WordPress Seguridad

WordPress es gratuito

Image

Autenticación en dos pasos para WordPress

La autenticación en dos pasos puede evitar inicios de sesión ilegítimos. Si un usuario olvida su teléfono en casa y tiene habilitada la autenticación en dos pasos, entonces no podrá acceder a su cuenta. Esta es una de las principales razones por las que los teléfonos inteligentes han sido útiles para la autenticación en dos pasos: es más probable que los usuarios lleven consigo sus teléfonos que casi cualquier otra cosa.

Autenticador de Google

El complemento o plugin Google Autenticador para WordPress le brinda autenticación en dos factores mediante la aplicación Google Authenticator para Android / iPhone / Blackberry.

Si conoce la seguridad, es posible que ya tenga instalada la aplicación Google Authenticator en su teléfono inteligente, utilizándola para la autenticación de dos factores en Gmail / Dropbox / Lastpass / Amazon, etc.

Si quiere utilizar este complemento o plugin vaya a su dirección: https://wordpress.org/plugins/google-authenticator/

Ataques de fuerza bruta

A diferencia de los hacks que se centran en las vulnerabilidades del software, un Brute Force Attack tiene como objetivo ser el método más simple para obtener acceso a un sitio: prueba los nombres de usuario y las contraseñas, una y otra vez, hasta que ingresa. A menudo, se lo considera 'poco elegante', pueden tener mucho éxito cuando las personas usan contraseñas como '123456' y nombres de usuario como 'admin'.

Son, en resumen, un ataque al eslabón más débil de la seguridad de cualquier sitio web ... usted.

Debido a la naturaleza de estos ataques, puede encontrar que la memoria de su servidor se dispara, causando problemas de rendimiento. Esto se debe a que la cantidad de solicitudes http (es decir, la cantidad de veces que alguien visita su sitio) es tan alta que los servidores se quedan sin memoria.

Este tipo de ataque no es endémico de WordPress, ocurre con todas las aplicaciones web que existen, pero WordPress es popular y, por lo tanto, un objetivo frecuente.

Puede hacer algunas cosas para protegerse

No use el nombre de usuario 'admin' La mayoría de los ataques asumen que las personas están usando el nombre de usuario 'admin' debido al hecho de que las primeras versiones de WordPress lo tenían por defecto. Si todavía está usando este nombre de usuario, cree una nueva cuenta, transfiera todas las publicaciones a esa cuenta y cambie 'admin' a un suscriptor (o elimínelo por completo).

Utilice buenas contraseñas. El objetivo de su contraseña es hacer que sea difícil deadivinar para otras personas y difícil que un ataque de fuerza bruta tenga éxito. Hay muchos generadores de contraseñas automáticos en Internet, que se pueden utilizar para crear contraseñas seguras. Una alta recomendación, es que anote sus contraseñas en un lugar seguro, (en la lista de la compra, por ejemplo, no).

WordPress también cuenta con un medidor de seguridad de la contraseña que se muestra al cambiar su contraseña en WordPress. Use esto cuando cambie su contraseña para asegurarse de que su fuerza sea adecuada.

Si decide bloquear wp-login.php o wp-admin, es posible que obtenga un error 404 o 401 al acceder a esas páginas. Para evitar eso, deberá agregar lo siguiente a su archivo .htaccess. (ErrorDocument 401 default)

Francisco González

Autor: Francisco González

Obtener WordPress