Al igual que los bancos y las aplicaciones sensibles, tu sitio web de WordPress puede beneficiarse de una capa adicional de seguridad al cerrar automáticamente la sesión de los usuarios inactivos.
En nuestra experiencia, esta es una forma sencilla pero efectiva de prevenir el acceso no autorizado, especialmente si un usuario olvida cerrar sesión en un dispositivo compartido.
Este artículo proporciona una guía paso a paso para configurar el cierre automático de sesión para usuarios inactivos. Esto asegura que se les pedirá que vuelvan a iniciar sesión y verifiquen su identidad después de estar inactivos.
¿Por qué cerrar automáticamente la sesión de usuarios inactivos en WordPress?
Los usuarios inactivos representan un riesgo de seguridad para tu sitio web de WordPress. Si alguien de tu equipo deja su portátil desatendido en una cafetería o biblioteca, un extraño podría ver información confidencial, cambiar su contraseña o incluso publicar o eliminar algunas entradas.
Los usuarios inactivos de WordPress también dejan tu sitio web más vulnerable a los hackers. Podrían ejecutar scripts y tomar el control de la cuenta del usuario.
Es por eso que es una buena práctica de seguridad cerrar automáticamente la sesión de los usuarios que se han vuelto inactivos y ocultar el contenido en su pantalla.
Dicho esto, veamos cómo cerrar automáticamente la sesión de usuarios inactivos en WordPress utilizando dos métodos diferentes. Puedes usar los enlaces rápidos a continuación para ir directamente al método que prefieras:
- Método 1: Cómo cerrar automáticamente la sesión de usuarios inactivos en WordPress usando código (Recomendado)
- Método 2: Cómo cerrar automáticamente la sesión de usuarios inactivos en WordPress usando un plugin
- Bonus: How to Add More Security with Two-Factor Authentication
Método 1: Cómo cerrar automáticamente la sesión de usuarios inactivos en WordPress usando código (Recomendado)
La forma más rápida de cerrar sesión automáticamente a los usuarios inactivos en WordPress es usando el plugin WPCode.
WPCode te permite agregar código personalizado en WordPress fácilmente sin editar el archivo functions.php de tu tema, así que no tienes que preocuparte por romper tu sitio.
Además, el plugin viene con una enorme biblioteca de fragmentos de código listos para usar, incluido un fragmento para cerrar sesión automáticamente a usuarios inactivos, que puedes agregar con un par de clics.
Para empezar, necesitas instalar y activar el plugin gratuito WPCode. Si necesitas ayuda, consulta nuestra guía sobre cómo instalar un plugin de WordPress.
Tras la activación, ve a Fragmentos de código » + Agregar fragmento desde tu panel de WordPress.
Desde allí, busca el fragmento 'Cerrar sesión automáticamente a usuarios inactivos' en la biblioteca. Cuando lo encuentres, colócale el cursor encima y haz clic en el botón 'Usar fragmento'.
WPCode agregará automáticamente el código por ti y seleccionará el método de inserción adecuado.
Después de eso, todo lo que necesitas hacer es cambiar el interruptor de 'Inactivo' a 'Activo' y hacer clic en el botón 'Actualizar'.
Eso es todo. Ahora los usuarios serán desconectados automáticamente de tu sitio web de WordPress después de 10 minutos de inactividad.
Método 2: Cómo cerrar automáticamente la sesión de usuarios inactivos en WordPress usando un plugin
Para este método, lo primero que necesitas hacer es instalar y activar el plugin Inactive Logout. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Después de activarlo, simplemente ve a la página Configuración » Inactive Logout para configurar el plugin.
Primero, necesitas ingresar el tiempo de inactividad después del cual un usuario será desconectado automáticamente. Puedes ingresar el tiempo en minutos y asegurarte de que no sea demasiado corto ni demasiado largo.
Después de eso, puedes ingresar un mensaje que deseas que se muestre a los usuarios inactivos.
Debajo del campo del mensaje, encontrarás más opciones del plugin para cambiar la funcionalidad de cierre de sesión automático. La configuración predeterminada funcionará para la mayoría de los sitios web, pero puedes cambiarlas si lo deseas.
Puedes habilitar la opción ‘Fondo emergente’ si deseas cambiar el color de fondo de la pantalla cuando la sesión de un usuario expira. Esto cubrirá la pantalla del navegador del usuario para mantener el contenido oculto de miradas indiscretas.
La opción ‘Deshabilitar cuenta regresiva de tiempo de espera’ eliminará la advertencia de cuenta regresiva y cerrará la sesión directamente a los usuarios inactivos.
Si no deseas utilizar la función de cierre de sesión automático, puedes marcar la opción ‘Mostrar solo mensaje de advertencia’. Ahora se mostrará el mensaje de advertencia, pero el usuario no será desconectado.
