¿Quiere obligar a los usuarios a utilizar una contraseña segura en su sitio de WordPress?
Una buena forma de mejorar la seguridad de su sitio web WordPress es hacer que sus usuarios creen una contraseña segura al acceder con una nueva cuenta.
En este artículo, le mostraremos cómo forzar una contraseña segura a los usuarios en WordPress y mejorar la seguridad del sitio web.
¿Por qué imponer contraseñas seguras a los usuarios de WordPress?
Las contraseñas seguras hacen que sea más difícil para los hackers utilizar ataques de fuerza bruta para acceder a su sitio. Si has dedicado tiempo a optimizar la seguridad de tu sitio web en WordPress, entonces también querrás proteger tus páginas de acceso utilizando una contraseña segura.
Sin embargo, si tiene una tienda en línea, un sitio de membresía o un blog con varios autores, existe el riesgo de que sus clientes u otros usuarios del sitio lo hagan vulnerable a los piratas informáticos utilizando contraseñas débiles que se adivinan fácilmente con ataques de fuerza bruta.
Tener usuarios con contraseñas débiles puede representar un riesgo de seguridad, especialmente aquellos con perfiles de usuario de alto nivel como administradores y editores.
WordPress tiene ajustes integrados que muestran a los usuarios la fortaleza de la contraseña al crear una cuenta, pero no impone su fortaleza.
Por suerte, puede utilizar un plugin de WordPress para obligar a sus usuarios a crear una contraseña segura al crear una cuenta en su sitio web de WordPress.
Dicho esto, echemos un vistazo a cómo forzar una contraseña segura a tus usuarios de WordPress. Simplemente utilice los enlaces rápidos a continuación para saltar al método que desea utilizar:
Método 1. Forzar contraseñas fuertes con iThemes Security
La forma más sencilla de forzar contraseñas seguras es con un plugin de seguridad para WordPress. Recomendamos Solid Security (antes iThemes Security) ya que te permite forzar contraseñas seguras con un par de clics.
Hay una versión premium que ofrece refuerzo de seguridad, comprobaciones de integridad de archivos, detecciones 404 y más, pero utilizaremos la versión gratuita para este tutorial ya que tiene funciones de protección por contraseña. Para más detalles, vea nuestra reseña completa de Solid Security.
Lo primero que tienes que hacer es instalar y activar el plugin. Para más detalles, consulte nuestra guía sobre cómo instalar un plugin de WordPress.
Una vez activado, vaya a Seguridad ” Configuración para elegir sus ajustes de seguridad. Hay un asistente de configuración que le guiará a través de la configuración del plugin de seguridad para sus necesidades.
En primer lugar, haz clic en la opción correspondiente al tipo de sitio web que tengas. Seleccionaremos la opción ‘Blog’.
Ahora verá un conmutador para activar ‘Security Check Pro’. Esto establecerá automáticamente tus ajustes de seguridad para redirigir las solicitudes HTTP a HTTPS y protegerte de la suplantación de IP.
Debe establecer este conmutador en la posición “Activado”.
Después, hay que elegir si se trata de un sitio personal o de un cliente.
Seleccionamos ‘Self’ para este tutorial.
A continuación, hay un conmutador para activar una política de contraseñas seguras para tus usuarios.
Debe hacer clic en el conmutador para imponer una contraseña segura a sus usuarios y hacer clic en “Siguiente”.
Ahora, has forzado correctamente a los usuarios a tener una contraseña segura. Hay una variedad de otros ajustes que puede activar para hacer que su acceso sea aún más seguro.
Si lo desea, puede añadir una lista de direcciones IP a una lista blanca para evitar que se bloqueen en su sitio web. Es necesario que añadas el anuncio / catálogo / ficha con la dirección IP de cada usuario. Puedes añadir rápidamente tu propia dirección IP al hacer clic en el botón “Autorizar mi dirección IP”.
Debe dejar el ajuste de Detección de IP en ‘Security Check Scan (Recommended)’ y luego hacer clic en el botón ‘Next’.
Si desea activar la autenticación de dos factores, haga clic en el conmutador en la posición Activado y, a continuación, haga clic en el botón “Siguiente”.
A continuación, se le preguntará si desea activar algunos ajustes de seguridad más para distintos grupos de usuarios. Sólo tienes que hacer clic en “Grupos de usuarios por defecto”.
Esto le llevará a una pantalla donde puede forzar contraseñas seguras y cambiar otros ajustes por perfil de usuario.
La primera pantalla será la de los ajustes de seguridad para los usuarios administradores.
Puede activar las contraseñas seguras y negarse a que los usuarios se registren con una contraseña comprometida que se haya utilizado anteriormente en otros sitios.
Para cambiar los ajustes de seguridad de otros usuarios, basta con hacer clic en un perfil diferente en la parte superior de la pantalla. Cuando haya terminado, haga clic en el botón “Siguiente” situado en la parte superior o inferior de la pantalla.
Esto le guiará a través del resto del asistente de configuración para activar ajustes de seguridad adicionales para su sitio web.
Si desea cambiar los ajustes de su contraseña en el futuro, vaya a Seguridad ” Configuración, haga clic en “Grupos de usuarios” y seleccione el grupo que desea cambiar.
