Sólida seguridad de inicio de sesión con WP Cerber
English version: Strong login security with WP Cerber
No es ningún secreto que los malhechores pueden entrar en un WordPress recién instalado en unos pocos minutos montando un ataque de fuerza bruta. Es posible porque WordPress no tiene mecanismos integrados de mitigación de ataques, la URL de inicio de sesión predeterminada es bien conocida y el nombre de usuario del administrador de un sitio web se puede descubrir con facilidad. WP Cerber trae todas las herramientas necesarias para mitigar los ataques de fuerza bruta y proteger las cuentas de los usuarios.
Configuración de los ajustes de seguridad de inicio de sesión de WP Cerber
La configuración de seguridad de inicio de sesión se encuentra en la pestaña Configuración principal. Aquí puede configurar los límites de los intentos de inicio de sesión, restringir el acceso a wp-login.php y configurar los mensajes de error para evitar descubrir nombres de usuario y correos electrónicos al usar nombres de usuario y correos electrónicos que no existen.
Limitación de los intentos de inicio de sesión para mitigar los ataques de fuerza bruta
La configuración predeterminada y recomendada para limitar los intentos de inicio de sesión se resalta como #1 en la captura de pantalla. Esta configuración se estableció cuando activó WP Cerber. Si tiene muchos clientes en el sitio web, por ejemplo, tiene una tienda WooCommerce, tiene sentido aumentar el límite de intentos de inicio de sesión.
WordPress Login Security – WP Cerber Settings
Procesando solicitudes de autenticación de wp-login.php
Vea la selección #2. De forma predeterminada, WordPress usa wp-login.php como la página de inicio de sesión del sitio web que procesa todos los inicios de sesión de los usuarios y proporciona el formulario de registro y el formulario de restablecimiento de contraseña. Si ha configurado la URL de inicio de sesión personalizada , se recomienda desactivar wp-login.php. Tienes dos opciones. Puede bloquear completamente el acceso a wp-login.php y hacer que el archivo sea inaccesible para cualquier persona, o puede deshabilitar la autenticación del usuario a través de wp-login.php sin bloquear el acceso al archivo. Puedes elegir cualquiera de las opciones. Ambos evitan la autenticación de usuarios a través de wp-login.php.
Cuando la primera opción está habilitada, WP Cerber muestra y devuelve la página de error "404 Página no encontrada" como si no existiera dicho archivo en el sitio web. Por lo tanto, los malos actores no tienen nada que atacar.
Cuando la segunda opción está habilitada, WP Cerber evita la autenticación de cualquier usuario, incluso con nombres de usuario y contraseñas correctos. Esto significa que nadie puede iniciar sesión usando wp-login.php. Después de un intento de iniciar sesión a través de wp-login.php, WP Cerber muestra el mensaje de error predeterminado de contraseña incorrecta que imita el proceso de autenticación estándar de WordPress. El uso de este enfoque ayuda a WP Cerber a detectar ataques lentos de fuerza bruta mediante el uso de wp-login.php como trampa de detección. Todos los intentos de iniciar sesión a través de wp-login.php se registran en el registro de actividad de WP Cerber, como se muestra en la siguiente captura de pantalla.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Evite que los malos actores descubran nombres de usuario reales y correos electrónicos de clientes
Los mensajes de error predeterminados de inicio de sesión y restablecimiento de contraseña generados por WordPress son bastante detallados y ayudan a los piratas informáticos a detectar nombres de usuario y correos electrónicos reales para usarlos para montar ataques de fuerza bruta o ingeniería social.
Deshabilitar el mensaje de error de inicio de sesión predeterminado
Cuando está habilitado, los mensajes de error de inicio de sesión no indican nombres de usuario y correos electrónicos no válidos al intentar iniciar sesión con los que no existen . En cambio, WP Cerber muestra el mensaje de error predeterminado de WordPress que se usa cuando un usuario ingresa una contraseña incorrecta. Esto ayuda a evitar que los malhechores adivinen nombres de usuario y correos electrónicos válidos. Este enfoque también se conoce como deshabilitar las sugerencias de inicio de sesión.
La versión profesional de WP Cerber le permite especificar su propio mensaje de error de inicio de sesión utilizando el campo de configuración Mensaje de error de inicio de sesión personalizado .
Deshabilitar el mensaje de error de restablecimiento de contraseña predeterminado
Cuando está habilitado, los mensajes de error de restablecimiento de contraseña no indican nombres de usuario y correos electrónicos no válidos al intentar restablecer la contraseña para un nombre de usuario o un correo electrónico inexistentes. En cambio, WP Cerber imita el proceso predeterminado de restablecer contraseñas y muestra el siguiente mensaje cada vez que los usuarios ingresan nombres de usuario y correos electrónicos válidos o inexistentes.
The new WordPress password reset message generated by WP Cerber Security
Este enfoque ayuda a evitar que los malos actores adivinen nombres de usuario válidos y se conoce como deshabilitar sugerencias de restablecimiento de contraseña.
La versión profesional de WP Cerber le permite especificar su propio mensaje de error de restablecimiento de contraseña utilizando el campo de configuración de mensaje de error de inicio de sesión personalizado .
Tenga en cuenta que todas las funciones descritas anteriormente no se aplican a las direcciones IP en la Lista de acceso IP blanca .
Cómo limitar el número de sesiones de usuarios concurrentes en WordPress
WP Cerber Security 8.8
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.