Fuerte seguridad de inicio de sesión con WP Cerber
English version: Strong login security with WP Cerber
No es ningún secreto que los atacantes pueden acceder a un WordPress recién instalado en cuestión de minutos mediante un ataque de fuerza bruta. Esto es posible porque WordPress no cuenta con mecanismos integrados de mitigación de ataques, la URL de inicio de sesión predeterminada es bien conocida y el nombre de usuario del administrador de un sitio web se puede descubrir fácilmente. WP Cerber ofrece todas las herramientas necesarias para mitigar los ataques de fuerza bruta y proteger las cuentas de usuario.
Configuración de los ajustes de seguridad de inicio de sesión de WP Cerber
La configuración de seguridad de inicio de sesión se encuentra en la pestaña Configuración principal. Aquí puede configurar los límites de intentos de inicio de sesión, restringir el acceso a wp-login.php y configurar mensajes de error para evitar que se descubran nombres de usuario y correos electrónicos al usar nombres de usuario y correos electrónicos inexistentes.
Limitar los intentos de inicio de sesión para mitigar los ataques de fuerza bruta
La configuración predeterminada y recomendada para limitar los intentos de inicio de sesión se resalta como n.º 1 en la captura de pantalla. Esta configuración se configuró al activar WP Cerber. Si tiene muchos clientes en el sitio web (por ejemplo, si gestiona una tienda WooCommerce), conviene aumentar el límite de intentos de inicio de sesión.
Procesando solicitudes de autenticación de wp-login.php
Consulta la opción n.° 2. De forma predeterminada, WordPress usa wp-login.php como la página de inicio de sesión del sitio web que procesa todos los inicios de sesión de los usuarios, además de proporcionar el formulario de registro y el formulario de restablecimiento de contraseña. Si has configurado la URL de inicio de sesión personalizada , se recomienda desactivar wp-login.php. Tienes dos opciones: bloquear completamente el acceso a wp-login.php y hacer que el archivo sea inaccesible para cualquier persona, o desactivar la autenticación de usuarios a través de wp-login.php sin bloquear el acceso al archivo. Puedes elegir cualquiera de las opciones. Ambas impiden la autenticación de usuarios a través de wp-login.php.
Al activar la primera opción, WP Cerber muestra y devuelve la página de error "404 Página no encontrada" como si no existiera dicho archivo en el sitio web. Por lo tanto, los atacantes no tienen nada que atacar.
Cuando la segunda opción está habilitada, WP Cerber impide la autenticación de usuarios, incluso con nombres de usuario y contraseñas correctos. Esto significa que nadie puede iniciar sesión con wp-login.php. Tras intentar iniciar sesión a través de wp-login.php, WP Cerber muestra el mensaje de error predeterminado de contraseña incorrecta, imitando el proceso de autenticación estándar de WordPress. Este enfoque ayuda a WP Cerber a detectar ataques lentos de fuerza bruta utilizando wp-login.php como trampa de detección. Todos los intentos de iniciar sesión a través de wp-login.php se registran en el registro de actividad de WP Cerber, como se muestra en la captura de pantalla a continuación.

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Evitar que actores maliciosos descubran nombres de usuario reales y correos electrónicos de clientes
Los mensajes de error de inicio de sesión y restablecimiento de contraseña predeterminados generados por WordPress son bastante detallados y ayudan a los piratas informáticos a detectar nombres de usuario y correos electrónicos reales para usarlos para realizar ataques de fuerza bruta o ingeniería social.
Deshabilitar el mensaje de error de inicio de sesión predeterminado
Al habilitar esta opción, los mensajes de error de inicio de sesión no indican nombres de usuario ni correos electrónicos no válidos al intentar iniciar sesión con nombres inexistentes . En su lugar, WP Cerber muestra el mensaje de error predeterminado de WordPress que se usa cuando un usuario introduce una contraseña incorrecta. Esto ayuda a evitar que usuarios maliciosos adivinen nombres de usuario y correos electrónicos válidos. Este enfoque también se conoce como deshabilitar las sugerencias de inicio de sesión.
La versión profesional de WP Cerber le permite especificar su propio mensaje de error de inicio de sesión utilizando el campo de configuración de mensaje de error de inicio de sesión personalizado .
Deshabilitar el mensaje de error de restablecimiento de contraseña predeterminado
Al habilitar esta opción, los mensajes de error de restablecimiento de contraseña no indican nombres de usuario ni correos electrónicos no válidos al intentar restablecer la contraseña de un nombre de usuario o correo electrónico inexistente. En su lugar, WP Cerber imita el proceso predeterminado de restablecimiento de contraseñas y muestra el siguiente mensaje cada vez que los usuarios introducen nombres de usuario y correos electrónicos válidos o inexistentes.
Este enfoque ayuda a evitar que actores maliciosos adivinen nombres de usuario válidos y se conoce como deshabilitar las sugerencias de restablecimiento de contraseña.
La versión profesional de WP Cerber le permite especificar su propio mensaje de error de restablecimiento de contraseña utilizando el campo de configuración de mensaje de error de inicio de sesión personalizado .
Tenga en cuenta que todas las características descritas anteriormente no se aplican a las direcciones IP de la Lista de acceso de IP blanca .