No hay nada peor que descubrir que tu sitio web ha sido comprometido. El área de administración de WordPress es el principal punto de entrada para los hackers, lo que la convierte en la parte más crítica de tu sitio para proteger.
Sabemos que puede ser estresante pensar en ataques de fuerza bruta o robo de datos. Muchos propietarios de sitios web se preocupan de no tener las habilidades técnicas para asegurar adecuadamente su panel de control.
La gran noticia es que no necesitas ser un profesional de la seguridad para tener un gran impacto. En nuestra experiencia administrando miles de sitios de WordPress, hemos descubierto que unos pocos cambios sencillos son todo lo que se necesita para construir una defensa sólida.
En esta guía, te mostraremos los consejos más efectivos para asegurar tu área de administración. Estos sencillos pasos te darán tranquilidad y mantendrán tu sitio web seguro.
Cubriremos muchos consejos, y puedes usar los enlaces rápidos a continuación para saltar entre ellos:
- 1. Usa un Firewall
- 2. Protege con contraseña el directorio de administración de WordPress
- 3. Usa siempre contraseñas seguras
- 4. Usa verificación en dos pasos en la pantalla de inicio de sesión de WordPress
- 5. Limita los intentos de inicio de sesión
- 6. Limita el acceso de inicio de sesión a direcciones IP
- 7. Deshabilita las pistas de inicio de sesión
- 8. Exige a los usuarios que usen contraseñas seguras
- 9. Restablece la contraseña de todos los usuarios
- 10. Mantén WordPress actualizado
- 11. Crea páginas de inicio de sesión y registro personalizadas
- 12. Aprende sobre los roles y permisos de usuario de WordPress
- 13. Limita el acceso al panel de administración de WordPress
- 14. Cierra sesión de usuarios inactivos
- Preguntas frecuentes sobre la seguridad del área de administración de WordPress
- Recursos adicionales para la seguridad de WordPress
1. Usa un Firewall
Un firewall de aplicaciones web (WAF) monitorea el tráfico de tu sitio y bloquea las solicitudes sospechosas antes de que lleguen a tu servidor. Esta es tu primera línea de defensa contra intentos de hackeo.
Si bien existen varios plugins de firewall para WordPress, recomendamos un firewall a nivel de DNS como Cloudflare. Los firewalls a nivel de DNS son más efectivos porque bloquean las amenazas en el borde de la red, por lo que el tráfico malicioso ni siquiera llega a tu sitio web.
En WPBeginner, usamos el plan empresarial de Cloudflare para proteger nuestro sitio web de intentos de hackeo, malware y otras actividades maliciosas. Para obtener instrucciones de configuración paso a paso, consulta nuestro artículo sobre cómo configurar la CDN gratuita de Cloudflare para tu sitio web.
Otra gran opción es Sucuri, que usamos anteriormente. Para más detalles, consulta nuestro artículo sobre por qué cambiamos de Sucuri a Cloudflare.
2. Protege con contraseña el directorio de administración de WordPress
Otro consejo que hemos encontrado extremadamente efectivo es agregar protección con contraseña al directorio de administración de WordPress. Esto agrega una segunda capa de defensa, requiriendo dos contraseñas separadas para acceder a tu panel.
Puedes hacer esto desde el panel de control de tu hosting web de WordPress. Aquí están los pasos para cPanel:
- Inicia sesión en tu panel de control de hosting de WordPress cPanel y haz clic en el ícono de 'Privacidad del directorio'.
- Selecciona tu carpeta
wp-admin, que generalmente se encuentra dentro del directorio/public_html/. - Marca la casilla junto a ‘Proteger este directorio con contraseña’ y asígnale un nombre.
- Haz clic en ‘Guardar’ y luego regresa para crear un usuario con un nuevo nombre de usuario y contraseña.
Ahora, cualquiera que intente acceder a tu página de inicio de sesión de administrador verá primero una solicitud de autenticación.
Esto bloquea la mayoría de los ataques automatizados de bots.
Para obtener instrucciones más detalladas, consulta nuestra guía sobre cómo proteger con contraseña el directorio de administración de WordPress (wp-admin). Ten en cuenta que estos pasos son para hosts que usan cPanel. Si usas un panel de control diferente, consulta la documentación de tu host.
