WPBeginner - Tutoriales de WordPress para principiantes

Tutoriales de WordPress de Confianza, cuando más los necesitas.
Guía para Principiantes de WordPress
Copa WPB
25 Millones+
Sitios web que usan nuestros plugins
16+
Años de experiencia en WordPress
3000+
Tutoriales de WordPress de expertos

Cómo y por qué deberías limitar los intentos de inicio de sesión en WordPress

Por Personal Editorial | | Divulgación del lector

Shares 645 ChatGPT Perplexity X LinkedIn WhatsApp

Imagina a un ladrón intentando repetidamente diferentes llaves para entrar a tu casa. Algo similar ocurre durante un ataque de fuerza bruta, donde los hackers prueban miles de combinaciones de contraseñas para acceder a tu sitio.

Eso probablemente suene aterrador, pero afortunadamente, puedes defender fácilmente tu sitio web como lo hacemos nosotros limitando los intentos de inicio de sesión. 🔒

Esto establece un límite en cuántas veces alguien puede intentar iniciar sesión antes de ser bloqueado, dando a los hackers casi ninguna posibilidad de entrar por fuerza bruta.

En este artículo, te guiaremos a través del proceso de configuración de límites de intentos de inicio de sesión en tu sitio de WordPress. Exploraremos por qué es importante para la seguridad de tu sitio web y te guiaremos a través de los pasos, incluso si no eres un experto en tecnología.

Cómo y por qué deberías limitar los intentos de inicio de sesión en WordPress

Aquí tienes un resumen rápido de lo que cubriremos en esta guía:

¿Por qué deberías limitar los intentos de inicio de sesión en WordPress?

Un ataque de fuerza bruta es un método de hacking donde los atacantes usan prueba y error para adivinar tus datos de inicio de sesión.

Utilizan software automatizado para probar miles de combinaciones de nombres de usuario y contraseñas, esperando que alguna funcione eventualmente.

Por defecto, WordPress permite a los usuarios ingresar una contraseña tantas veces como quieran. Esta función puede ser explotada por hackers, quienes usan scripts para ejecutar combinaciones infinitas hasta que obtienen acceso a tu sitio.

Puedes detener fácilmente estos ataques limitando el número de intentos de inicio de sesión fallidos.

Bloquear temporalmente a un usuario después de intentos fallidos de inicio de sesión

Después de un número determinado de intentos fallidos, el sistema bloqueará temporalmente a ese usuario, haciendo imposible la adivinación automatizada de contraseñas.

Dicho esto, veamos cómo limitar el número de intentos de inicio de sesión en WordPress.

Cómo limitar los intentos de inicio de sesión en WordPress

Lo primero que necesitas hacer es instalar y activar el plugin Limit Login Attempts Reloaded. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.

La versión gratuita es todo lo que necesitas para este tutorial.

Tras la activación, deberías visitar la página Ajustes » Limit Login Attempts y luego hacer clic en la pestaña 'Ajustes' en la parte superior.

La configuración predeterminada funcionará para la mayoría de los sitios web, pero te guiaremos sobre cómo puedes configurar los ajustes del plugin de seguridad para tu sitio.

Configuración de Limit Login Attempts Reloaded

Para cumplir con las leyes del RGPD, puede hacer clic en la casilla de verificación ‘Cumplimiento del RGPD’ para mostrar un mensaje en su página de inicio de sesión. Puede obtener más información sobre el RGPD en nuestra guía sobre WordPress y el cumplimiento del RGPD.

A continuación, elegirá si desea recibir notificaciones cuando alguien haya sido bloqueado. Puede cambiar la dirección de correo electrónico a la que se envía la notificación si lo desea. Por defecto, se le notificará la tercera vez que el usuario sea bloqueado.

Después de eso, debería desplazarse hacia abajo hasta la sección de Aplicación Local, donde puede definir cuántos reintentos de inicio de sesión se pueden realizar y el tiempo de bloqueo que un usuario tendrá que esperar antes de poder intentarlo de nuevo.

Configuración de Limit Login Attempts Reloaded

Primero, necesita definir cuántos intentos de inicio de sesión se pueden realizar. Después de eso, elija cuántos minutos tendrá que esperar un usuario si excede ese número de intentos fallidos. El valor predeterminado es 20 minutos.

También puede aumentar el tiempo de espera una vez que el usuario haya sido bloqueado un número específico de veces. Por ejemplo, la configuración predeterminada no permitirá al usuario intentar iniciar sesión durante 24 horas una vez que haya sido bloqueado 4 veces.

