WordPress Security How To
Posted By Gregory

la seguridad de inicio de sesión con una fuerte WP Cerber


English version: Strong login security with WP Cerber


No es ningún secreto que los malos actores pueden entrar en un WordPress recién instalado en unos pocos minutos montando un ataque de fuerza bruta. Es posible porque WordPress no tiene mecanismos de mitigación de ataques integrados, la URL de inicio de sesión predeterminada es bien conocida y el nombre de usuario del administrador de un sitio web se puede descubrir con facilidad. WP Cerber trae todas las herramientas necesarias para mitigar los ataques de fuerza bruta y proteger las cuentas de los usuarios.

Configurando la configuración de seguridad de inicio de sesión de WP Cerber

La configuración de seguridad de inicio de sesión se encuentra en la pestaña Configuración principal. Aquí puede configurar los límites en los intentos de inicio de sesión, restringir el acceso a wp-login.php y configurar mensajes de error para evitar descubrir nombres de usuario y correos electrónicos cuando utilice nombres de usuario y correos electrónicos no existentes.

Limitar los intentos de inicio de sesión para mitigar los ataques de fuerza bruta

La configuración predeterminada y recomendada para limitar los intentos de inicio de sesión se muestra como el conjunto n. ° 1 en la captura de pantalla. Estos ajustes se establecen cuando activó WP Cerber. Si tiene muchos clientes en el sitio web, por ejemplo, tiene una tienda WooCommerce, tiene sentido aumentar el límite de intentos de inicio de sesión.

WordPress Login Security - WP Cerber Settings

WordPress Login Security – WP Cerber Settings

Procesando solicitudes de autenticación wp-login.php

Vea la selección # 2. De forma predeterminada, WordPress usa wp-login.php como la página de inicio de sesión del sitio web que procesa todos los inicios de sesión de los usuarios, además de proporcionar el formulario de registro y el formulario de restablecimiento de contraseña. Si tiene habilitada una URL de inicio de sesión personalizada , se recomienda deshabilitar wp-login.php. Tienes dos opciones. Puede bloquear completamente el acceso a wp-login.php y hacer que el archivo sea inaccesible para cualquier persona, o puede deshabilitar la autenticación a través de wp-login.php. Cuando la última opción está habilitada, WP Cerber evita cualquier autenticación de usuario incluso con nombres de usuario y contraseñas correctos. Después de un intento de iniciar sesión a través de wp-login.php, WP Cerber muestra el mensaje de error de contraseña incorrecta predeterminada imitando el proceso de autenticación estándar de WordPress. El uso de este enfoque ayuda a WP Cerber a detectar ataques lentos de fuerza bruta mediante el uso de wp-login.php como un honeypot de detección.

Evite que los delincuentes adivinen nombres de usuario y correos electrónicos válidos.

De forma predeterminada, los mensajes de error de inicio de sesión y restablecimiento de contraseña de WordPress son bastante detallados y permiten la detección de nombres de usuario y correos electrónicos válidos y no existentes.

Deshabilitar el mensaje de error de inicio de sesión predeterminado

Cuando está habilitado, los mensajes de error de inicio de sesión no indican nombres de usuario y correos electrónicos no válidos al intentar iniciar sesión con los que no existen . En cambio, WP Cerber muestra el mensaje de error predeterminado de WordPress que se usa cuando un usuario ingresa una contraseña incorrecta. Esto ayuda a evitar que los delincuentes adivinen nombres de usuario y correos electrónicos válidos. Este enfoque también se conoce como deshabilitar las sugerencias de inicio de sesión.

Deshabilitar el mensaje de error de restablecimiento de contraseña predeterminado

Cuando está habilitado, los mensajes de error de restablecimiento de contraseña no indican nombres de usuario y correos electrónicos no válidos al intentar restablecer la contraseña de un nombre de usuario no existente o un correo electrónico no existente. En cambio, WP Cerber imita el proceso predeterminado de restablecimiento de contraseñas y muestra el siguiente mensaje cada vez que los usuarios ingresan nombres de usuario y correos electrónicos válidos o no existentes.

New WordPress password reset message by WP Cerber

The new WordPress password reset message generated by WP Cerber Security

Este enfoque ayuda a evitar que los delincuentes adivinen nombres de usuario válidos y se conoce como deshabilitar las sugerencias para restablecer la contraseña.

Tenga en cuenta que todas las funciones descritas anteriormente no se aplican a las direcciones IP de la Lista de acceso de IP blanca .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.