Una cadena es tan fuerte como su eslabón más débil, y cuando no tienes tu contraseña políticas en orden, la seguridad de su contraseña es el eslabón más débil.
La seguridad de las contraseñas de WordPress consiste en cumplir y superar las mejores prácticas de requisitos de contraseñas, garantizando que su sitio esté protegido contra el acceso no autorizado.
Pero también implica otras mejores prácticas de seguridad de inicio de sesión, como ocultar la página de inicio de sesión de WordPress, forzar el cumplimiento de la política de contraseñas e implementar controles de seguridad adicionales como 2FA.
Esto puede parecer complicado y difícil de implementar en su sitio, pero en realidad es bastante fácil.
Siga mientras profundizamos en el mundo de la seguridad de contraseñas de WordPress y le enseñaremos cómo definir e implementar políticas de contraseñas seguras.
Tabla de contenido
¿Qué son las políticas de contraseñas?
Las políticas de contraseñas son reglas que alientan o obligan a los usuarios de sitios web a utilizar contraseñas seguras.
Esto puede incluir cosas como obligar a los usuarios a utilizar una contraseña de cierta longitud o cambiarla periódicamente.
Cuando se combinan con otros controles de seguridad de inicio de sesión importantes, incluida la limitación de los intentos de inicio de sesión y el restablecimiento automático de la contraseña de una cuenta si se ve comprometida, ayudan a mejorar la seguridad del sitio web.
En WordPress, las políticas de contraseñas generalmente se implementan mediante un complemento de seguridad de inicio de sesiónque es, con diferencia, el método más sencillo para implementarlos en su sitio.
La importancia de contraseñas y políticas de contraseñas seguras
Aunque la importancia de utilizar contraseñas seguras es bastante evidente y la mayoría la comprende, las contraseñas comprometidas siguen siendo una de las causas más comunes de violaciones de seguridad.
En 2022, más 24 mil millones de contraseñas fueron expuestas por piratas informáticos.
Sí, has leído bien.
Mil millones – con una B.
Simplemente deja que eso se asimile por un momento.
Son casi 5 contraseñas por cada usuario de Internet del mundo.
Lo peor de todo es que más del 80% de las infracciones confirmadas están relacionadas con contraseñas robadas, reutilizadas o débiles, algo que se puede prevenir fácilmente implementando políticas sólidas de seguridad de inicio de sesión y contraseñas.
Las políticas de contraseñas seguras pueden ayudar a proteger su sitio de WordPress y a sus usuarios obligándolos a usar contraseñas seguras, limitando los intentos de inicio de sesión, bloqueando automáticamente las cuentas de usuarios inactivos y restringiendo los tiempos de inicio de sesión de los usuarios.
Por lo tanto, si no desea que su sitio/cuentas terminen siendo una estadística, ¡será mejor que actualice su seguridad de inicio de sesión!
Conceptos básicos de seguridad de contraseñas
Antes de profundizar en las políticas de contraseñas y los diversos controles técnicos de seguridad que se pueden utilizar para mejorar la seguridad de inicio de sesión, es importante comprender los conceptos básicos de la seguridad de las contraseñas.
Estos son…
Usar contraseñas seguras
El uso de contraseñas complejas y únicas de longitud adecuada es uno de los primeros pasos más importantes cuando se trata de seguridad de contraseñas.
Una contraseña segura:
- No consta de palabras del diccionario (es decir, «hola hola» o «hora de la contraseña»)
- Contiene letras, números y símbolos especiales en mayúsculas y no mayúsculas.
- Tiene al menos 8 caracteres, idealmente 12 o más, y hasta 64 caracteres
- No consiste en información (personal) fácil de adivinar (cumpleaños, nombres de mascotas, etc.)
- Es único para cada cuenta.
Usar un administrador de contraseñas siempre que sea posible
Las contraseñas largas y complejas son excelentes para la seguridad, pero también son notoriamente difíciles de recordar.
Un administrador de contraseñas le permite almacenar contraseñas automáticamente en una bóveda en línea, que solo se puede abrir usando una contraseña maestra. Esto garantiza que solo tendrá que recordar una única contraseña, lo que le permitirá crear contraseñas tan largas y complejas como desee sin tener que recordarlas todas.
Cuando desee iniciar sesión, simplemente ingrese su contraseña maestra y el administrador de contraseñas completará automáticamente la contraseña correcta para la cuenta.
Actualizar contraseñas cuando sea necesario
La actualización periódica de las contraseñas reduce el tiempo que los delincuentes pueden utilizar las contraseñas comprometidas. Sin embargo, NIST recientemente dejó de recomendar cambios aleatorios regulares de contraseña, ya que pueden alentar a las personas a seleccionar contraseñas menos seguras.
Por lo tanto, es importante tener una buena razón para cambiar su contraseña antes de hacerlo.
Algunas buenas razones para cambiar su contraseña incluyen:
- Estás usando la misma contraseña para varias cuentas.