Para la configuración de ‘Orígenes de IP confiables’, la mayoría de los usuarios pueden dejarla como está. Sin embargo, si usas una CDN o un firewall para sitios web como Sucuri o Cloudflare, es posible que necesites configurar esta opción.

Recomendamos revisar la documentación de tu servicio para asegurarte de que el plugin pueda identificar correctamente la dirección IP real del visitante.

No olvides hacer clic en el botón ‘Guardar configuración’ en la parte inferior de la pantalla para almacenar tus cambios.

🔍 Publicación relacionada: Para más detalles sobre este plugin, consulta nuestra reseña completa de Limit Login Attempts.

Consejos profesionales para proteger tu sitio web de WordPress

Limitar los intentos de inicio de sesión es un excelente primer paso, pero la verdadera seguridad del sitio web implica múltiples capas.

Aquí hay otras prácticas esenciales que puedes seguir para mantener tus sitios seguros:

  • Usa contraseñas seguras: Esta es la capa más básica de seguridad. Recomendamos forzar contraseñas seguras para todos los usuarios en tus sitios y usar un gestor de contraseñas para llevar un registro de ellas.
  • Agrega Google reCAPTCHA: Si tu página de inicio de sesión sigue bajo ataque, agregar reCAPTCHA proporciona otra poderosa capa de defensa contra bots automatizados.
  • Realiza copias de seguridad regulares: Ningún sitio web es 100% inmune a las amenazas, por eso las copias de seguridad son innegociables. Para muchas de nuestras propias propiedades web, usamos Duplicator para manejar las copias de seguridad y migraciones de nuestros sitios.
  • Usa un Firewall para sitios web (WAF): Un firewall es una de las mejores maneras de bloquear tráfico malicioso antes de que llegue a tu sitio. Para una solución todo en uno que incluye un potente WAF y servicios de limpieza de malware, recomendamos Sucuri.

Para obtener aún más consejos de seguridad para sitios web, asegúrate de ver nuestra guía definitiva de seguridad de WordPress.

Preguntas frecuentes sobre cómo limitar los intentos de inicio de sesión

Aquí hay algunas preguntas que nuestros lectores hacen frecuentemente sobre cómo limitar los intentos de inicio de sesión:

¿Qué debo hacer si me bloqueo de mi propio sitio?

Es posible que te bloquees si ingresas la contraseña incorrecta demasiadas veces. Si esto sucede, necesitarás desbloquear manualmente tu dirección IP.

Puedes seguir los sencillos pasos de nuestra guía sobre cómo desbloquear Limit Login Attempts en WordPress.

¿Cuántos intentos de inicio de sesión debo permitir?

Para la mayoría de los sitios web, la configuración predeterminada de 4 reintentos de inicio de sesión es un excelente punto de partida. Esto proporciona un fuerte equilibrio entre mantener tu sitio seguro y asegurarte de que los usuarios legítimos no se bloqueen por error.

¿Qué más puedo hacer para asegurar mi página de inicio de sesión?

Además de limitar los intentos de inicio de sesión, puedes agregar preguntas de seguridad a tu pantalla de inicio de sesión para una capa adicional de protección. También puedes personalizar tu página de inicio de sesión usando WPForms para mejorar tanto la seguridad como la experiencia del usuario.

Tutorial en video

Si no prefieres instrucciones escritas, puedes ver nuestro videotutorial:

Suscríbete a WPBeginner

Esperamos que este tutorial te haya ayudado a aprender cómo limitar los intentos de inicio de sesión en WordPress. También te puede interesar nuestra guía sobre cómo agregar preguntas de seguridad a la pantalla de inicio de sesión de WordPress o nuestra selección experta de los mejores plugins para páginas de inicio de sesión.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.

Popular en WPBeginner ¡Ahora mismo!

Descargo de responsabilidad: Nuestro contenido es compatible con el lector. Esto significa que si haces clic en algunos de nuestros enlaces, podemos ganar una comisión. Consulta cómo se financia WPBeginner, por qué es importante y cómo puedes apoyarnos. Aquí está nuestro proceso editorial.

El Kit de herramientas definitivo para WordPress

Obtén acceso GRATUITO a nuestro kit de herramientas: ¡una colección de productos y recursos relacionados con WordPress que todo profesional debería tener!

Descargar ahora

Interacciones del lector

57 CommentsLeave a Reply

  1. Una cosa adicional que sugeriría es usar autenticación de dos factores junto con intentos de inicio de sesión limitados. Esta combinación proporciona una capa adicional de seguridad, lo que hace que sea aún más difícil para los posibles hackers obtener acceso no autorizado a su sitio de WordPress.

