Seguridad de acceso
Este tutorial abarca los siguientes temas:
URL de acceso personalizada
La URL de inicio de sesión predeterminada de WordPress es un objetivo común de atacantes y bots de SPAM. Con el plugin Security Optimizer tienes la opción de cambiar la URL a una personalizada y evitar este tipo de ataques. Si has habilitado el registro de usuario para tu sitio web, también puedes cambiar la URL de registro predeterminada.
Acceso al inicio de sesión
Por defecto, cualquiera puede acceder a tu página de inicio de sesión de WordPress. Puedes usar esta funcionalidad para permitir el acceso al wp-admin solo desde tu IP. Si estás utilizando una IP dinámica, puedes añadir a la lista blanca el rango de posibles IPs que tu ISP puede asignarte para evitar cualquier problema accediendo al panel de administración de WordPress.
Autenticación de doble factor para usuarios administradores y editores
La verificación de doble factor es una de las formas más fáciles y seguras de proteger tus datos contra la piratería y el robo de identidad. Funciona combinando algo que solo tú conoces (tu nombre de usuario y contraseña) con algo a lo que solo tú tienes acceso (tu smartphone).
Cuando lo activas, además de tu nombre de usuario y contraseña habituales, comenzarás a utilizar una segunda contraseña generada por una aplicación en tu smartphone. Por lo tanto, incluso si uno de los dos factores se ve comprometido, tus datos siguen estando seguros.
Cuando habilitas esta opción, a todos los usuarios administradores y editores se les pedirá que configuren su autenticación de doble factor en su próximo inicio de sesión.
Escanea el código QR en la página con Google Authenticator en tu teléfono e ingresa el código de seis dígitos para iniciar sesión.
Los códigos de respaldo pueden ser utilizados en caso de perder el acceso a la aplicación Authenticator. Son generados al configurarse la autenticación de doble factor y visibles bajo wp-admin > Usuarios > Perfil. Una vez un código de respaldo es utilizado, será removido de la lista y no podrá volver a usarse. Si se usan más de 5 códigos de respaldo, se generará automáticamente una nueva lista de códigos que estarán disponibles para poder utilizarse.
Deshabilitar nombres de usuario comunes
El uso de nombres de usuario comunes como ‘admin’ es una amenaza para la seguridad que a menudo resulta en un acceso no autorizado. Al habilitar esta opción, deshabilitaremos la creación de nombres de usuario comunes y si ya tienes uno o más usuarios con un nombre de usuario débil, te pediremos que proporciones uno(s) nuevo(s). Además, cuando se active, aparecerá una ventana emergente en la que podrás elegir un nuevo nombre de usuario y reemplazar automáticamente los débiles existentes.
Limitar los intentos de inicio de sesión
Establece un límite al número de veces que un usuario determinado puede intentar iniciar sesión en tu wp-admin con credenciales incorrectas. Una vez que se alcanza el límite de intentos de inicio de sesión, la IP desde la que se originaron los intentos se bloqueará durante 1 hora. Si los intentos continúan después de la primera hora, el límite se establecerá por 24 horas y luego por 7 días. Puedes remover manualmente los bloqueos en cualquier momento en la página de registro de actividad > pestaña bloqueado > menú de contexto, en las acciones y junto a la IP verás la opción de desbloqueo.