Actualizado el martes, 29 agosto, 2023
Como ya sabes, WordPress es el creador de webs líder a nivel mundial, lo que resulta en que sean cada vez más usuarios los que se decanten por esta herramienta para lanzar sus páginas. La popularidad de WordPress hace que esté siempre en el punto de mira de los ciberdelincuentes, por eso hoy te traemos un tutorial de configuración del plugin Limit Login Attempts Reloaded, con el que proteges tu web de ataques de fuerza bruta.
Vayamos por partes.
Índice de contenidos
¿Qué son los ataques de fuerza bruta?
WordPress permite intentos ilimitados de login fallidos. Esto quiere decir que, por defecto, podrías intentar loguearte mediante /wp-login.php con tu nombre de usuario y contraseña las veces que quisieras, sin límite.
Esto hace que robots de Internet puedan tirarse horas probando credenciales distintas para entrar a webs de terceros y hackearlas.
En eso consisten los ataques de fuerza bruta: en hacer millones de intentos en el login de una web hasta conseguir hacerse con su control.
Y no solo de robots pueden provenir los ataques. También puede darse el caso de que una persona de tu entorno con interés en acceder a tu web, haya obtenido datos personales tuyos y pueda hacerse una idea de por dónde pueden ir tus credenciales. Si bien, a diferencia de los robots, esta persona no sería capaz de probar miles de combinaciones en muy poco tiempo, quizá no las necesite porque parte con ventaja.
En estos casos, el espectro de opciones se reducirá mucho. Por ejemplo, si tu contraseña en WordPress es el nombre de tu mascota, es evidente que cualquiera que te conozca probaría con esa opción muy pronto.
¿Cómo prevenirse de estos ataques?
Hay dos cosas básicas que puedes hacer y que no te costarán nada. Es más, no te llevarán apenas tiempo.
Lo primero, crea unas credenciales fuertes
Las combinaciones de nombres y números más fáciles de recordar son las primeras con las que prueban estos bots.
Imagínate que de usuario tienes “admin” y de contraseña el nombre de tu dominio. Las posibilidades de que accedan a tu WordPress sin tu permiso se disparan, por eso te decimos siempre que es muy importante que crees contraseñas seguras.
En este post te damos algunos trucos para diseñar contraseñas seguras y que al mismo tiempo sean fáciles de recordar.
No te sirve de nada que escribas una superdifícil, combinando caracteres de todo tipo aleatoriamente, si después la vas a olvidar a la primera de cambio.
Segundo, cambia el usuario admin
El nombre de usuario que crea WordPress por defecto es “admin”, por lo que si no lo cambias se lo estarás poniendo mucho más fácil a los malos. Será la primera opción que prueban si están intentando acceder a tu web.
WordPress no deja hacer este cambio directamente desde su interfaz, pero tienes una alternativa muy recomendable. Con el plugin Username Changer puedes cambiar el nombre de tu usuario de tu web en WordPress en pocos pasos. Aquí te dejamos un tutorial de Username Changer.
Qué puede hacer por ti el plugin Limit Login Attempts Reloaded
Lo que hace Limit Login Attempts es algo tan sencillo como limitar el número de veces que un usuario puede hacer login de forma incorrecta en su web. Al superar este límite, el usuario queda bloqueado durante un tiempo.
Este plugin tiene más de 2 millones de instalaciones activas en todo el mundo. Además, se actualiza constantemente y está disponible en muchos idiomas.
Estas son sus características gratuitas más importantes, con las que tendrás más que suficiente para proteger el inicio de sesión de tu WordPress:
- Limitar el número de reintentos de acceso a tu WordPress.
- Definir un tiempo de bloqueo personalizado.
- Informar al usuario sobre los reintentos que le quedan y el tiempo que estará bloqueado.
- Avisar por email al administrador de la web de los intentos bloqueados.
- Registrar los intentos bloqueados.
- Habilitar una lista blanca con IP o nombres de usuario sobre los que no quieres que actúen estas configuraciones.
- Habilitar una lista negra con IP o nombres de usuario para que no puedan entrar en ningún caso.
