How to Protect Your WordPress Admin Area

Cómo proteger su área de administración de WordPress

Proteger su área de administración de WordPress y su página de inicio de sesión de los ataques es vital. Sin embargo, si bien los piratas informáticos representan un riesgo de seguridad importante, no son los únicos. Para los sitios que ofrecen registro de usuarios, también deberá proteger el área de administración contra los propios usuarios. Los problemas de seguridad derivados de usuarios de confianza se denominan “intrusiones no maliciosas”.

Afortunadamente, puede consolidar su sitio web rápida y fácilmente implementando algunos consejos de sentido común e instalando complementos para ayudarlo. Al considerar aspectos como sus datos de inicio de sesión y eliminar los ataques maliciosos en su origen, hará que su sitio sea más seguro para todos los que lo utilicen.

En este artículo, primero analizaremos por qué necesita proteger sus páginas de administración y de inicio de sesión, y luego le daremos cinco consejos para ayudarlo a proteger su sitio para siempre. ¡Empecemos!

Por qué debería proteger su área de administración de WordPress (y su página de inicio de sesión)

Una pantalla de inicio de sesión de WordPress que muestra un error.

Al igual que la puerta de entrada a su hogar, su página de inicio de sesión de WordPress es probablemente el eslabón débil de la cadena cuando se trata de acceder a su sitio web. Su pantalla de administración es la primera habitación en la que todos ingresarán, lo que significa que bloquear las dos es crucial para la seguridad. Las consecuencias de no hacerlo son numerosas, incluida la pérdida de información personal, del cliente o del usuario, el deterioro de la funcionalidad de su sitio web e incluso su eliminación completa. Además, erosionar la confianza del cliente puede causar estragos en sus resultados.

Finalmente, vale la pena señalar que los ataques de fuerza bruta son una forma popular de obtener acceso no autorizado a un sitio web, por lo que algunos consejos aquí se centran en proteger su sitio de esto.

Si es nuevo en WordPress, descubrir cómo proteger su sitio puede ser abrumador. Para desmitificar el proceso, presentamos cinco consejos que puede implementar para proteger su sitio. ¡Echaremos un vistazo!

1. Elija nombres de usuario y contraseñas seguras

En última instancia, las credenciales sólidas son una larga cadena de caracteres aleatorios, que a veces contienen números y símbolos. En comparación con las contraseñas cortas, los ejemplos sólidos son difíciles de adivinar para un pirata informático, lo que dificulta el acceso a su cuenta. Esta es una preocupación apremiante, ya que el 69% de los adultos en línea no consideran la seguridad de sus contraseñas. En resumen, las credenciales débiles dejan su sitio abierto a riesgos fácilmente evitables.

Qué más, todo el mundo las credenciales de usuario de su sitio son importantes; no es bueno que tenga un nombre de usuario y una contraseña seguros si otra cuenta de administrador tiene una débil.

El sitio web de 1Password.

Afortunadamente, es bastante fácil asegurarse de que sus nombres de usuario y contraseñas estén actualizados:

  1. Ofusque su nombre de usuario. Cambiar los nombres de usuario predeterminados de administración a algo más difícil de adivinar.
  2. Utilice una contraseña larga y difícil de adivinar. Puede utilizar un sitio web como Generador de contraseñas seguras – aunque WordPress también contiene un generador de contraseñas estelar, y muchos navegadores tienen sus propios sistemas en su lugar. Recuerde que la longitud es un factor crítico en una contraseña segura.
  3. Guarde su contraseña en un lugar seguro. Si bien no es estrictamente necesario para crear credenciales sólidas, el almacenamiento seguro de sus contraseñas es igualmente importante. Con este fin, eche un vistazo a Ultimo pase o 1 contraseña para ayudarlo a administrar fácilmente todas sus contraseñas.

Por supuesto, este no es el único método disponible para proteger su área de administración. Veamos otra forma de restringir el acceso.

2. Agregue autenticación de dos factores (2FA) para bloquear conexiones no autorizadas

2FA es un método para proteger su cuenta solicitándole un código o token único a través de su dispositivo inteligente. Esto significa que cada vez que inicie sesión, WordPress puede estar seguro de que es usted, y no un hacker u otra basura.

El complemento Keyy.

Al igual que con otros métodos de seguridad, existen varios complementos que pueden ayudarlo a implementar 2FA:

  1. Autenticación de dos factores: Este complemento funciona con Google Authenticator para proporcionar códigos de tiempo limitado para el acceso de inicio de sesión.
  2. Keyy: Esta solución única tiene como objetivo eliminar completamente las credenciales, utilizando su dispositivo inteligente exclusivamente para iniciar sesión.