3. Usa siempre contraseñas seguras
Debes usar contraseñas seguras y complejas para todas tus cuentas de WordPress. Las contraseñas débiles son una de las razones más comunes por las que los sitios web son hackeados.
Una contraseña segura utiliza una combinación de letras mayúsculas y minúsculas, números y caracteres especiales (!, #, @, %, etc.). Cuanto más larga sea, más segura será.
Es casi imposible recordar docenas de contraseñas complejas. Es por eso que todo nuestro equipo en WPBeginner utiliza una aplicación de administrador de contraseñas como 1Password para generar y almacenar de forma segura contraseñas únicas para cada servicio.
Para obtener más información sobre este tema, consulta nuestra guía sobre la mejor manera de administrar contraseñas para principiantes de WordPress.
4. Usa verificación en dos pasos en la pantalla de inicio de sesión de WordPress
La verificación en dos pasos, también conocida como autenticación de dos factores (2FA), agrega otra capa de seguridad crítica. Usamos 2FA no solo en nuestros sitios web de WordPress, sino en todas nuestras cuentas en línea donde la opción está disponible.
Después de ingresar tu contraseña, también debes proporcionar un código sensible al tiempo generado por una aplicación en tu teléfono, como 1Password o Authenticator. Incluso si un hacker roba tu contraseña, no podrá iniciar sesión sin tu teléfono.
Para obtener instrucciones detalladas paso a paso, consulta nuestra guía sobre cómo configurar la verificación en 2 pasos en WordPress usando Google Authenticator.
5. Limita los intentos de inicio de sesión
Por defecto, WordPress permite a los usuarios intentar iniciar sesión tantas veces como quieran. Esto permite a los hackers usar scripts automatizados para probar miles de combinaciones de contraseñas en lo que se conoce como un "ataque de fuerza bruta".
Puedes detener esto fácilmente instalando el plugin Limit Login Attempts Reloaded. Después de la activación, ve a Configuración » Intentos de inicio de sesión limitados para configurar cuántos intentos fallidos se permiten antes de que una dirección IP sea bloqueada temporalmente.
Para obtener instrucciones detalladas, consulta nuestra guía sobre por qué deberías limitar los intentos de inicio de sesión en WordPress.
Para obtener más información sobre el plugin, también puedes consultar nuestra detallada reseña de Limit Login Attempts.
6. Limita el acceso de inicio de sesión a direcciones IP
Advertencia: Esta es una técnica avanzada y solo debe usarse si tienes una dirección IP estática (fija). La mayoría de las conexiones a Internet domésticas usan IPs dinámicas que cambian regularmente. Si usas este método con una IP dinámica, te bloquearás a ti mismo de tu propio sitio web.
Si tienes una IP fija, puedes restringir el acceso a tu área de administrador solo a esa dirección. Simplemente agrega este código a tu archivo .htaccess:
No olvides reemplazar los valores 'xx' con tu propia dirección IP. Puedes encontrar fácilmente tu dirección IP actual buscando "cuál es mi IP" en Google. Si usas más de una dirección IP, asegúrate de agregarlas también.
Para obtener instrucciones detalladas, consulta nuestra guía sobre cómo limitar el acceso al administrador de WordPress usando .htaccess.
7. Deshabilita las pistas de inicio de sesión
Cuando un inicio de sesión falla, WordPress te dice si el nombre de usuario o la contraseña fueron incorrectos. Si bien es útil para los usuarios, estas pistas también confirman un nombre de usuario válido para un atacante, facilitando su trabajo.
Puedes ocultar estas sugerencias agregando el siguiente código al archivo functions.php de tu tema. Sin embargo, recomendamos usar un plugin de fragmentos de código como WPCode. Es una forma mucho más segura de administrar código personalizado sin arriesgarse a errores en el sitio.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Para más detalles, consulta nuestra guía sobre cómo agregar código personalizado en WordPress sin romper tu sitio web.
8. Exige a los usuarios que usen contraseñas seguras
Si administras un sitio de WordPress con varios autores, un solo usuario con una contraseña débil puede crear una vulnerabilidad para todos. Puedes aplicar una política de contraseñas seguras para evitar esto.
Para hacer esto, puedes instalar y activar el plugin Solid Security (anteriormente conocido como iThemes Security), creado por el equipo de SolidWP.
