Una de las principales prioridades a la hora de crear una página web es la seguridad. Esto es debido a que hay hackers y bots que pueden tumbar tu sitio en un santiamén. En este artículo te explicamos cómo limitar el número de intentos en el login de WordPress para evitar problemas.
Los hackers están siempre al acecho y no os creáis que es broma. No lo digo yo, lo dicen las cientos y cientos de webs que se hackean diariamente. Administradores de WordPress que se levantan de buena mañana y al ir a comprobar su sitio web, ven que este no responde. Rápidamente telefonean a su proveedor de hosting para WordPress con el fin de saber qué es lo que ha ocurrido. Hasta que reciben la fatídica noticia, su sitio ha sido hackeado. Ya sabéis que los hackeos pueden ir desde inyectar código en los archivos, hasta eliminar la página web entera con base de datos y todo. A ese ficticio administrador de WordPress ya solo le queda rezar para que los daños sean mínimos, o hacer uso, si es que lo tiene contratado, del soporte para backups.
Hay que ponérselo difícil a los hackers. Y es que, si ayer os hablábamos sobre cómo forzar a los usuarios a cambiar las contraseñas en WordPress para incrementar la seguridad de la web, hoy os vamos a hablar de otra medida que habréis visto en otras aplicaciones web. Se trata de limitar el número de intentos en el login de WordPress para que no se cuele ningún hacker ni ningún bot malicioso. ¿Quieres saber cómo llevarlo a la práctica?
¿Por qué es importante limitar el número de intentos en el login de WordPress?
Como os decía antes, seguro que lo habréis visto en plataformas como redes sociales, tiendas on-line, acceso a servidores web, intranets… Pero, ¿por qué se hace esto? Es bien sencillo. Los hackers para intentar averiguar la contraseña con la que se entra a un acceso, como es el login de WordPress, lo hacen por la fuerza bruta. No, no os asusteis, no se ponen a darle puñetazos a la pantalla con vuestra página web abierta en ella. Lo que hacen es probar todo tipo de contraseñas y cuando digo todo, es todo.
Mediante un software prueban todos los tipos de combinaciones posibles para una contraseña. En algún momento, ya tarden horas, días o meses, acertarán con la que entras a tu WordPress. Imagináos un programa el cual genera contraseñas desde la 0000 hasta ZZZZZZZZZZZZ, con la de millones de combinaciones diferentes que pueden surgir. Ahora imagina también que con cada una de las combinaciones intenta entrar al login de tu WordPress. Tarde o temprano acertará, ¿verdad? Pues de eso es de lo que se valen.
El plugin Login Lockdown
Si limitamos el número de intentos, este tipo de sofware usado por los hackers nunca conseguirá entrar en el login de WordPress por que será expulsado antes. Por desgracia, WordPress no trae esta función por defecto y tendremos que valernos de un plugin para ello.
El plugin Login Lockdown nos ayudará en esta tarea. Mediante este plugin podremos limitar los intentos al acceder al login de WordPress el número de veces que nosotros queramos. Solamente tendremos que instalar el plugin y activarlo para observar que aparece una nueva opción dentro de la sección de Ajustes de nuestro backoffice llamada Login Lockdown. Una vez dentro veremos unos cuantos campos con los que configuraremos la limitación que queremos llevar a cabo en la página de acceso de WordPress.
En el campo Max Login Retries determinaremos el número de intentos en el login. Es decir, si el usuario puede equivocarse 1, 2, 3… veces. El campo Retry Time Period Restriction (minutes) determina la cantidad de tiempo que tiene el usuario una vez se equivoca en un login sin estar aún bloqueado. El campo Lockout Length (minutes) indica la cantidad de tiempo en minutos que una dirección IP puede estar bloqueada tras haber sobrepasado el número de intentos máximo. Otro campo la mar de curioso es el Lockout Invalid Usernames? que sirve para bloquear a esos usuarios que introducen el nombre de usuario mal. Por defecto está deshabilitado pero tampoco la considero como una mala medida.
Y este sería el funcionamiento del plugin Login Lockdown. Ya solo tendríamos que guardar los cambios y ver cómo se ejecutan en nuestro nuevo login de WordPress. Un login mucho más seguro por el cual solamente pasaremos nosotros y nadie más. Espero que este tutorial te haya servido para incrementar la seguridad de tu sitio web con WordPress y no tengas de cara a futuro ningún problema con hackers o bots maliciosos.
Creo que a todos los que administramos un WordPress nos ha pasado alguna vez, ¿cuál ha sido el peor hackeo que has sufrido? ¿Eres de esos privilegiados que no ha sufrido ningún hackeo aún?