- Usted (accidentalmente) reveló su contraseña a otra persona
- Tiene motivos para creer que su contraseña no es segura
- Sospechas que la cuenta ha sido pirateada o comprometida de alguna manera
Utilice un complemento de seguridad de inicio de sesión
Cuando se trata de seguridad de inicio de sesión en WordPress, nada mejor que un complemento de seguridad de inicio de sesión. Estos complementos le permiten imponer contraseñas seguras y otras políticas de inicio de sesión y contraseñas en su sitio web de WordPress, sin dejar nada al azar.
Al evitar por completo el uso de contraseñas débiles, puede garantizar el uso de contraseñas seguras de WordPress en todas las cuentas.
Implementar políticas de contraseñas seguras mediante un complemento de seguridad de inicio de sesión
Como propietario o administrador de un sitio web que administra sitios web con muchas cuentas de usuario y roles, es fundamental implementar políticas de contraseñas en todo el sitio con flexibilidad basada en roles.
Afortunadamente para usted, esto se logra fácilmente utilizando un complemento de seguridad de inicio de sesión y se puede configurar con solo unos pocos clics.
Primero, necesita instalar un complemento de seguridad de inicio de sesión.
Para este ejemplo, usaré el Seguridad de inicio de sesión de MelaPress enchufar.
Es uno de los mejores complementos de seguridad de inicio de sesión del mercado, si se me permite.
Es un completo administrador de políticas de contraseñas y seguridad de inicio de sesión que ofrece compatibilidad con complementos de terceros con un solo clic, que cubren WooCommerce, LearnDash y muchos otros.
Otras características incluyen restablecimiento de contraseñas con un solo clic, limitación de intentos fallidos de inicio de sesión, obligar a los usuarios a utilizar contraseñas seguras, bloquear automáticamente a los usuarios inactivos y restringir los tiempos de inicio de sesión de los usuarios.
Cómo implementar una seguridad de contraseña sólida en WordPress
Primero, diríjase a la página de precios de Melapress Login Security y seleccione el plan adecuado para usted.
Después de comprar un plan, recibirá un correo electrónico con una clave de licencia e instrucciones de instalación que puede seguir para instalar el complemento en su sitio.
Después de cargar y activar el complemento, serás redirigido a la página de políticas de seguridad de inicio de sesión.
Ahora es el momento de empezar a implementar algunos controles de seguridad de inicio de sesión.
Ocultar la página de inicio de sesión
Cuando se trata de seguridad de inicio de sesión, uno de los primeros pasos que debe seguir es ocultar la página de inicio de sesión.
En la barra lateral izquierda, haga clic en «Ocultar página de inicio de sesión».
En esta página, puede cambiar la URL de inicio de sesión.
Simplemente agregue la nueva URL de inicio de sesión al primer campo de entrada de la página, denominado «URL de la página de inicio de sesión», ¡y listo!
A continuación, creemos nuestra primera contraseña de usuario y política de seguridad de inicio de sesión.
Contraseña de usuario y políticas de inicio de sesión
Dirígete a la pestaña Política de seguridad de inicio de sesión y marca la casilla «Habilitar políticas de seguridad de inicio de sesión».
En esta página, puede configurar sus políticas de contraseña y cambiar la configuración de la política de contraseña.
La configuración estándar es generalmente un buen punto de partida y cumple con la mayoría de las mejores prácticas de políticas de seguridad de inicio de sesión estándar.
Sin embargo, puede personalizar la póliza para que se ajuste a sus necesidades.
En el ejemplo anterior, elevé el número mínimo de caracteres de 8 a 10 y no permití las 2 últimas contraseñas al restablecer la contraseña.
Limitar los intentos de inicio de sesión
También puede configurar políticas de cuenta de usuario en esta página, incluida la limitación del número de intentos de inicio de sesión.
En el ejemplo anterior, limité el número de intentos fallidos de inicio de sesión a 5, con un período de espera de 1440 minutos (24 horas) antes de que puedan intentar iniciar sesión en la cuenta nuevamente.
A continuación, desplácese hacia abajo hasta las políticas de inicio de sesión programado.
Configuración de políticas de inicio de sesión programadas
La función de políticas de inicio de sesión programadas le permite restringir las horas entre las cuales los usuarios pueden iniciar sesión, así como evitar que los usuarios inicien sesión en ciertos días. Este es un control de seguridad útil ya que hace que su sitio sea menos vulnerable a ataques durante los momentos en que el inicio de sesión está restringido.
Después de realizar los cambios necesarios en estas políticas, no olvide presionar «Guardar cambios».
Establecer políticas basadas en roles
Si desea algo más granular, MelaPress Login Security también le permite implementar políticas basadas en roles para varios roles.
Las políticas basadas en roles le permiten crear diferentes políticas de seguridad para diferentes roles. Por ejemplo, podría tener políticas de seguridad muy amplias para cuentas de editor con permisos limitados, pero políticas muy estrictas para cuentas de administrador.
Configuración de formularios y ubicación
Si utiliza complementos populares de terceros como WooCommerce o BuddyPress, puede activar la seguridad de inicio de sesión en formularios de terceros en la pestaña «Formularios y ubicación».
Simplemente marque las casillas relevantes para usted y haga clic en guardar una vez que haya terminado.