En general, primero querrá experimentar con un complemento 2FA estándar y luego recurrir a otras soluciones como Keyy cuando se sienta cómodo. Además, algunos complementos como Wordfence y Jetpack incluyen esta función, por lo que también vale la pena comprobarlos.

3. Limite el número de intentos de conexión para limitar los ataques de fuerza bruta

En pocas palabras, los ataques de fuerza bruta buscan adivinar sus credenciales mediante todas las combinaciones posibles. Este es un método popular para piratear un sitio web y significa que limitar la cantidad de veces que un usuario puede iniciar sesión es una forma simple y efectiva de obstaculizarlos.

El sitio web de Wordfence.

En cuanto a cómo evitarlos, una vez más los complementos vienen al rescate. Aquí están nuestras recomendaciones:

  1. Jetpack: Entre otras características, Jetpack ofrece varios módulos esto limitará los intentos de fuerza bruta y supervisará su sitio en busca de ellos.
  2. Seguridad de IThemes: Este complemento todo en uno no solo le permite limitar los intentos de inicio de sesión, sino que también le permitirá prohibir a los usuarios sospechosos.
  3. Seguridad de Wordfence: Además de las restricciones de ataque de fuerza bruta, este complemento integral también ofrece una gran cantidad de otras características vitales relacionadas con la seguridad.
  4. BruteGuard: Este complemento lo protege de los ataques de fuerza bruta al conectar a sus usuarios para rastrear los intentos de inicio de sesión fallidos en todos los sitios de WordPress que lo usan creando una red protectora que aprende y se vuelve más poderosa a medida que más personas lo usan.

Hay otra forma de detener los ataques intrusivos en su sitio web: elimínelos. Veamos esto con más profundidad.

4. Implemente un firewall de aplicaciones de sitios web (WAF) para proteger su sitio de las inyecciones de código.

Una inyección de código es lo que parece: código que se usa para alterar la funcionalidad de su sitio y que puede ser devastador. En resumen, un WAF proporciona una barrera para que su sitio bloquee este tipo de ataques y otros antes de que lleguen a sus archivos.

El complemento All in Once WP Security & Firewall.

Algunos complementos (como Wordfence) incluyen un WAF de serie. Sin embargo, hay muchas otras opciones para elegir, como:

  1. NinjaFirewall: Este complemento dedicado es un firewall autónomo que se encuentra frente a WordPress y se presenta como un “WAF real”.
  2. Seguridad anti-malware y cortafuegos de fuerza bruta: Este complemento no solo incluye WAF sólido actualizado permanentemente, sino que también protege contra ataques de fuerza bruta.
  3. Todo en uno WP Security & Firewall: El nombre lo dice todo: incluye un generador de contraseñas, busca nombres de usuario débiles, protege contra ataques de fuerza bruta y también tiene un potente WAF.

En resumen, no hay excusa para no proteger su sitio, e implementar un WAF es una de las mejores formas de hacerlo.

5. Utilice los roles de usuario de WordPress para limitar las capacidades de la cuenta en su sitio

Para cada cuenta que acceda a su sitio, puede definir un rol de usuario definido con un conjunto de características que limitan lo que puede hacer la cuenta de usuario. Esto significa que los usuarios solo tendrán acceso a lo que necesitan para hacer su trabajo, claramente un aspecto clave de la seguridad del sitio.

El complemento User Role Editor.

Al igual que con los otros consejos de esta lista, comenzar es muy fácil:

  • Defina los roles de usuario correctos con anticipación, de modo que solo tenga acceso a lo que el usuario necesita y nada más.
  • Utilice un complemento como Editor de roles de usuario o Editor de roles de usuario de WPFront para personalizar el acceso a determinados roles.
  • Verifique y elimine regularmente las cuentas no utilizadas.

En general, definir los roles de los usuarios no tiene por qué ser difícil y podría proporcionar más seguridad para su área de administración.


Cuando se trata de seguridad, su principal preocupación siempre debe ser mantener a raya el acceso no autorizado, independientemente de su origen. Las consecuencias de no hacerlo podrían ser catastróficas para su sitio, su clasificación de búsqueda y sus ingresos potenciales.

En este artículo, hemos analizado cinco consejos para proteger de forma experta su área de administración. ¿Tiene otros consejos para proteger su área de administración de WordPress? ¡Cuéntanos sobre ellos en la sección de comentarios a continuación!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ir arriba