    Reply

  2. ¿Hay otra forma que no sea un plugin? Por ejemplo, ¿usando htaccess o un componente similar? Tengo mi propio servidor y me gustaría tener este límite en mi sitio. Sin embargo, ya tengo bastantes plugins y no me gustaría añadir más. Así que estoy buscando una forma de hacerlo sin un plugin.

    Reply

      • Gracias por tu respuesta. Estuve buscando un fragmento de código en otros lugares también, pero tienes razón: todo el proceso habría sido bastante complicado y prácticamente ninguno de los fragmentos que encontré funcionó. Terminé usando tu solución y funciona a la perfección. Así que, para mí, el problema está resuelto y aprecio tu excelente consejo para mejorar la seguridad del sitio web.

        Reply

  3. ¡Muchas gracias por este artículo tan útil sobre un plugin para detener el gran número de ataques de fuerza bruta que nuestro sitio ha sufrido recientemente. Acabo de instalarlo, usando tu guía paso a paso fácil de seguir para su configuración. ¡No puedo esperar a ver cómo funciona!

    También seguí el enlace a los administradores de contraseñas. Gracias a tus comentarios, voy a probar LastPass de nuevo. Hemos estado usando Dashlane (versión gratuita) durante algunos años, pero nos frustran algunas de sus reglas. La versión de pago de LastPass suena como una oferta mucho mejor. Ahora a determinar cómo hacer el cambio... ¡fácilmente!

    ¡Gracias de nuevo!

    Linda

    Reply

  5. ¡Buen día! Esto es un poco fuera de tema, pero necesito un consejo de un blog establecido. ¿Es difícil crear tu propio blog? No soy muy técnico, pero puedo resolver las cosas bastante rápido. Estoy pensando en crear el mío, pero no estoy seguro por dónde empezar. ¿Tienes algún consejo o sugerencia? Con agradecimiento.

    Reply

  6. Tengo Limit Login Attempts (sí, necesito actualizar a algo más nuevo) y me están atacando todo el tiempo. He agregado un nuevo usuario como administrador en un intento de poder acceder a mi propio sitio web sin tener que esperar. Pero incluso entonces, me han expulsado antes de que pueda crear ninguna publicación.

    ¿Alguien tiene algún consejo, por favor?

    Reply

    • Sí, tienes razón. He estado usando el plugin Limit Login Attempts todo este tiempo y recientemente, comenzó a bloquear a todos los usuarios en lugar de bloquear al atacante según su IP.

      Así que, supongo que tengo que despedirme de ese plugin y usar otra cosa ahora.

      Reply

  7. Recientemente instalé WordFence para monitorear la seguridad de mi sitio web. Ofrece una función para limitar los intentos de inicio de sesión. En consecuencia, desactivé y eliminé Limit Login Attempts Reloaded.

    Sin embargo, dentro de WP Admin> Settings, todavía existe Limit Login Attempts. ¿Sabes si eso se instala por defecto con WP y, en cualquier caso, cómo puedo deshacerme de él?

    Creo que está anulando la configuración en WordFence.

    Gracias por tu tiempo,
    Miguel

    Reply

  8. Howdy this is somewhat of off topic but I was wanting to know if blogs use WYSIWYG editors or if you have to manually code with HTML. I’m starting a blog soon but have no coding knowledge so I wanted to get advice from someone with experience. Any help would be greatly appreciated!

    Reply

  9. I received the ‘exceeded maximum retries’ message today – but with an absolute correct password!
    How can this be?
    I just started setting up this WP site two days ago, it has no content aside from a free theme and a title. I installed login lockdown, but it is NOT activated.
    it baffles me why there would be a BF attack on an obscure site name with barely 90 MB content…

    Reply

  10. Hi WPBginner’s Team,

    Muchas gracias por crear contenido tan extenso y útil para usuarios de WordPress como nosotros. Siempre busco soluciones en tu sitio web y siempre las encuentro desde hace 2-3 años.

    Hoy es la primera vez que publico un comentario sobre el problema anterior, estoy usando el plugin Limit Login Attempts y realmente me ayuda a mantener mi sitio web seguro, ya que veo entre 10 y 15 intentos de inicio de sesión fallidos por día, pero a veces se bloquea durante 24 horas, lo que también nos restringe. ¿Es posible usar también Login LockDown y bloquear intentos erróneos por IP, para que nuestros usuarios legítimos no sean bloqueados?