Luego, puedes seguir los pasos de nuestra guía completa sobre cómo forzar contraseñas seguras en los usuarios de WordPress.
9. Restablece la contraseña de todos los usuarios
Para sitios de WordPress con varios usuarios, puedes mejorar la seguridad obligando a todos los usuarios a restablecer sus contraseñas. Esto es especialmente útil si sospechas una brecha de seguridad o simplemente quieres aplicar una nueva política de contraseñas.
Primero, instala y activa el plugin Emergency Password Reset. Después de la activación, ve a la página Usuarios » Emergency Password Reset y haz clic en el botón ‘Restablecer todas las contraseñas’.
Para obtener instrucciones detalladas, consulta nuestra guía sobre cómo restablecer contraseñas para todos los usuarios en WordPress.
10. Mantén WordPress actualizado
WordPress lanza frecuentemente nuevas versiones para agregar funciones y corregir vulnerabilidades de seguridad. Ejecutar una versión desactualizada de WordPress, tus plugins o tu tema es uno de los mayores riesgos de seguridad que puedes correr.
Asegúrate siempre de estar utilizando la última versión del software principal de WordPress, así como de todos tus plugins y temas. Para más información sobre esto, consulta nuestra guía sobre por qué siempre debes usar la última versión de WordPress.
11. Crea páginas de inicio de sesión y registro personalizadas
Para sitios que requieren registro de usuarios, como sitios de membresía o tiendas en línea, deberías crear páginas de inicio de sesión y registro personalizadas.
Esto evita que los usuarios que no son administradores tengan que ver o acceder a la pantalla de inicio de sesión predeterminada de WordPress. Proporciona una experiencia de usuario más profesional y te permite bloquear completamente el acceso estándar a wp-admin sin afectar a tus miembros o clientes.
La forma más fácil de hacer esto es con un plugin como WPForms, que tiene un potente complemento de registro de usuarios. Para obtener instrucciones detalladas, consulta nuestra guía sobre cómo crear páginas de inicio de sesión y registro personalizadas en WordPress.
12. Aprende sobre los roles y permisos de usuario de WordPress
WordPress tiene un sistema de gestión de usuarios incorporado con diferentes roles y capacidades. Asignar el rol incorrecto puede otorgar a un usuario muchos más permisos de los que necesita, creando un riesgo de seguridad potencial.
Es importante entender lo que cada rol puede hacer antes de agregar usuarios a tu sitio. Aquí están los 5 roles predeterminados:
- Administrador: Tiene acceso completo a todas las configuraciones y contenido del sitio.
- Editor: Puede publicar y administrar todas las publicaciones, incluidas las de otros usuarios.
- Autor: Puede publicar y administrar solo sus propias publicaciones.
- Colaborador: Puede escribir y administrar sus propias publicaciones, pero no puede publicarlas.
- Suscriptor: Solo puede iniciar sesión y administrar su propio perfil.
Para un desglose completo, consulta nuestra guía para principiantes sobre roles y permisos de usuario de WordPress.
13. Limita el acceso al panel de administración de WordPress
En algunos sitios, ciertos usuarios pueden no necesitar acceso al panel de WordPress en absoluto. Por defecto, cualquier usuario puede iniciar sesión y ver el área de administración, incluso si sus capacidades son limitadas.
Para solucionar esto, instala y activa el plugin Eliminar acceso al panel. Después de la activación, ve a Configuración » Acceso al panel y selecciona qué roles de usuario pueden acceder al área de administración. Otros pueden ser redirigidos a la página de inicio u otra URL.
Para obtener instrucciones más detalladas, consulta nuestra guía sobre cómo limitar el acceso al panel en WordPress.
14. Cierra sesión de usuarios inactivos
Los usuarios que han iniciado sesión y se alejan de sus computadoras pueden representar un riesgo de seguridad. Si su computadora es pública o compartida, alguien más podría acceder a su cuenta.
Puedes resolver esto instalando el plugin Cierre de sesión inactivo. Ve a Configuración » Cierre de sesión inactivo y establece un límite de tiempo. Después de ese período de inactividad, los usuarios cerrarán sesión automáticamente.
Para más detalles, consulta nuestro artículo sobre cómo cerrar sesión automáticamente a usuarios inactivos en WordPress.
