los infractores reincidentes.

Si no está seguro de cuál debe ser la configuración correcta, puede utilizar los números predeterminados.

No es necesario ajustar los datos que se encuentran en el "Orígenes IP de confianza"así que siga adelante y haga clic en "Guardar configuración". Para probar si el plugin funciona, simplemente vaya a la página de inicio de sesión de su sitio web e introduzca la información de inicio de sesión incorrecta. Aparecerá un mensaje diciendo que se han introducido credenciales de acceso incorrectas, así como cuántos intentos le quedan. También se enviará un mensaje a tu dirección de correo electrónico para informarte de los intentos fallidos. Por supuesto, también puedes comprobar los intentos fallidos en tu panel de control:

¿Cuáles son las ventajas de limitar los intentos de inicio de sesión?

No todas las técnicas de seguridad son adecuadas para todos los sitios web, y ésta tiene tanto ventajas como inconvenientes potenciales. Veamos las ventajas de limitar los intentos de inicio de sesión:

• Evita que los humanos y los bots automatizados puedan probar cientos (o miles) de combinaciones de nombre de usuario/contraseña hasta dar con la correcta.
• Un bloqueo temporal suele bastar para disuadir de un ataque, ya que el hacker o bot pasará al siguiente objetivo probable.
• La mayoría de tus usuarios legítimos sólo necesitarán un único intento de inicio de sesión, o quizá unos pocos si olvidan o teclean mal sus credenciales.

¿Y los inconvenientes?

Implantación de una plugin wordpress que limita los intentos de inicio de sesión no está exenta de dificultades. Considere los siguientes inconvenientes:

• Añadir un plugin a tu sitio. Aunque este plugin es muy ligero, esto puede desanimar a los propietarios de sitios que quieran mantener un recuento bajo de plugins (por motivos de seguridad o rendimiento).
• Por supuesto, el inconveniente es que, de vez en cuando, un verdadero usuario puede tener problemas para iniciar sesión y quedarse bloqueado.

2. Configurar el archivo .htaccess

Para aquellos que se sientan cómodos con la codificación y tengan acceso al sistema de archivos de su servidor, modificar el archivo .htaccess es una forma eficaz de limitar los intentos de inicio de sesión y proteger su Sitio de WordPress de ataques de fuerza bruta. El sitio .htaccess es un potente archivo de configuración utilizado por el servidor web Apache para controlar varios ajustes del servidor, incluidas las configuraciones de seguridad. Aquí tienes una guía detallada sobre cómo configurar tu .htaccess para limitar los intentos de inicio de sesión:

Pasos para modificar el archivo .htaccess:

1. Acceda a los archivos de su sitio web

• Uso del cliente FTP:
  • Descargue e instale un cliente FTP (como FileZilla).
  • Conéctese al servidor de su sitio web utilizando sus credenciales FTP.
  • Navegue hasta el directorio raíz de su instalación de WordPress, normalmente denominado public_html o similar.
• Utilizando el Panel de Control de Hosting:
  • Acceda al panel de control de su alojamiento web (como cPanel).
  • Utilice la herramienta Administrador de archivos para navegar hasta el directorio raíz de su sitio WordPress.

2. Copia de seguridad del archivo .htaccess

Antes de hacer cualquier cambio, es crucial crear una copia de seguridad de su actual .htaccess para asegurarte de que puedes restaurarlo si algo va mal.

• Descargar el .htaccess a su ordenador local utilizando su cliente FTP o el Administrador de Archivos del panel de control de alojamiento.

3. Editar el archivo .htaccess

Abra el .htaccess utilizando un editor de texto (como Notepad++ o el editor integrado en el panel de control de su alojamiento).

