Si se ha lanzado y está creando un sitio web con el CMS WordPress pero necesitas una forma de inicio de sesión seguro, es decir, acceso a su nuevo portal, entonces está en el lugar correcto. Aquí te mostraré cómo proteger su inicio de sesión de WordPress de tres formas.
Cuando eres un principiante, la primera preocupación que te viene a la mente es: «¿Qué pasa si algún atacante entra en mi sitio web?». Respondemos a esta pregunta recomendando tres formas de bloquear el acceso a su panel de WordPress. Lo que te voy a mostrar son métodos «para los que empiezan», luego, con el paso del tiempo, también aprenderás a protegerte de manera más profesional. Pero veamos de inmediato cuáles son estos procedimientos.
Cómo proteger su inicio de sesión de WordPress
Como dije antes, veamos cuáles son estos métodos «básicos» para bloquear o asegurar temporalmente la puerta de entrada a nuestro sitio web construido en WordPress. Vamos a hablar de un Plugin, un procedimiento para cambiar algunas claves de cifrado y una función presente con un famoso plugin Antivirus para WordPress.
Utilice el complemento WPS Hide Login
El primer método que les muestro es el ahora famoso Plugin Ocultar inicio de sesión de WPS. El complemento cuenta con más de 800 mil instalaciones y más de 1900 reseñas con las mejores calificaciones. Gracias a este complemento puedes cambiar el nombre de la página de inicio de sesión de WordPress que es por defecto: wp-login.php (wp-admin).
El complemento no cambia literalmente el nombre o cambia el archivo en el núcleo, ni agrega reglas de reescritura. Simplemente intercepta solicitudes de página y funciona en cualquier sitio web con WordPress. La página wp-login.php y la carpeta wp-admin se vuelven inaccesibles para otros e accesible solo para usted que conoce la nueva URL. Al desactivar este complemento, volverá a la página de inicio de sesión clásica.
Se garantiza la compatibilidad con complementos como BuddyPress, bbPress, Jetpack, WPS Limit Login y User Switching. No funciona con complementos que modifican literalmente el archivo wp-login.php. Puede usarlo con WordPress superior a la versión 4.1, funciona con sitios multisitio, con subdominios y subcarpetas. La activación para una red le permite establecer una configuración predeterminada a nivel de red. Los sitios individuales aún pueden cambiar el nombre de su página de inicio de sesión a otra cosa.
Si está utilizando un complemento de almacenamiento en caché de página que no sea WP Rocket, deberá agregar el nuevo slug de URL de inicio de sesión a la lista de páginas que no se almacenarán en caché. WP Rocket ya es totalmente compatible con el complemento. En cuanto a W3 Total Cache y WP Super Cache, WPS Hide Login le mostrará un mensaje con el enlace correspondiente al campo que deberá actualizar.
En cuanto a los otros formularios de inicio de sesión, como el formulario de suscripción, el formulario de recuperación de contraseña, el widget de inicio de sesión y las sesiones caducadas, puede estar seguro de que seguirán funcionando sin problemas.
Una vez que el complemento esté instalado, simplemente vaya al panel de su sitio de WordPress y luego en «Ajustes«(De la columna de la izquierda) y haga clic en»Ocultar inicio de sesión de WPS«. Aquí se desplaza hacia abajo en la página y, en el «URL de inicio de sesión«, Ingrese su nueva» palabra «. Una vez salvo, recuerda eso, para acceder a la nueva página de inicio de sesión de su sitio, tendrás que escribir https://www.ilnomedeltuosito.com/nuova-parola/ (este es el enlace de ejemplo, por supuesto). Este procedimiento se utiliza para eliminar de las personas malintencionadas aquellos procedimientos automáticos que tienen el ataque en la página wp-login.php (wp-admin) como configuración predeterminada.
Habilitar la autenticación de dos factores de Wordfence
Una de las formas más seguras de proteger su sitio web en WordPress es utilizar el complemento antivirus Wordfence. Este poderoso complemento, ahora utilizado por más de 4 millones de personas, también ofrece la posibilidad de activar elAutenticación de dos factores(que no tienen todos estos tipos de complementos).
¿Qué es la autenticación de dos factores?