Preguntas frecuentes sobre la seguridad del área de administración de WordPress
¿Cuál es el paso más importante para asegurar mi área de administración de WordPress?
Usar un Firewall de Aplicaciones Web (WAF) es el primer paso más crítico. Un buen firewall, como Cloudflare o Sucuri, bloquea el tráfico malicioso antes de que llegue a tu sitio, previniendo una amplia gama de ataques.
¿Es realmente necesario proteger con contraseña el directorio wp-admin?
Aunque no es obligatorio, es muy efectivo. Añade una segunda capa de autenticación que detiene a casi todos los bots automatizados que intentan forzar tu página de inicio de sesión. Es un cambio simple que aumenta significativamente la seguridad.
¿Puedo quedarme fuera de mi propio sitio al seguir estos consejos?
Sí, si no tienes cuidado. El consejo de limitar el acceso de inicio de sesión a direcciones IP específicas es solo para usuarios avanzados con una IP estática. Si usas una dirección IP normal y dinámica, te bloquearás a ti mismo. Siempre haz una copia de seguridad de tu sitio antes de editar archivos como .htaccess.
Recursos adicionales para la seguridad de WordPress
Esperamos que este artículo te haya ayudado a aprender algunos consejos y trucos nuevos para proteger el área de administración de tu WordPress.
También puedes consultar nuestras otras guías expertas para mantener tu sitio seguro:
- La guía definitiva de seguridad para WordPress – Paso a paso
- Los mejores plugins de seguridad para WordPress para proteger tu sitio (Comparado)
- Cómo escanear tu sitio de WordPress en busca de código potencialmente malicioso
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Olaf
La seguridad es simplemente fundamental, y el área de administración es la parte más importante de WordPress porque controla todo el sitio. Esto hace que los intentos de hackeo dirigidos a la administración sean cada vez más comunes, lo cual es lógico dado que WordPress impulsa decenas de millones de sitios web. Por lo tanto, los esfuerzos de los hackers se vuelven más pronunciados. Esta es una lista de elementos clave verdaderamente excelentes. Si bien puede que no sea necesario implementar todos, incluso unos pocos pueden mejorar significativamente la seguridad del sitio web. La combinación de una contraseña segura, autenticación de dos factores y limitación de intentos de inicio de sesión parece tan robusta que el área de administración sería prácticamente inquebrantable.
Dennis Muthomi
He intentado un intento de hackeo en mi propio sitio de WordPress, me gusta especialmente el énfasis en usar contraseñas seguras y autenticación de dos factores. Me gustaría añadir que hacer copias de seguridad de tu sitio web regularmente también es crucial en caso de una brecha de seguridad.
Jiří Vaněk
He utilizado muchos de tus consejos y, además, también cambié la URL de administración para prevenir posibles ataques de fuerza bruta. En cuanto a las contraseñas seguras, también recomendaría no usar el usuario predeterminado “admin”, ya que es el primer usuario con el que un hacker intentará atacar con fuerza bruta. Personalmente, cuando instalo WordPress, nunca uso el usuario “admin”, sino que siempre elijo un nombre personalizado. Es un pequeño detalle, pero también puede contribuir a la seguridad.
Mrteesurez
No creo que haya una forma en que los hackers puedan entrar si uno es capaz de implementar todos estos consejos y trucos.
He usado algunos, limitando los intentos de registro y el acceso al panel, y funcionaron bien, todavía intentaré implementar otros para máxima seguridad.
Jiří Vaněk
WordPress es un sistema complejo y asegurar solo la administración no es suficiente. Siempre hay una forma en que un hacker puede atacarte. Podrían apuntar al FTP para obtener información sensible de la base de datos, intentar explotar un MySQL mal protegido o tratar de aprovechar una vulnerabilidad recién descubierta en un plugin, tema o en el propio WordPress antes de que logres actualizarlo. Por lo tanto, siempre es bueno pensar de manera integral y no olvidar otros elementos del sistema como MySQL, FTP y los componentes de WordPress.
Moinuddin Waheed
Consejos y trucos imprescindibles para la protección del panel de administración de WordPress.
He utilizado la autenticación de dos factores para el inicio de sesión de administrador y también los límites de inicio de sesión para el acceso de administrador.
La protección del panel es de suma importancia, ya que puede tener graves repercusiones si el panel se ve comprometido.