Instalación de Limit Login Attempts Reloaded
Te recordamos que Limit Login Attempts Reloaded viene incluido dentro de nuestro plan de WordPress Optimizado. Si ya tienes el WordPress Optimizado de dinahosting incorporado en tu hosting, el plugin ya te viene activado de serie y por lo tanto no necesitas instalar nada.
Si no tienes un WordPress Optimizado, al igual que harías con cualquier otro plugin de WordPress, dirígete al menú de administración de la izquierda, y ve a Plugins > Añadir nuevo.
En la barra de búsqueda que tienes arriba a la derecha, escribe el nombre Limit Login Attempts Reloaded.
En cuanto lo localices, instálalo y actívalo.
Configuración de Limit Login Attempts Reloaded
Accede al apartado de Ajustes > Limit Login Attempts Reloaded que tienes en el menú de la izquierda de tu WordPress para configurar todas las opciones en función de tus preferencias.
Esta es la interfaz con la que te encontrarás:
Te indicamos para qué sirve cada apartado:
- Total lockouts: te da el número de bloqueos totales que ha hecho ya el plugin.
- GDPR compliance: selecciona esta opción para cumplir con el Reglamento General de Protección de Datos y proteger los datos que recopile el plugin siguiendo lo que dice esta normativa.
Más abajo ya tienes las cuatro opciones que puedes configurar para tus bloqueos:
- Intentos permitidos. Por defecto, el plugin permite 4. Puedes bajarlo a 3 si quieres, suele ser lo habitual.
- Minutos por bloqueo. Por defecto, son 20 minutos, pero es recomendable que aumentes un poco el tiempo. 20 minutos es una espera relativamente corta, por lo que si indicas 1 hora o más es probable que los atacantes desistan antes y se vayan a buscar otra web.
- Que un número concreto de bloqueos derive en una espera de determinadas horas. Por defecto, el plugin establece que tras 4 bloqueos la espera sea de 24 horas. Puedes dejar así este valor si quieres.
- Las horas a las que se restablecen los intentos. El plugin marca 12 horas a partir de las cuales los intentos se eliminan. Esto quiere decir que si metes mal las credenciales tres veces, y no quieres arriesgarte a fallar una cuarta y caer en un bloqueo de 24 horas, lo mejor es que esperes 12 horas a que se restablezcan los límites y partas de 0 de nuevo.
A continuación, puedes indicar una dirección de correo a la que quieres que el plugin te notifique los bloqueos, y a partir de cuántos te interesa estar informado.
Luego tienes la opción crear una Whitelist y una Blacklist:
- Whitelist: sobre las IP o nombres de usuario que indiques en los recuadros, el plugin no actuará. Por ejemplo, añade el usuario o usuarios que hayas creado para tu web. O si lo prefieres, las direcciones IP desde la que os conectáis tú o tus personas de confianza (como la persona que te desarrolla la web si la tienes).
- Blacklist: en este caso se trata de IP o nombres de usuario que bloquea directamente. Por ejemplo, puedes introducir direcciones IP que hayas detectado que tienen comportamientos sospechosos.
Justo debajo, te deja añadir orígenes de IP de confianza.
Si habilitas bien las opciones iniciales, podrías obviar estas configuraciones extra. No son imprescindibles para que el plugin haga bien su función.
Finalmente, abajo del todo tienes un registro de los bloqueos que el plugin Limit Login Attempts Reloaded ha realizado para que puedas consultarlo.
Así actúa el plugin en el login
Una vez el plugin esté activado, esto es lo que verá un usuario que introduzca mal las credenciales de acceso a tu WordPress:
Si el número de intentos se excede, el login se bloquea:
Por supuesto, el límite de bloqueos restantes y el tiempo durante el que el login estará bloqueado variará en función de las configuraciones que tú hayas establecido. Los avisos cambiarán en función de ello.
Y hasta aquí el tutorial de configuración de Limit Login Attempts Reloaded. Ya ves que es un plugin muy, muy fácil de usar y sin duda marcará la diferencia en la seguridad de tu web en WordPress.
¿Ya lo conocías? ¿Lo estás utilizando? Déjanos tus impresiones en los comentarios 🙂
Deja una respuesta