La opción ‘Deshabilitar inicios de sesión simultáneos’ impedirá que tus usuarios utilicen la misma cuenta desde diferentes dispositivos o navegadores al mismo tiempo.
Por defecto, el plugin muestra una ventana emergente de inicio de sesión y no redirige a los usuarios. Puedes habilitar la opción ‘Habilitar redirección’ para redirigir a los usuarios a la página que desees.
Después de haber revisado y cambiado tu configuración, no olvides hacer clic en el botón ‘Guardar cambios’ para almacenarla.
Configuración de diferentes ajustes de tiempo de espera según los roles de usuario
Si deseas establecer reglas de tiempo de espera de inactividad basadas en roles y capacidades de usuario, puedes hacerlo en la pestaña ‘Gestión avanzada’ en la página de configuración del plugin.
Primero, necesitas seleccionar los roles de usuario para los que deseas configurar ajustes diferentes a los globales. Después de eso, podrás seleccionar un período de tiempo de espera diferente y redirigir o incluso deshabilitar los ajustes de tiempo de espera para ese rol de usuario.
Una vez que estés satisfecho con la configuración, asegúrate de hacer clic en el botón ‘Guardar cambios’.
Para ver el plugin en acción, puedes iniciar sesión en tu sitio de WordPress y no hacer nada durante la duración del tiempo de espera en la configuración del plugin. Después de eso, verás aparecer un temporizador de cuenta regresiva emergente.
Puedes hacer clic en el botón ‘Continuar’ para reanudar el trabajo sin que expire la sesión.
Los usuarios que no hagan clic en el botón ‘Continuar’ serán desconectados y verán la pantalla de inicio de sesión.
Bono: Cómo añadir más seguridad con autenticación de dos factores
Ahora, un problema con este enfoque es que muchos usuarios guardan sus contraseñas usando un gestor de contraseñas o la función de almacenamiento de contraseñas integrada de su navegador.
Esto significa que su ventana emergente de inicio de sesión ya tendrá sus campos de nombre de usuario y contraseña completados. Cualquier persona puede simplemente hacer clic en el botón de inicio de sesión para acceder a su cuenta mientras no están.
Puedes hacer que el acceso no autorizado sea más difícil añadiendo verificación en dos pasos a la pantalla de inicio de sesión de WordPress.
Esto requiere que los usuarios ingresen una contraseña única de un solo uso generada por una aplicación en su teléfono. Para obtener instrucciones detalladas, consulta nuestra guía sobre cómo añadir autenticación de dos factores en WordPress.
Guías expertas para proteger el inicio de sesión de WordPress
Esperamos que este artículo te haya ayudado a aprender cómo cerrar sesión automáticamente a los usuarios inactivos en WordPress. También es posible que desees ver algunas formas adicionales de proteger tu pantalla de inicio de sesión:
- Cómo y por qué deberías limitar los intentos de inicio de sesión en WordPress
- Cómo agregar CAPTCHA al formulario de inicio de sesión y registro de WordPress
- Cómo agregar preguntas de seguridad a la pantalla de inicio de sesión de WordPress
- Cómo agregar inicio de sesión sin contraseña en WordPress con Magic Links
- Cómo deshabilitar las pistas de inicio de sesión en los mensajes de error de inicio de sesión de WordPress
- Cómo agregar inicio de sesión social a WordPress (la forma fácil)
- Cómo agregar una URL de inicio de sesión personalizada en WordPress (paso a paso)
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Jiří Vaněk
Usé el fragmento y funciona perfectamente. Tengo un sitio web donde ahora más personas inician sesión gracias a MemberPress. Me preocupaba un poco la seguridad y asegurarme de que los usuarios sigan algunas pautas de seguridad. Esto me ayudó al menos a configurar un sistema para cerrar la sesión de los usuarios inactivos, lo cual, para mí, es el primer paso hacia una mayor seguridad. Perfecto en mi opinión.
coche
¿Qué hay de configurar manualmente el cierre de sesión automático para usuarios inactivos? ¿Tienes alguna receta?
Soporte de WPBeginner
Por el momento no tenemos un método recomendado sin usar un plugin
Administrador
Gina Davis
Estoy viendo ‘Cierre de sesión inactivo’. Se actualizó hace una semana.
Tengo un compañero de trabajo que tiene una publicación retenida. Así que usaré esto para expulsarlo de la publicación y del sitio web. Espero.
Jesse Brede
Sí, esta ya no es una solución funcional.
David
¿Alguien ha encontrado un plugin que haga lo mismo, pero que se actualice activamente? Leyendo el foro de WP Idle Logout, la gente reporta que tiene errores en las versiones actuales de WP.
Gracias.
esp
este plugin no se ha actualizado en un tiempo y no está probado en WP 4.1, qué lástima
Yoshitoka
Historia real. Yo mismo tuve algunos problemas con este plugin. Tuve que iniciar sesión dos veces antes de poder acceder a la parte de wp-admin con este plugin habilitado.