No sabía que podíamos tener tantos pasos para proteger nuestro panel.
Gracias por la exhaustiva lista de consejos para la protección del panel.
Soporte de WPBeginner
¡Nos alegra saber que nuestra lista te resultó útil!
Administrador
Theo
"Este plugin ha sido cerrado desde el 23 de noviembre de 2020 y no está disponible para su descarga. Este cierre es permanente."
¡Sé que este es un artículo de 3 años y medio!
¡Sería bueno si alguien pudiera sugerir una alternativa! ¡Gracias por su tiempo!
Soporte de WPBeginner
Ciertamente buscaremos alternativas.
Administrador
Raksa Sav
Si agrego a alguien como administrador de WordPress, ¿pueden eliminarme de administrador o robar mi sitio de WordPress?
Soporte de WPBeginner
Hola Raksa,
Sí, pueden eliminar a otros administradores y tomar el control de tu sitio web.
Administrador
Muchsin
Quiero preguntar
He probado la privacidad del directorio del tutorial en este artículo y funciona sin problemas, pero hay un problema: cuando pruebo la función de búsqueda ubicada en el menú de navegación de mi sitio web como usuario, siempre me pide que ingrese el nombre de usuario y la contraseña de ese directorio. Entonces, ¿cómo resuelvo el problema?
Uso el tema Newspaper de tagdiv.
sherizon
¿cuál es el mejor consejo para iniciar un sitio web de comercio electrónico? ¿puedo usar wordpress?
Soporte de WPBeginner
Hola Sherizon,
Sí, puedes. Por favor, consulta nuestra guía sobre cómo iniciar una tienda en línea.
Administrador
Brenda Donovan
Buenos indicios y consejos aquí. ¿Importa dónde en el archivo functions.php se coloca el script de indicios de bloque? ¿Solo se agrega al final?
Soporte de WPBeginner
Hola Brenda,
Sí, deberías agregarlo al final.
Administrador
Joe
Otro medio realmente útil para proteger tu sitio de WP es usar un inicio de sesión que NO sea ADMIN y no tu dirección de correo electrónico. Usa un nombre de usuario único como WP@#% o algo así de loco.
Dragos
También deberías cambiar dónde instalas la carpeta predeterminada de wp-admin.
Abhinav S Thakur
¿Alguien puede arreglar esto?
¿Cómo debo forzar SSL solo para el administrador y el resto del sitio debe ser http.
¡Como wp beginner tiene un sitio no SSL!
Ejecutando WordPress, cPanel
Pinkey
Hola,
Acabo de iniciar un sitio web basado en contenido y desafortunadamente mi sitio fue hackeado. Por favor, aconséjenos con soluciones adecuadas (software/certificados, etc.) para evitar futuros hackeos.
Gracias y saludos cordiales,
Pinkey
Lucy Barret
Los consejos que agregaste son muy útiles. Pero para asegurar WordPress, necesitas dar más énfasis a la seguridad de tu área de inicio de sesión. Necesitas prestar más atención a fortalecer tu área de inicio de sesión de administrador.
John
¿Alguna idea de por qué eliminar wp-login.php no previene los ataques de fuerza bruta? Pensé que era una solución rápida para un sitio que solo requiere mi inicio de sesión, por lo tanto, ¿solo reemplazar el archivo cuando sea necesario?
¡Ayuda por favor!
Craig
Grandes consejos aparte de la eliminación de mensajes de administrador, si estás disminuyendo la experiencia del usuario debido a la seguridad, entonces no lo estás haciendo bien.
Tahir
¡¡Colección inteligente..!!
Talha
Muchas gracias. Tengo un sitio web. Lo configuraré allí.
Pat Fortino
Este plugin ya no existe: Stealth Login
¿Puedes recomendar una alternativa?
Gracias
Lori
También me han dicho que “elimine los enlaces a la página de administración del sitio para que los robots de hacking no puedan seguir un enlace”. No estoy seguro de lo que esto significa, o cómo lo haría… ¿Alguien sabe qué significa esto y podría indicarme instrucciones paso a paso para hacerlo?
(No veo enlaces a una página de administración en ninguna parte de mi sitio web, ni recuerdo que los haya habido. La única forma en que accedo a la página de administración es yendo a la dirección /wp-admin.)
