La seguridad de la contraseña de WordPress es una gran preocupación para cualquier propietario de un sitio web. Después de todo, nadie quiere estar en la lista negra de Google por malware o por hackers para obtener acceso a información confidencial.
Si alguien piratea su sitio de WordPress, puede dañar seriamente la reputación y los ingresos comerciales de su organización.
Los piratas informáticos pueden robar contraseñas, información de usuario, instalar malware e incluso distribuir malware a los usuarios. Peor aún, incluso puede pagar a los ciberdelincuentes por ransomware solo para recuperar el acceso a su sitio web.
Para evitar que esto suceda, la seguridad de la contraseña de su sitio web es de suma importancia. Si bien el software principal de WordPress ya es seguro por sí solo, y cientos de desarrolladores lo verifican regularmente, todavía hay mucho que puede hacer para mejorar la seguridad de las contraseñas (incluso si no es muy experto en tecnología).
En esta guía, hemos enumerado los pasos que puede seguir para aplicar una contraseña más segura y proteger su sitio de piratas informáticos, malware y otros agujeros de seguridad.
Utilice nombres y contraseñas seguros
El primer paso para fortalecer la seguridad de su contraseña de WordPress es asegurarse de que todos los nombres de usuario y contraseñas tengan combinaciones de caracteres complejas.
De forma predeterminada, WordPress crea un usuario administrativo con «admin» como nombre de usuario. Si este nombre de usuario de administrador permanece activo en su sitio, cámbielo inmediatamente a un nombre de usuario más complejo.
Además, use contraseñas seguras que no sean fáciles de adivinar y que contengan letras mayúsculas y minúsculas, números y símbolos. Si desea que su contraseña sea lo más indescifrable posible, debe tener al menos 10-15 caracteres.
Para asegurarse de que todos los usuarios de su sitio tengan contraseñas seguras clasificadas por el Medidor de contraseñas de WordPress, puede habilitarlas en el menú Configuración de seguridad.
Este paso puede simplificarse un poco, pero es absolutamente necesario para crear contraseñas complejas. Si tiene una contraseña similar a «admin12345», básicamente le está dando a los piratas informáticos la clave del panel de administración. En su lugar, elige algo extremadamente difícil de adivinar, como «Ko9s2A! B1 & Nh».
Instale el enchufe de seguridad
Si le preocupa la seguridad de la contraseña de su sitio web, instalar un complemento de seguridad es simple. Algunos complementos de seguridad populares de WordPress incluyen WordFence, Sucuri y BulletProof Security.
Estos complementos de seguridad tienen características de primer nivel como:
- Fortalecimiento de la página de inicio de sesión – autenticación de dos factores, que limita los intentos de inicio de sesión fallidos y bloquea el acceso de direcciones IP específicas a la página de inicio de sesión
- Seguridad de la base de datos – fácil de cambiar el prefijo de la base de datos para que sea difícil localizarlo
- Escaneo de malware – escanear regularmente su sitio web para identificar y eliminar códigos maliciosos
- Funcionalidad de cortafuegos – bloquee las llamadas no deseadas y los ataques DDoS para que no cierren su sitio web
Sin embargo, si bien los complementos de seguridad confiables y bien diseñados aumentarán la protección de su sitio web contra ataques, también pueden realizar más cambios de los absolutamente necesarios.
Si ese es el caso, puede mejorar la seguridad de su sitio web con la misma eficacia con un complemento específico diseñado para implementar solo una función. Por ejemplo, WordPress PRO ofrece programación de escaneo de malware con la tecnología de Sucuri SiteCheck.
Comprueba diariamente el malware conocido, el estado de la lista negra, los errores del sitio web y el software obsoleto. Puede ver los resultados de análisis de malware anteriores en la página de registros.
Agregar autenticación de dos factores
Incluso si tiene contraseñas seguras y complejas, eso no las hace completamente inmunes a los ataques de piratas informáticos y otras vulnerabilidades de seguridad.
Para obtener protección adicional contra los ciberdelincuentes, utilice la autenticación de dos factores, que requiere que los usuarios activen una aplicación externa o un segundo dispositivo. Luego deberán confirmar su identidad en esa aplicación o dispositivo antes de poder iniciar sesión en WordPress.