4. Añadir código para limitar los intentos de inicio de sesión

Añada el siguiente fragmento de código al archivo .htaccess para limitar los intentos de inicio de sesión:

<IfModule mod_rewrite.c>
Motor de reescritura En
ReescribirBase /
RewriteCond %{MÉTODO_DE_PETICIÓN} POST
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$
RewriteCond %{REMOTE_ADDR} !^123\.456\.789\.000$
RewriteCond %{REMOTE_ADDR} !^111\.222\.333\.444$
RewriteCond %{REMOTE_ADDR} !^555\.666\.777\.888$
Regla de reescritura ^(.*)$ - [F,L]
</IfModule>

Explicación del Código:

• RewriteEngine On: Activa el motor de reescritura en tiempo de ejecución.
• RewriteBase /: Establece la URL base para las reescrituras por directorio.
• RewriteCond %{REQUEST_METHOD} POST: Aplica la regla sólo a las solicitudes POST (que se utilizan para los intentos de inicio de sesión).
• RewriteCond %{REQUEST_URI} ^(.)?wp-login.php(.)$: Aplica la regla a las solicitudes de wp-login.php archivo.
• RewriteCond %{REMOTE_ADDR} !^123.456.789.000$: Excluye direcciones IP específicas de la regla. Sustituir 123.456.789.000 con las direcciones IP reales a las que desea permitir el acceso. Añada tantas RewriteCond líneas según sea necesario para cada IP permitida.
• RewriteRule ^(.*)$ - [F,L]: Deniega el acceso (devuelve un estado 403 Prohibido) e impide que se procesen más reglas.

5. Guardar y cargar el archivo

• Guarde los cambios en .htaccess archivo.
• Suba el archivo modificado de nuevo a su servidor utilizando su cliente FTP o guárdelo directamente si utiliza el editor del panel de control del alojamiento.

6. Probar los cambios

• Intente acceder a su sitio WordPress desde una dirección IP no permitida para asegurarse de que la regla funciona correctamente. Debería recibir un error 403 Forbidden.
• Compruebe que aún puede iniciar sesión desde las direcciones IP permitidas.

Consejos adicionales:

• Ponga su IP en la lista blanca: Asegúrese siempre de que su dirección IP está en la lista blanca de la .htaccess para evitar bloquearse.
• Direcciones IP dinámicas: Si tu dirección IP cambia con frecuencia, considera usar una VPN con IP estática o un servicio como DynDNS para mantener el acceso.
• Actualizaciones periódicas: Revisar y actualizar periódicamente el .htaccess para garantizar que cumple los requisitos de seguridad. y se adapta a cualquier cambio en las direcciones IP.

Modificación del .htaccess para limitar los intentos de inicio de sesión es un método robusto y flexible para mejorar la seguridad de su sitio WordPress. Aunque requiere algunos conocimientos técnicos, el proceso es sencillo y proporciona una capa adicional de protección contra intentos de acceso no autorizados. Recuerde siempre hacer una copia de seguridad de su .htaccess antes de realizar cambios y pruébelo a fondo para asegurarse de que su sitio sigue siendo accesible a los usuarios autorizados.

 

Conclusión

Aunque no es estrictamente necesario, instalar un plugin para limitar los intentos de inicio de sesión es un paso inteligente y proactivo para proteger su sitio de WordPress. Se trata de una pequeña inversión de tiempo que merece la pena, ya que fortalece tu sitio frente a los ataques de fuerza bruta, una de las tácticas favoritas de los hackers que atacan a la generosa base de usuarios de WordPress.

Además, la modificación del .htaccess para limitar los intentos de inicio de sesión es un método sólido y flexible para mejorar la seguridad de su sitio. Aunque este método requiere algunos conocimientos técnicos, el proceso es sencillo y proporciona una capa adicional de protección contra los intentos de acceso no autorizados. Recuerde siempre hacer una copia de seguridad de su .htaccess antes de realizar cambios y pruébalo a fondo para asegurarte de que tu sitio sigue siendo accesible para los usuarios autorizados. Combinando ambos métodos -utilizando un plugin y configurando el archivo .htaccess puede ofrecer una seguridad completa para su sitio WordPress.