Emily Johns
¡Excelente información!
Para bloggers y programadores no expertos, sugiero instalar un plugin de WordPress, para facilitar las cosas.
De los que mencionaste, encontré el plugin “Wordfence Security” como una solución gratuita para asegurar blogs y hacerlos más rápidos.
¡Probado y contento con él!
Barry Richardson
Tenía la impresión de que el nombre de usuario original (por ejemplo, “admin”) de un sitio WP no se puede eliminar, por lo que incluso si agregáramos un nuevo nombre de usuario, el “admin” original seguiría disponible para que un posible hacker lo explotara.
Soporte de WPBeginner
Si creas una nueva cuenta de usuario con el rol de administrador, entonces puedes eliminar de forma segura al usuario admin.
Administrador
Sandeep Jinagal
Hyy WPBeginner, ¿primero que nada, estás haciendo lo mejor de lo mejor???
Y quiero saber, quiero configurar mi página de inicio de sesión como la tuya. Porque cuando intento abrir tu página de inicio de sesión, muestra una ventana emergente para iniciar sesión. ¿Puedes darme esa herramienta?
Soporte de WPBeginner
Por favor, consulta nuestra guía sobre cómo proteger con contraseña el directorio de administración de WordPress (wp-admin).
Administrador
Kheti
Gracias por este material educativo. Muy útil. Gracias por el buen trabajo y el apoyo.
ifaheem
Gran artículo, pero necesita ser actualizado. Hay algunos plugins geniales que hacen todas las tareas anteriores con la instalación de un solo plugin.
My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin
Después de realizar los pasos anteriores (actualizarlos con algo de investigación), me siento un poco más seguro.
No instales un plugin sin leer un mínimo de 5 reseñas. Te dicen la verdad (ve a una reseña mala y mira lo que dice; ¡han sufrido algo malo!)
Prince Jain
Thank you for such a great post.
Pero por favor actualiza ese plugin de Stealth Login, no crees una URL personalizada para la ventana de inicio de sesión, en su lugar, agrega un código de autorización debajo del nombre de usuario y la contraseña en la ventana de inicio de sesión de WordPress.
¿También podrías sugerir un plugin para crear una URL personalizada para la ventana de inicio de sesión?
Mitchell Miller
Stealth Login fue eliminado del repositorio de plugins de WP.
Pero cambiar el enlace de wp-login.php es el primer paso para proteger un sitio de WordPress.
laya rappaport
¿Qué sucede cuando le das tus datos de acceso a alguien para que trabaje en tu sitio web y cambian los datos de acceso para que ya no puedas acceder a tu cuenta de WordPress?
James Campbell
No estoy seguro de si hay una manera de recuperar la información de tu sitio necesariamente, pero si puedes, crea siempre un nuevo usuario y da acceso a otras personas a través de ese usuario en particular. Esto te permite restringir el acceso a ciertas áreas y también puedes eliminar su acceso cuando ya no sea necesario. Renunciar a tu acceso a tu sitio les permite bloquearte.
Lisa Wells
Si alguien ha cambiado tu información de usuario de WordPress, espero que aún puedas iniciar sesión en tu base de datos a través de, digamos, phpMyAdmin. Desde allí deberías poder crear un nuevo usuario administrador directamente en las tablas:
https://www.wpbeginner.com/wp-tutorials/how-to-add-an-admin-user-to-the-wordpress-database-via-mysql/
user4574
Otro elemento útil que no se mencionó son los permisos de la base de datos. El usuario de la base de datos de WordPress generalmente no necesita tener todos los permisos. En la gran mayoría de los casos, solo necesita ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.
Así que si lo estás haciendo directamente en mysql, sería:
GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO ”@’localhost’;
Si lo haces en cPanel o similar, simplemente marca las casillas apropiadas al otorgar permisos al db_user.
Tanmoy Das
¡Excelentes consejos para cualquier novato! Siempre quiero cambiar la URL de inicio de sesión pero no sé cómo hacerlo. Gracias por esos consejos.
Derick
@Daniel: Los hackers ahora tienen una herramienta que enumera/lista todos tus nombres de usuario, incluidos los roles de estos, por lo que hacer eso no engañaría al hacker en absoluto.