¿Se pregunta cómo implementar la autenticación de dos factores en su sitio web? WordPress PRO ofrece esta función, y otros complementos de seguridad de terceros también incluyen esta mejora de seguridad de inicio de sesión.
Limite los intentos de inicio de sesión
Este paso es importante si desea proteger su sitio web de ataques de fuerza bruta.
Al usar Brute Force, los piratas informáticos pueden intentar iniciar sesión en su cuenta varias veces usando una combinación aleatoria de nombres de usuario y contraseñas.
Si estos intentos de inicio de sesión no se bloquean, es muy probable que el software de fuerza bruta proporcione los detalles correctos y obtenga acceso al panel de administración.
Con un complemento de seguridad como WordFence, puede limitar los intentos de inicio de sesión a tres intentos, manteniendo su sitio a salvo de ataques de fuerza bruta.
Usar un administrador de contraseñas
Como recomienda WordPress en su guía de contraseñas, la mejor manera de crear una contraseña segura es usar un administrador de contraseñas que genere selecciones largas y aleatorias de letras mayúsculas y minúsculas, números y símbolos.
Sin embargo, incluso si los usuarios pueden encontrar o elegir contraseñas generadas seguras, el aspecto de recordar es un problema.
Aquí es donde los administradores de contraseñas de terceros como 1Password y LastPass resultan útiles.
Algunos de los beneficios que ofrecen estas herramientas incluyen:
- Sirve como almacenamiento principal para nombres de usuario y contraseñas, por lo que solo necesita buscar las credenciales de inicio de sesión para todos sus sitios y aplicaciones en un solo lugar.
- Recopilación y protección de datos confidenciales que ingresa con frecuencia en línea.
- Generación de contraseñas completamente nuevas y seguras.
- Autocompletar detalles de inicio de sesión para elementos guardados. Esto es extremadamente conveniente si administra varias cuentas de usuario en un sitio.
Cerrar automáticamente la sesión de los usuarios inactivos
Los usuarios que inician sesión a menudo se alejan del tablero, lo que es un riesgo de seguridad. Los piratas informáticos pueden tomar el control de sus sesiones, realizar cambios en su cuenta e incluso cambiar sus contraseñas.
Muchos sitios web de banca y finanzas registran automáticamente a los usuarios inactivos, y también puede implementar esto en su sitio de WordPress. Simplemente instale el complemento de cierre de sesión inactivo.
Después de la instalación, actívelo y simplemente configure el tiempo antes de que el usuario cierre la sesión. También puede agregar un mensaje de cierre de sesión.
Agregar preguntas de seguridad
Agregar preguntas de seguridad a la pantalla de inicio de sesión de WordPress dificulta que los piratas informáticos obtengan acceso no autorizado. Al instalar el complemento WP Security Questions, puede agregar fácilmente preguntas de seguridad y mejorar la protección del panel de administración.
¡No olvides actualizar!
WordPress mantiene regularmente e instala automáticamente actualizaciones menores, pero para las versiones principales, deberá iniciarlas manualmente. Dado que WordPress también viene con miles de temas y complementos que puede instalar en su sitio web, son desarrollados por desarrolladores externos que también publican actualizaciones regularmente.
Estas actualizaciones de WordPress son cruciales para garantizar la estabilidad y seguridad de su sitio web. Siempre verifique que su núcleo, temas y complementos de WordPress estén actualizados.
¿Por qué es importante la seguridad de la contraseña de WordPress?
Google incluye en la lista negra más de 10 000 sitios al día por malware y alrededor de 50 000 sitios a la semana por phishing. Si cree que su sitio web o negocio no es lo suficientemente grande como para ser atacado por piratas informáticos, piénselo de nuevo.
A menudo, a los piratas informáticos no les importa cuán grande o pequeño sea su sitio, siempre que puedan ganar dinero vendiendo su información personal y la de sus clientes.
Dime si eres agencia de marketing digital, los piratas informáticos pueden instalar malware rápidamente para extraer datos en segundo plano, especialmente información personal y de facturación del cliente. Esto puede resultar en una pérdida de confianza en su negocio y una disminución de los ingresos.
Tener contraseñas más seguras y mantenerlas seguras es el primer paso para mantener su sitio web a salvo de los piratas informáticos. Esperamos que siga las recomendaciones anteriores para garantizar que todos usen Internet de manera más segura.