Cuando hayas terminado, haz clic en el botón “Guardar” situado en la parte inferior de la pantalla para guardar la configuración.
Método 2: Forzar contraseñas seguras con el gestor de políticas de contraseñas
Otra forma de forzar contraseñas seguras en tu blog de WordPress es usando el plugin Password Policy Manager. Le permite crear fácilmente reglas de contraseñas seguras que sus usuarios deben seguir, pero no tiene otras características de seguridad para proteger su sitio como lo hace iThemes Security.
Lo primero que tienes que hacer es instalar y activar el plugin. Para más detalles, consulte nuestra guía para principiantes sobre cómo instalar un plugin de WordPress.
Tras la activación, tendrás una nueva opción de menú llamada ‘Política de contraseñas de miniOrange’ en tu panel de administrador de WordPress. Tienes que hacer clic aquí para establecer tus reglas de contraseña.
A continuación, haga clic en el conmutador “Ajustes de la política de contraseñas” para activar los ajustes de su contraseña segura.
Después, puedes establecer tus ajustes de contraseña segura. Sólo tienes que marcar / comprobar las casillas correspondientes a los ajustes de contraseña que desees establecer.
A continuación, establezca la longitud obligatoria / requerida / necesaria de la contraseña.
Después, puedes elegir que las contraseñas caduquen tras un periodo de tiempo establecido.
Si desea activar esta opción, haga clic en el conmutador “Activar caducidad” e introduzca la caducidad en semanas.
Cuando hayas terminado, asegúrate de hacer clic en el botón “Guardar ajustes”.
También puedes restablecer todas las contraseñas de tus usuarios en cualquier momento. Basta con hacer clic en el botón “Restablecer contraseña” para que se indique a todos los usuarios que creen nuevas contraseñas seguras.
Nuestras mejores guías para proteger las contraseñas de WordPress
Imponer contraseñas seguras es una buena manera de empezar a mejorar la seguridad de tu sitio web WordPress. Aquí tienes otras guías que quizás quieras ver acerca de cómo proteger las contraseñas de WordPress.
- Cómo cambiar la contraseña en WordPress (Guía para principiantes)
- Cómo gestionar contraseñas de forma fácil y segura (Guía para principiantes)
- Cómo y por qué debería limitar los intentos de acceso en WordPress
- Cómo añadir un sencillo generador de contraseñas de usuario en WordPress
- Cómo permitir a los usuarios ocultar / mostrar contraseñas en la pantalla de acceso de WordPress
- Cómo restablecer las contraseñas de todos los usuarios en WordPress
Esperamos que este artículo te haya ayudado a aprender cómo forzar contraseñas seguras a los usuarios en WordPress. También puedes consultar nuestra guía sobre cómo crear una dirección de correo electrónico empresarial gratuita y nuestra selección de las mejores aplicaciones de números de teléfono virtuales para empresas.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Mrteesurez says
Good job here.
but my question is, why there is a risk when my site users use weak passwords when they are not actually the admins ??
Also, thanks for that plugin Password Policy Manager, I love how it works.
My websites are becoming more professional by implementing your guides. I appreciate.
WPBeginner Support says
The chances are very low but if there is a plugin or theme with a vulnerability that only requires a user on the site then hackers could target your users instead of your admins.
Administrador
salvador aguilar says
This plugin is now closed on WP repo
WPBeginner Support says
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Administrador
lionel says
this plugin hasn’t been updated in over a year.
WPBeginner Support says
Thank you for letting us know, from taking a look the plugin should still be working but for understanding the lack of updates you would want to take a look at our article here: https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Administrador
Bobby says
Is there any function in this plugin to change the password level? I was looking for this issue over a month.
WPBeginner Staff says
This plugin does not send password emails. It also does not advertises to encrypt emails. That’s not the purpose of this plugin.
CST says
It does not sound like the, “Force Strong Passwords” plugin is as safe as it is touted to be if it does not block emailing the password in unencrypted form.
dwf says
Not to mention that the “Force Strong Passwords” plugin does nothing to prevent emailing of strong password during User setup…
Chris says
Any ideas on how to implement this same approach but for all users; even ‘subscribers’?
Editorial Staff says
Yes you would have to use
slt_fsp_weak_roles
filter. Haven’t tried the code below, but something like this should work:1-click Use in WordPress
Administrador
Chris Miller says
Thank you! I’m surprised WordPress hasn’t implemented a simple ‘tick box’ option to increase security password requirements with all the brute force attacks lately. I’ll give this a go.
Sara says
Great concept. Looking at the “support” page at wordpress’s plugins site, the developers haven’t responded to support messages and don’t appear to have any reputation in the security world.
I want to stress, I love the idea. But I am not wowed by what I’m seeing of the “company” or developers behind the software, and for something like security, that makes me nervous. I’m gonna pass for now.
Editorial Staff says
Often developers build their plugins out of their free time. Having built several ourselves, we know how hard it is to support them specially when you are not getting anything in return. This plugin’s author has updated his github page for the plugin. That seems to be running version 1.1 which has a lot of upgrades and fixes.
Administrador
Damien says
If they have (simply) converted the WordPress strength test to PHP then they don’t need to have a reputation in the security world. It is not really “new” code, just ported code.