Thorir
Acabo de instalar el plugin Limit Login Attempts en mis sitios de WP. En uno de ellos, casi instantáneamente noté un bloqueo; también fue la única instalación que estaba en la raíz. Todas las demás están en un subdirectorio y varias horas después, ninguna de ellas ha registrado un bloqueo.
¿Quizás este sea un factor útil, en términos de seguridad?
Mary
¡Hola, espero que te encuentres bien!
Este fue un gran artículo pero un poco complicado para mí.
porque necesito la forma fácil ahora mismo, el plugin de firewall de WordPress se veía bien pero
mi miedo es perder mi página de inicio de sesión.
He pasado mucho tiempo intentando trabajar con FTP y no he podido entenderlo.
¿Será este un buen plugin para una gallina asustadiza?? Gracias Mary
Ed van Dun
¿Y qué hay de Bullet Proof Security? Cubre algunas áreas mencionadas anteriormente y bastantes más.
Prodip
Todos los consejos anteriores me ayudaron a hacer mi blog más seguro.
Dr. Sean Mullen
¡Esta es información genial pero por favor actualiza! Gracias
Invitado
Sé que este artículo es de 2009, pero ¿puedes hacer uno actualizado, ya que muchos de estos complementos ya no son "oficialmente" compatibles con la última versión de WordPress (3.4.x-3.5)?
Personal editorial
Sí, está en proceso junto con algunas otras cosas. Hacemos lo mejor que podemos. Gracias por hacérnoslo saber.
Administrador
whoiscarrus
¡Estoy empezando en el desarrollo de WP y no puedo agradecerles lo suficiente! ¡Estos son geniales para gente que empieza como yo!
abhizz
increíbles consejos sobre WordPress, gracias
Bigdrobek
Gran tutorial, pero ¿puedes actualizarlo por favor?
Pocos complementos no existen, son viejos o están ocultos por WordPress.org.
– Stealth Login
– Login Lockdown
– Admin SSL
Estoy interesado en el paso 1) Crear enlaces de inicio de sesión personalizados – ¿tienes algún consejo para un nuevo complemento que haga un trabajo similar?
Faizan Elahi (BestBloggingTools)
This is a great resource. Thanks
mattjwalk
También podrías añadir a la lista: "usar autenticación de segundo factor" en lugar de contraseñas estándar. Hay un nuevo método de autenticación de sitios web https://www.shieldpass.com donde compras tarjetas de acceso baratas y luego instalas el complemento de WordPress. Luego colocas tu tarjeta en la pantalla para ver los números de inicio de sesión dinámicos en lugar de una contraseña estática. Es único porque también puede codificar dígitos de transacciones para autenticación mutua, lo que detiene las tácticas de ataques de "hombre en el medio", incluso uno con acceso a tu laptop o móvil.
Jermaine
El problema que tengo con el No: 6 es la dirección IP dinámica, te bloquean cada vez que tu dirección IP cambia, ¿cuál es la solución?
Personal editorial
Puedes agregar un inicio de sesión personalizado si la IP no coincide.
Administrador
vivek
Gran publicación y buena guía para nuevos bloggers como yo
fareed
Gran publicación y muy útil para mí, gracias
Daniel
El hacker pensará que ha tenido éxito cuando inicie sesión con el nombre de usuario administrador y descubra que el rol se ha establecido en 'suscriptor'. ¿No es esta otra forma de seguridad adicional? No quiero eliminar mi administrador porque publico mensajes, etc. en foros y el blog, y me gusta que mis usuarios sepan que es de la administración. ¡así como uso mi nombre de usuario regular!
Jonathan K. Cohen
Este artículo necesita ser revisado. Varios de los complementos sugeridos no han sido mantenidos y pueden ser incompatibles con la última versión de WP.
Estos incluyen #1, #3 y #5.
John
Para el #1, revisa este plugin llamado WPS Hide Login
Greg
Estoy completamente de acuerdo contigo. He estado usando el plugin Limit Login Attempts para mi WordPress durante un tiempo. Hoy este plugin está desactualizado. Me he cambiado a WP Cerber:
Danang Sukma
Gracias por tu publicación.
Estoy usando protección con contraseña para mi carpeta wp-admin en cpanel, ¿es suficiente?
mby
uh qué información tan útil, chicos, ¡seguro que puede ayudar!!
¡gracias por publicar! ^_^