Página principal » WordPress » 5 consejos para reforzar tu seguridad de inicio de sesión de WordPress

    5 consejos para reforzar tu seguridad de inicio de sesión de WordPress

    No importa el tamaño de su sitio web, perder los datos de su sitio o no poder acceder a su propio sitio web puede ser una experiencia angustiosa. WordPress, que alimenta a más del 25% de la web, es uno de los sitios web más específicos para piratas informáticos..

    En nuestras publicaciones anteriores, te hemos mostrado una serie de consejos y trucos que ya cubren casi todo para asegurar su sitio web de WordPress. Sin embargo, siempre hay espacio para mejorar. En esta publicación veremos algunos consejos más para ayudarlo a hacer que su sitio de WordPress sea más difícil de infringir.

    1. Bcrypt Password Hashing

    WordPress se inició en 2003 cuando PHP y la Web en general aún estaban en sus inicios. Facebook aún no existía, PHP ni siquiera tenía una arquitectura OOP (Programación orientada a objetos) incorporada; Por lo tanto, WordPress heredó legados que ya no son ideales en la actualidad, incluso cómo encripta la contraseña.

    WordPress hasta el día de hoy todavía usa MD5. hashing. Básicamente, lo que hace es convertir tu 123456 contraseña en algo como e10adc3949ba59abbe56e057f20f883e.

    Sin embargo, dado que las computadoras son ahora más sofisticadas que hace 10 años, este hash La contraseña ahora se puede revertir fácilmente en su forma casi instantánea.

    PHP tiene cifrado nativo desde 5.5 y si su WordPress se está ejecutando en PHP5.5 o superior, hay un útil complemento llamado wp-password-bcrypt que le permite adoptar esta utilidad nativa en PHP.

    Instale y active el complemento a través de Composer o mediante MU-Plugins. Vuelva a guardar su contraseña y ya está todo listo.

    2. Habilitar WordPress.com Protect

    Brute-force es un intento de pirateo común en el que los atacantes intentan iniciar sesión en su sitio web adivinando numerosas contraseñas posibles, generalmente palabras que se encuentran en el diccionario. Esta es la razón por la que debe establecer una contraseña difícil de adivinar.

    Automattic, la gente detrás de WordPress.com, ha adquirido uno de los complementos de WordPress más populares que pueden contrarrestar los ataques de fuerza bruta. Se llama BruteProtect y se integra con Jetpack..

    Basado en nuestra experiencia, tiene nos ayudó tremendamente Combatir los ataques de fuerza bruta más de cerca de un millon veces.

    Jetpack Dashboard Widget que informa la cantidad de ataques y spam que se han producido.

    Para obtenerlo, debe instalar la última versión de Jetpack y conectar su sitio web a WordPress.com. A continuación, active la “Proteger” módulo, y la lista blanca de su propia dirección IP también.

    Ahora deberías sentirte un poco más seguro..

    3. Ocultar su URL de inicio de sesión

    WordPress es muy conocido por la página de inicio de sesión., wp-login.php. Por lo tanto, los piratas informáticos saben cuál es la página exacta para dirigir sus ataques de fuerza bruta. Puedes hacerlo más difícil para ellos por disfrazando su URL de inicio de sesión de WordPress.

    Afortunadamente, hay algunos complementos que proporcionan esta utilidad:

    • Seguridad de iThemes
    • WPS Hide Login

    4. Deshabilitar “Contraseña olvidada”

    los “Contraseña olvidada” La utilidad en el formulario de inicio de sesión es una forma de acceso para los atacantes, que normalmente pasan por una inyección de SQL para obtener sus credenciales de inicio de sesión. Si solo hay unas pocas personas que tienen acceso al área de administración, puede ser mejor apagarlo.

    Para hacerlo, crea una nueva carga de archivo - nómbrela olvidar-contraseña.php.

    Primero cambiamos la contraseña perdida URL:

     function lostpassword_url () return site_url ('wp-login.php');  add_filter ('lostpassword_url', 'lostpassword_url');

    Eliminar el enlace. Desafortunadamente, WordPress no proporciona un gancho adecuado para hacer esto de manera ordenada a través de un Añadir filtro función. Entonces, lo hacemos con JavaScript..

     function lostpassword_elem ($ page) ?>   
    Por último, redirigimos el “Contraseña perdida” URL a la pantalla de inicio de sesión.
     
     función lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], array ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp login.php ', 301); salida;  add_action ('init', 'lostpassword_redirect'); 
     
    5. Habilitar HTTPS
     
    HTTPS le da a su sitio una capa adicional de seguridad con la transmisión de datos. También puede darle un impulso en los rankings de búsqueda de Google. Y ahora puedes obtener un certificado HTTPS válido. gratis A través de la iniciativa comunitaria Let's Encrypt..
     
    Para los sitios web de WordPress puede obtener fácilmente un Vamos a cifrar Certificado con cifrado WP. Por lo tanto, no hay ninguna razón por la que no deba implementar HTTPS en su sitio web hoy.
     
     
    Terminando
     
    Solo me gustaría dejarles el recordatorio de que, a pesar de todos estos intentos, nuestros sitios web Todavía podría estar sujeto a ataques, piruetas y ser comprometido por hackers a través de medios más allá de nuestra comprensión. Incluso grandes empresas como Dropbox y LinkedIn han sido víctimas de amenazas de seguridad.
     
    Como último recurso, Recuerde realizar copias de seguridad periódicas de los archivos y la base de datos de su sitio web. cuando puedas.
    Las 5 mejores aplicaciones de realidad aumentada para la educación
    5 características principales de Windows 8 que te encantarán
    5 consejos para acelerar el tiempo de carga del iPhone
    Siguiente articulo
    5 herramientas para administrar su flujo de trabajo y colaboración en línea
    Artículo anterior
    5 consejos para abordar el trabajo independiente con un trabajo de tiempo completo