    ¿Es posible usar el plugin Limit Login Attempts y el plugin Login LockDown al mismo tiempo en el mismo sitio web?

    Gracias
    Alam Khan
    Fundador

    Reply

  11. Hmm, parece que tu sitio se comió mi primer comentario (era súper largo), así que supongo que solo resumiré lo que escribí y diré que estoy disfrutando mucho tu blog. Yo también soy una aspirante a escritora de blogs, pero todavía soy nueva en todo esto. ¿Tienes algún consejo para escritores de blogs principiantes? Ciertamente lo agradecería.

    Reply

  12. Hola, por supuesto que este artículo es realmente bueno y he aprendido muchas cosas de él sobre blogging. Gracias.

    Reply

  13. Con tanto contenido y artículos, ¿alguna vez te encuentras con problemas de plagio o violación de derechos de autor? Mi blog tiene mucho contenido único que he creado yo mismo o he externalizado, pero parece que mucho de él está apareciendo en toda la web sin mi permiso. ¿Conoces algún método para ayudar a prevenir que el contenido sea robado? Ciertamente lo agradecería.

    Reply

  14. Hola

    Gracias por el artículo. Informativo.

    ¿Hay alguna opción para limitar los intentos de inicio de sesión sin usar ningún plugin?

    Reply

  15. Hola,

    Con un conjunto de plugins confiables (que al mismo tiempo ofrecen múltiples funciones de seguridad), ya no es tan difícil proteger los sitios de WordPress de ataques como los intentos de inicio de sesión.

    Aquellos que se quejan de que la función no está integrada deberían darse cuenta de que las extensiones de funcionalidad están destinadas a servir. El ecosistema de WordPress es simplemente escalable, me gusta mucho. Pero necesita más colaboración con un proveedor de CDN potente. En países como China, un buen plugin como JetPack se vuelve inútil porque todas las IPs a las que se conecta son maliciosas para el Gran Cortafuegos.

    Este blog es muy útil, especialmente al promocionar proyectos exitosos de código abierto de WordPress.

    Reply

  16. Uno de mis sitios recibe casi 100 intentos de inicio de sesión por mes. Como muchos de ustedes, me parece extraño ya que no es un sitio de comercio electrónico y no recopilamos información de usuario. Instalé el plugin Wordfence Security, que ofrece opciones de bloqueo para cualquier nombre de usuario incorrecto, así como por IP e incluso países enteros.

    También tiene varias otras defensas que han demostrado ser invaluables. La web no es segura sin algún tipo de protección. Si alguno de ustedes conoce una mejor, por favor compártala.

    ¡Programación segura!
    Brad

    Reply

  19. Nadie ha mencionado Jetpack, que tiene un módulo llamado Brute Protect. Este bloquea automáticamente a los usuarios de direcciones IP sospechosas. Se basa en una red global que puede rastrear spammers de toda la web.

    Reply

  20. Gracias por otro consejo. Uso BackupBuddy y me encanta que ejecute mis copias de seguridad automáticamente, pero también permite a los usuarios migrar sitios fácilmente a otros servidores. Especialmente al pasar de un host local a un servidor en vivo.

    Reply

  21. Es gracioso que reciba este correo electrónico porque tengo hasta 27 intentos en mi sitio durante la noche desde todo el mundo... ¿en serio qué quieren? ¿Tengo un blog de costura y moda? ¿Qué intentan obtener al apoderarse de mi sitio y pagarme? Acabo de cambiar mi configuración hace unos días antes de este artículo porque estaba recibiendo bastantes hackeos. Ahora esta mañana, más de 27, que es lo más que he visto.

    Reply

  22. ¿Es esa una pregunta que realmente necesita respuesta? Porque previene ataques de fuerza bruta (o al menos los ralentiza mucho).

    Por qué WP no viene con intentos de inicio de sesión limitados de fábrica, esa SÍ es una pregunta que me gustaría ver abordada en una publicación de blog.

    Reply

  23. Estoy usando Limit Login Attempts en combinación con otro gran plugin de seguridad llamado WP-Ban. El plugin Limit Login Attempts me envía un correo electrónico después del segundo intento de inicio de sesión fallido, creo, con la IP del usuario. Pego a este usuario en el plugin Ban y la próxima vez, el usuario no podrá intentar iniciar sesión en absoluto. Solo otra capa de seguridad contra los trolls.

    Reply

    • Limit Login Attempts no se ha actualizado en más de 3 años. Está obsoleto. Login LockDown tiene una funcionalidad deficiente y no sé por qué se recomienda aquí.
      Hace unas semanas instalé WP Cerber en su lugar.
      Parece una solución sólida. Hace todo lo esperado.

