En este post vamos hablar de la sección de login de WordPress como acceder a ella y como mejorar la seguridad del formulario de login para evitar ataques y que nos descubran nuestro password.
En WordPress por defecto la url de login después de una instalación es midomino.com/wp-admin o midomino.com/wp-login esta url redirecciona al formulario de login. En todos los WordPress tras una instalación, por defecto se accede de igual forma, esto es conocido por los hacker y muchos de ellos intentan hacer un ataque de fuerza bruta para intentar conseguir la contraseña y acceder a la administración de nuestra web. Una vez consiguen acceder a la administración ya pueden hacer y modificar lo que les interese de tu web, normalmente incluyen código malicioso para mostrar publicidad o realizar envíos de mail masivos de tipo spam. Ahora vamos a explicar una serie de herramientas y trucos para mejorar nuestra seguridad.
Contraseña con un nivel Fuerte.
La primera precaución que debemos de tener es tener un usuario y una contraseña que resulte difícil de descifrar y romper por los hackers o las herramientas que estos utilizan. WordPress lleva una opción que nos genera automáticamente la contraseña esta por defecto debe contener 22 caracteres y debe contener letras, números y caracteres. También a la hora de escribir una contraseña nos indicará si dicha contraseña es Fuerte, Media o Baja. Siempre es recomendable utilizar una contraseña con un nivel Fuerte.
Ocultar la url de login.
Otra recomendación es cambiar la url de login, de esta forma los hacker no conoceran la url y no podrán atacar a nuestro formulario de login. Los robots son programas que hay en internet que se ocupan de rastrear la red y pueden realizar ataques de fuerza bruta sobre una ruta. Nuestra labor va ser cambiar la url para que los robots no encuentren nuestro formulario de login.
Para ello existen plugins que nos ayudan a realizar dicha labor. Algunos de ellos son:
Lockdown WP Admin
Como podemos ver el funcionamiento es muy sencillo, marcamos la opcion de ocultar el acceso a la página de login y cambiamos la url de login de nuestro WordPress. Este plugins no se encuentra traducido al castellano pero es fácil de configurar. También posee una opción de poder añadir otro login personalizado aparte del que ya incluye WordPress. Sería como una especie de doble login.
WPS Hide Login
Este plugins como podemos ver es más sencillo que el anterior. Al instalarlo no verá ninguna nueva opción en el menú de la administración de WordPress y es porque se encuentra dentro de la opción Ajustes > Generales. Al final de la página aparece la única opción de configuración que es personalizar la url de login.
Existen muchos más plugins en el mercado es tan facil como en la sección de Plugins de nuestro wordpress seleccionar «Añadir nuevo plugins» y buscar por las palabras ocultar login o lock down.
También existen plugins más completos con opciones de cache y seguridad que además de incluir esta funcionalidad mejoran la seguridad no sólo de la página de login sino de todo WordPress. Para obtener más información de estos plugins puedes consultar el siguiente post: https://profesionalhosting.com/blog/cms/wordpress/7-mejores-plugins-seguridad-wordpress/
Captcha
Otra forma de mejorar la seguridad de nuestra página de login es añadiendo un Captcha. Para quien no sepa de lo que hablamos un captcha es un método o herramienta mediante la cual poder diferenciar personas de máquinas. Esto se consigue realizando una serie de preguntas u ejercicios que sólo una persona es capaz de resolver. Para ello suelen mezclar imágenes con textos para que resolvamos una operación o que indiquemos el texto oculto de una imagen.
Algunos de lo plugins que podemos utilizar de captcha en la pagina de login de WordPress son:
Login No Captcha reCAPTCHA
Este plugins utiliza un captcha muy extendido y desarrollado por google llamado reCAPTCHA. Para configurarlo nos requerirá unas claves de reCAPTCHA para ello deberemos acceder a la web oficial de reCAPTCHA https://www.google.com/recaptcha/intro/index.html . Deberemos tener cuenta con google ya que nos solicitará iniciar sesión. Una vez iniciada sesión configuraremos un nuevo sitio (dominio de nuestra web) donde vamos utilizar el reCAPTCHA y nos generará las claves que tenemos que añadir en la configuración del plugins en WordPress. Una vez configurado ya podemos empezar a utilizarlo y desde la página de google de reCAPTCHA nos darán informes y estadísticas de uso.
Math Captcha
Este captcha lo que nos pide para pasar el login es que resolvamos una operación matemática sencilla. Se puede incluir además de en el login en otras partes de nuestra web como pueden ser los formularios de contacto o comentarios.
Limitar número de intentos.
Por último voy hablar de otro plugins interesante para nuestra página de login. Este plugins es capaz de detectar un ataque por fuerza bruta. Dichos ataque se caracterizan porque no paran de enviar contraseñas aleatorias para intentar descifrar nuestro password. Este plugins detecta las veces que nos hemos equivocado y bloquea dicha IP durante un tiempo.
WP Limit Login Attempts
Truco
A veces puede ocurrir que sin querer o porque llevamos un tiempo sin acceder a nuestra página se nos olvide la url de acceso o la contraseñas y estos plugins nos bloquean a nosotros mismos el acceso. En este caso necesitarás tener acceso a los archivos de tu WordPress para ello puedes acceder a través de la administración de archivos de tu servidor o mediante una cuenta ftp a la carpeta wp-content/plugins. En esta carpeta se encuentran instalados los plugins que utiliza tu página web de WordPress y buscar la carpeta que contiene el plugins de seguridad que hemos instalado para el formulario de login. Una vez localizado deberás renombrarlo o eliminarlo. De esta forma volverá a funcionar WordPress con su configuración por defecto y podremos acceder mediante wp-admin o wp-login sin ninguna barrera de seguridad.
Conclusión
Estas son algunas de las herramientas que puedes encontrar en internet para mejorar la seguridad de tu página de login. Tener instalada alguna de estas herramientas te puede proteger de muchos de los ataques que hay actualmente circulando por internet y que básicamente lo que persiguen es poder acceder a la administración de tu web para poder insertar código malicioso.
Además de estos plugins también podemos frenar un ataque antes de que este llegue a WordPress. Para ello es importante tener instalado a nivel de servidor herramientas de seguridad. En ProfesionalHosting todos nuestros servidores tiene activo modSecurity que son una serie de reglas de políticas de firewall que protegen a nuestra web de ataques y accesos malintencionados. Nuestro Hosting WordPress dispone de reglas específicas para mejorar la seguridad de WordPress puedes contratarlo y encontrar más información en el siguiente enlace: https://www.profesionalhosting.com/hosting-wordpress/
Aparte también disponemos de un servicio de protección web SITELOCK que se basa en un scaneo de los archivos de la web en busca de código o software malintencionado. Más información en: https://www.profesionalhosting.com/proteger-web/