¡Es tan simple como eso!
Ahora ha implementado una variedad de políticas de seguridad de inicio de sesión y contraseña.
A continuación, echemos un vistazo a otros pasos que puede seguir para mejorar la seguridad de su inicio de sesión.
Pasos de seguridad de inicio de sesión adicionales para su sitio de WordPress
Si sigue los pasos detallados anteriormente, su seguridad de inicio de sesión ya es muy sólida.
Dicho esto, todavía hay algunas cosas que puedes hacer para mejorarlo.
Puede que esto no sea necesario para blogs personales u otros sitios más pequeños, pero en el caso de tiendas de comercio electrónico u otros sitios más grandes, puede que valga la pena seguir algunos pasos adicionales.
El primero es implementar la autenticación de dos factores.
2FA
La autenticación de dos factores, también llamada 2FA, es una capa adicional de seguridad para el proceso de autenticación de su sitio web.
2FA envía a los usuarios un código o contraseña por correo electrónico, mensaje SMS o mediante una aplicación de autenticación. Luego, los usuarios utilizan este código para iniciar sesión.
Esto añade una segunda capa de defensa, ya que una contraseña comprometida por sí sola no puede dar acceso al sitio a un atacante. También necesitarían tener acceso a su cuenta de correo electrónico o teléfono móvil, lo que haría mucho más difícil obtener acceso no autorizado a una cuenta.
WP 2FA, un Complemento de autenticación de dos factores (2FA) para WordPresses una excelente opción para implementar la autenticación de dos factores en su sitio de WordPress.
No solo le permite implementar 2FA utilizando múltiples métodos diferentes, sino que también tiene varias integraciones de servicios de terceros y le permite personalizar completamente sus políticas de 2FA.
Se pueden utilizar métodos de respaldo para garantizar que los usuarios aún puedan iniciar sesión si su método principal no está disponible y cuenta con amplias opciones de etiquetado blanco.
Lo mejor de todo es que es muy fácil de configurar.
En esta publicación en autenticación de dos factores para WordPresspuede aprender cómo instalar el complemento WP 2FA y configurarlo en su sitio.
CAPTCHA
Aunque CAPTCHA generalmente no se considera un control de seguridad de inicio de sesión, puede ayudar a evitar que los robots intenten iniciar sesión en cuentas de su sitio.
Hay un número de razones por qué podrías usar CAPTCHA en tu sitio de WordPresspero lo más importante para la seguridad del inicio de sesión es que puede ayudar a prevenir ataques de fuerza bruta, como la pulverización de contraseñas y los ataques de diccionario.
CAPTCHA 4WP es un excelente complemento CAPTCHA de WordPress que puede ayudarlo a implementar CAPTCHA en su sitio.
Después de comprar una licencia, simplemente siga las instrucciones de instalación y el asistente de configuración, consulte Seleccione las páginas en las que desea implementar CAPTCHA y ¡listo!
Preguntas frecuentes
¿Cómo hago que mi inicio de sesión en WordPress sea seguro?
Hay una serie de pasos que debe seguir para proteger el inicio de sesión y las contraseñas de usuario de su sitio, todos los cuales se detallan en esta publicación. Estas incluyen ocultar la página de inicio de sesión, implementar políticas de contraseñas seguras y utilizar autenticación de dos factores. También puede bloquear automáticamente a los usuarios inactivos, obligarlos a cambiar sus contraseñas y, por supuesto, obligar a sus usuarios de WordPress a crear contraseñas seguras.
Todo esto se puede lograr utilizando un complemento de seguridad de inicio de sesión o un complemento de administrador de políticas de contraseñas.
¿Cuál es la longitud máxima de una contraseña en WordPress?
La longitud máxima de la contraseña en WordPress es actualmente de 4096 caracteres. Dicho esto, su contraseña no tiene que ser tan larga para ser segura. NIST recomienda un mínimo de 8 caracteres y un máximo de 64.
¿Cuál es la contraseña predeterminada para la instalación de WordPress?
Si no proporciona una contraseña durante la instalación, se generará automáticamente una contraseña predeterminada. Es mejor guardar esta contraseña en un administrador de contraseñas para asegurarse de no perderla. Si olvidó su contraseña de WordPress, a menudo puede iniciar sesión a través de su cuenta de cPanel proporcionada por su proveedor de alojamiento.
¿Cuál es la longitud recomendada de la contraseña?
NIST recomienda contraseñas con una longitud mínima de 8 caracteres y hasta 64 caracteres. Las contraseñas deben contener números, letras, letras mayúsculas y símbolos; las contraseñas más largas son más seguras que las alternativas más cortas.
¿Son más seguras las contraseñas más largas?
En igualdad de condiciones, las contraseñas más largas se consideran más seguras que sus contrapartes más cortas. Sin embargo, es igualmente importante que su contraseña contenga una combinación de letras, números y caracteres especiales y no consista simplemente en palabras de diccionario. Ciertas contraseñas largas pueden ser bastante fáciles de descifrar si no se siguen otras políticas de contraseñas, por lo que es importante tener esto en cuenta al elegir su próxima contraseña.