La autenticación de dos factores es una función de seguridad utilizada por bancos, agencias gubernamentales y el ejército de todo el mundo. Es una de las formas más seguras de autenticación. Este método para acceder a su sitio web se basa en algo que sabe y algo que tiene. Por eso se llama «dos factores», porque dos factores están involucrados en la autenticación.
¿Cuáles son estos dos factores? Tu contraseña y una aplicación específica instalado previamente en su teléfono inteligente. La autenticación de dos factores de Wordfence está diseñada para ser utilizada principalmente por administradores del sitio y aquellos con acceso de alto nivel, como usuarios con acceso de editor, pero ahora también está disponible para configurarla para otros roles. La autenticación de dos factores era anteriormente una característica premium, pero ahora también está disponible para sitios que ejecutan la versión gratuita de Wordfence.
La aplicación que necesitará instalar en su móvil es Autenticador de Google, que se utiliza para generar esos códigos únicos que deberá ingresar una vez que haya ingresado la contraseña en el formulario de inicio de sesión en WordPress.
¿Cómo activar la autenticación de dos factores en Wordfence?
Para habilitar la autenticación de dos factores en Wordfence (2FA), primero debes instalar la aplicación Google Authenticator en su teléfono móvil.
Ahora todo lo que necesitas hacer es instalar Wordfence en su sitio de WordPress (como lo hace para instalar cualquier otro complemento) y luego vaya a la columna izquierda del panel de WordPress y abra el menú correspondiente. En el menú, haga clic en «Seguridad de inicio de sesión«.
Aquí, en la sección «Autenticación de dos factores«, habilitar la autenticación. Siga el asistente, descargue los códigos de recuperación relacionados (que necesitará en caso de problemas), luego abra la aplicación Google Authenticator, escanee el código QR y continúe con el asistente para ingresar los códigos relacionados y confirmar el número de teléfono. Una vez terminado y activado, puede establecer para quién activar este tipo de inicio de sesión en la sección «Ajustes» (Siempre en Wordfence> Seguridad de inicio de sesión> configuración) y active las casillas debajo de «Habilite 2FA para estos roles«. Ahora, después de ingresar la contraseña, se le pedirá que ingrese una cifra numérica en un formulario en la PC (donde ingresó la contraseña), pero verá esta figura haciendo clic en la sección correspondiente dedicada a su sitio web en el Aplicación instalada en su teléfono móvil (Autenticador de Google). No se preocupe, el asistente es sencillo de seguir.
Cambiar las claves de inicio de sesión de WordPress desde cPanel (O Site Tools)
El último, pero casi desconocido método para proteger el inicio de sesión en su sitio de WordPress, es ir a cambiar las claves de cifrado creado durante la instalación de WordPress. Si tiene dudas de que alguien haya ingresado a su sitio web y desea obligar a todos a iniciar sesión nuevamente con su nombre de usuario y contraseña, esta es una buena práctica para repetir una vez cada 6 meses.
Todo lo que tienes que hacer es ir al carpeta de instalación de su sitio web, luego en public_html y buscar wp-config.php. Como precaucion, guardar wp-config, luego adentro encuentra las 8 claves de acceso(vea la foto a continuación) y elimínelos. Tendras que reemplazar haciendo clic en el enlace justo encima de las claves en cuestión, es decir: https://api.wordpress.org/secret-key/1.1/salt/ (copie el enlace de wp-config.php y ábralo en una nueva página del navegador).
Sobre las teclas leerá:
* Puede generarlos utilizando el {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org servicio de clave secreta}
* Puede cambiarlos en cualquier momento para invalidar todas las cookies existentes. Esto obligará a todos los usuarios a tener que iniciar sesión nuevamente.
Una vez reemplazado, guarde y todo los usuarios se verán obligados a iniciar sesión nuevamente. Para herramientas de sitio de Sitegronud, siga la ruta: SITIO> Gestión de flotas> Public_html> wp-config.php. Me Recomiendo, guarde el archivo wp.config antes de reemplazar(Puede guardarlo en su PC, haciendo clic en la flecha que apunta hacia abajo en la parte superior, y luego volver a cargarlo en caso de problemas).
Bueno, te mostré cómo proteger su inicio de sesión de WordPress. Estos son los mismos procedimientos que he utilizado a lo largo de los años. Obviamente lo esencial es activar la autenticación de dos factores, ¡ahora ESENCIAL si quieres estar lo más seguro posible!