      Reply

  24. Creo que es hora de que WordPress tenga rutas configurables para que finalmente podamos deshacernos de example.com/wp-admin. Vi solicitudes para esto hace 8 años.

    Reply

  25. Lo he usado un par de veces. Redujo la carga habitual de 50 correos electrónicos por hora sobre notificaciones de bloqueo a 0.

    Recaptcha es otra buena opción, pero mucho más difícil de implementar.

    Reply

  26. Cambié de LLA a Wordfence, debido a todas las funciones de seguridad adicionales que tiene.

    Cada sistema operativo tiene una función para limitar los intentos de inicio de sesión. Sé que WordPress es un CMS y no un sistema operativo, pero es un CMS maduro y la comunidad de WordPress se beneficiaría enormemente de una limitación de inicio de sesión integrada que esté habilitada por defecto. Muchos sitios de WordPress son "vulnerables" a intentos de inicio de sesión ilimitados, porque no están protegidos adecuadamente y los propietarios no son conscientes de la seguridad.

    ¿No puede ser tan difícil integrar una limitación de inicio de sesión y habilitarla por defecto en una de las próximas versiones de WordPress?

    Reply

  27. Limit Login Attempts no se ha actualizado en un par de años y tiene algunos "agujeros". Descubrí esto en mis registros, donde encontré casi 100 "bloqueos" en un período de 10 minutos desde la misma IP. Los bloqueos se activaron después del segundo intento fallido y debían ser por 72 horas. Llegaban tan rápido que era un DoS efectivo y requirió cierto esfuerzo para detenerlo. Es bastante obvio que el script kiddie ha eludido el bloqueo. Los ataques de esa dirección IP se detuvieron cuando finalmente pude agregarla a la lista de denegación en .htaccess.
    .
    Todavía uso LLA por la información y notificaciones limitadas pero útiles, pero no confío en él para mantener mi sitio seguro.

    Reply

    • No tenemos conocimiento de que ningún tema incluya esta funcionalidad. Recuerda que los temas no deben agregar funcionalidad a tu sitio de WordPress. La funcionalidad corresponde a los plugins. ¿Quizás es algo agregado por tu proveedor de hosting?

      Reply

  29. Parece que hay algunos problemas de compatibilidad con este plugin y WP 4.0, ya que no se ha actualizado en más de 2 años. Puede bloquearte el acceso al panel de administración. Si esto sucede, deberás deshabilitar el plugin de la manera habitual, usando algo como acceso a cPanel.

    Reply

  30. Parece un plugin bueno y sencillo, pero ¿por qué no usar Better WP Security en su lugar? BWS tiene toda una sección sobre Limit Login Attempts Y muchos otros problemas de seguridad en un solo plugin. ¡Además, BWS se actualizó por última vez el 24/08/2013. Limit Login Attempts no se ha actualizado desde el 01/06/2012!

    Reply

    • Torben, hay muchos plugins que ofrecen esta funcionalidad. Limit Login Attempts es un plugin sencillo que hace una cosa y la hace muy bien. Eso no quiere decir que BWS sea una mala solución. Es una muy buena solución (más de 1 millón de descargas en el plugin ya lo demuestran).

      Reply

      Administrador

  33. ¡Excelente consejo! Como WordPress es la plataforma más utilizada en la actualidad, la seguridad del sitio debe ser algo que todos los usuarios tomen en serio y este plugin es de gran ayuda. ¡Gracias por compartir!

    Reply

Deja una respuesta

Gracias por elegir dejar un comentario. Ten en cuenta que todos los comentarios son moderados de acuerdo con nuestra política de comentarios, y tu dirección de correo electrónico NO será publicada. Por favor, NO uses palabras clave en el campo del nombre. Tengamos una conversación personal y significativa.

Copyright © 2009 - 2025 WPBeginner LLC. Todos los derechos reservados. WPBeginner® es una marca registrada.

Gestionado por Awesome Motive | Hosting de WordPress por SiteGround

La marca WordPress® es propiedad intelectual de la Fundación WordPress. Los usos de los nombres de WordPress® en este sitio web son solo para fines de identificación y no implican un respaldo de la Fundación WordPress. WPBeginner no está respaldado ni es propiedad de, ni está afiliado a, la Fundación WordPress.

Necesito ayuda con…

Búsquedas populares:

Iniciar un Blog SEO de WordPress Rendimiento de WordPress Errores de WordPress Seguridad de WordPress Creando una Tienda en Línea