¿Cómo limitar los intentos de inicio de sesión en WordPress?

En nuestro artículo anterior, hemos explicado diferentes formas de detener los ataques de fuerza bruta en el sitio de WordPress. En comparación con todas las demás opciones, limitar los intentos de inicio de sesión de su página de inicio de sesión de WordPress es una de las formas más efectivas de proteger su sitio. La mayoría de los usuarios piensan que esta es una tarea difícil y no hacen lo suficiente para mejorar la seguridad de su sitio web. Esto se debe principalmente al hecho de que puede llevar mucho tiempo, ser caro y francamente difícil. Pero, ¿qué pasa si le decimos que puede limitar los intentos de inicio de sesión en su sitio de WordPress en menos de 10 minutos usando un complemento? Siga leyendo para saber cómo puede hacerlo.

¿Por qué limitar los intentos de inicio de sesión en WordPress?

WordPress ofrece un formulario de inicio de sesión simple al que se puede acceder agregando el sufijo / wp-admin / o /wp-login.php a la URL de su sitio web. Aunque puede cambiar esta URL con un complemento, puede crear otros problemas, ya que muchos complementos de WordPress utilizan la misma página de inicio de sesión para acceder al panel de control. A continuación se muestran algunos tipos de complementos que pueden usar su página de inicio de sesión de WordPress:

• Complementos de la tienda en línea como WooCommerce
• Complemento de suscripción de contenido
• Complementos de membresía

No parecerá profesional proporcionar una URL o contraseña personalizadas a sus clientes que pagan. Por lo tanto, la mejor opción es limitar los intentos de inicio de sesión, lo que permitirá a sus clientes iniciar sesión en su sitio y al mismo tiempo restringir los bots automatizados.

Además, el bloqueo de bots ahorrará ancho de banda del servidor que se puede utilizar para atender a los visitantes reales de su sitio.

Limitar los intentos de inicio de sesión del complemento recargado

Nuestra solución a este problema viene en forma de Limit Login Attempts Reloaded Plugin. Es sin duda el mejor complemento de WordPress para limitar los intentos de inicio de sesión y es bastante fácil de configurar e implementar.

• Abra su portal de administración de WordPress y vaya a la sección "Complementos> Agregar nuevo".
• Simplemente escriba "límite de inicio de sesión" en el cuadro de búsqueda para encontrar la lista de complementos relevantes.
• Busque el complemento Limitar intentos de inicio de sesión recargado en el resultado de la búsqueda, haga clic en "Instalar" y luego haga clic en "Activar" poco después, como se muestra en la captura de pantalla a continuación.

Panel de complementos

Después de la instalación y activación, encontrará un nuevo menú en la barra lateral de su panel de WordPress con el nombre "Limitar intentos de inicio de sesión". Haga clic en ese menú para ingresar al panel de control del complemento. Alternativamente, también puede acceder a la página desde "Configuración> Limitar intentos de inicio de sesión", como se muestra en la captura de pantalla a continuación.

Al ingresar a la página, verá la sección del tablero del complemento. Aquí podrá obtener una descripción general de todo, así como controlar lo siguiente:

• Vea el número total de intentos fallidos de inicio de sesión en su sitio web en un formato representado gráficamente en forma de gráfico circular y gráfico de barras.
• Actualice a la versión premium del complemento. Si bien la versión gratuita del complemento será más que adecuada para la mayoría de los usuarios, si experimenta un rendimiento reducido del sitio web después de instalar el complemento, la actualización a premium debería resolver este problema, ya que el complemento comenzará a absorber ataques de fuerza bruta en su nube. servidor en lugar de local. También obtendrá soporte las 24 horas, respaldo automático de todos los datos y aceleración avanzada sobre otras cosas.
• Vea estadísticas interesantes como intentos de inicio de sesión fallidos por países a diario.

Configurar la configuración del complemento

Haga clic en la pestaña de configuración para realizar configuraciones y cambios específicos en la configuración de inicio de sesión predeterminada de WordPress. En esta página, podrá realizar los siguientes cambios:

• Notificar sobre bloqueo: una dirección de correo electrónico que ingrese será notificada cada vez que el sitio web haya sido bloqueado debido a múltiples intentos fallidos de inicio de sesión. De forma predeterminada, el complemento notificará por correo electrónico después de 3 bloqueos, pero puede cambiarlo a cada bloqueo ingresando "1" en lugar de 3, como se muestra a continuación.

• Configuración de bloqueo: en esta sección, puede realizar las siguientes modificaciones de seguridad:
  • Reintentos permitidos: esta es la cantidad de veces que puede intentar iniciar sesión en el portal de administración del sitio web. El valor predeterminado del complemento aquí es 4, pero 2 o 3 serán mejores desde el punto de vista de la seguridad.
  • Bloqueo de minutos: este es el tiempo que el portal de administración del sitio web estará inaccesible. En nuestra opinión, el valor predeterminado de 20 minutos es apropiado, pero también puede realizar cambios según sus preferencias.

• Los bloqueos aumentan el tiempo de bloqueo: esto esencialmente se refiere a lo que sucederá después de múltiples bloqueos. Por ejemplo, según la configuración predeterminada del complemento, después de 4 bloqueos, la duración del bloqueo cambiará de 20 minutos a 24 horas.
• Los reintentos se restablecen: el valor que ingrese determinará cuánto tiempo pasará antes de que se restablezcan los reintentos y el usuario pueda intentar iniciar sesión nuevamente.
• Orígenes de IP de confianza: si tiene orígenes específicos en los que confía, puede ingresarlos aquí separados por comas. Al igual que el complemento, también recomendamos que elija el origen REMOTE_ADDR predeterminado, ya que otros orígenes se pueden falsificar fácilmente.

Una vez que haya ingresado la configuración específica para el complemento, no olvide hacer clic en "Guardar configuración" para activar su configuración.

Ver registros

Además, desde la pestaña de registros, podrá ver los bloqueos totales hasta el momento, así como enumerar manualmente los rangos de IP o IP que desea bloquear o lista segura.

Vea el complemento en acción

Entonces, ahora que hemos configurado el complemento, veamos cómo funciona realmente. Cierre sesión en el portal de administración de WordPress y cuando esté en la página de inicio de sesión, ingrese un nombre de usuario y contraseña no válidos para probar el complemento. Como puede ver, el complemento muestra claramente cuántos intentos tiene antes de que el sitio bloquee su dirección IP. Verá un mensaje como "Quedan 3 intentos", ya que hemos configurado para limitar el inicio de sesión con 3 intentos no válidos.

Si continúa ingresando un nombre de usuario o contraseña incorrectos, encontrará un estado de bloqueo como se muestra en la captura de pantalla a continuación. En esta situación, no podrá enviar otra solicitud de inicio de sesión hasta que expire la duración del bloqueo, 20 minutos en este caso. De hecho, incluso si envía las credenciales correctas, el complemento no le permitirá iniciar sesión durante este período de bloqueo.

Ultimas palabras

Recomendamos encarecidamente limitar los intentos de inicio de sesión en su sitio de WordPress, especialmente si no está utilizando ninguna función de registro. Puede monitorear la estadística de inicios de sesión fallidos para comprender el origen de los ataques. Si es necesario, puede aumentar la duración del bloqueo o bloquear permanentemente las direcciones IP para aumentar la seguridad. Sin embargo, evite usar demasiadas restricciones cuando los clientes que pagan inician sesión a través del formulario de inicio de sesión predeterminado de WordPress.