Fuerte seguridad de inicio de sesión con WP Cerber

English version: Strong login security with WP Cerber

No es ningún secreto que los malos actores pueden entrar en un WordPress recién instalado en unos pocos minutos mediante un ataque de fuerza bruta. Es posible porque WordPress no tiene mecanismos integrados de mitigación de ataques, la URL de inicio de sesión predeterminada es bien conocida y el nombre de usuario del administrador de un sitio web se puede descubrir con facilidad. WP Cerber ofrece todas las herramientas necesarias para mitigar los ataques de fuerza bruta y proteger las cuentas de los usuarios.

Configurar los ajustes de seguridad de inicio de sesión de WP Cerber

La configuración de seguridad de inicio de sesión se encuentra en la pestaña Configuración principal. Aquí puede configurar los límites en los intentos de inicio de sesión, restringir el acceso a wp-login.php y configurar mensajes de error para evitar descubrir nombres de usuario y correos electrónicos cuando se utilizan nombres de usuario y correos electrónicos que no existen.

Limitar los intentos de inicio de sesión para mitigar los ataques de fuerza bruta

Las configuraciones predeterminadas y recomendadas para limitar los intentos de inicio de sesión están resaltadas como n.° 1 en la captura de pantalla. Estas configuraciones se establecieron cuando activó WP Cerber. Si tiene muchos clientes en el sitio web, por ejemplo, tiene una tienda WooCommerce, tiene sentido aumentar el límite de intentos de inicio de sesión.

WordPress Login Security – WP Cerber Settings

Procesando solicitudes de autenticación de wp-login.php

Vea la selección #2. De forma predeterminada, WordPress utiliza wp-login.php como página de inicio de sesión del sitio web que procesa todos los inicios de sesión de los usuarios y proporciona el formulario de registro y el formulario de restablecimiento de contraseña. Si ha configurado la URL de inicio de sesión personalizada , se recomienda desactivar wp-login.php. Tienes dos opciones. Puede bloquear completamente el acceso a wp-login.php y hacer que el archivo sea inaccesible para cualquiera, o puede desactivar la autenticación de usuario a través de wp-login.php sin bloquear el acceso al archivo. Puedes elegir cualquiera de las opciones. Ambos impiden la autenticación del usuario a través de wp-login.php.

Cuando la primera opción está habilitada, WP Cerber muestra y devuelve la página de error "Página 404 no encontrada" como si no existiera dicho archivo en el sitio web. Por tanto, los malos actores no tienen nada que atacar.

Cuando la segunda opción está habilitada, WP Cerber impide cualquier autenticación de usuario incluso con nombres de usuario y contraseñas correctos. Esto significa que nadie puede iniciar sesión usando wp-login.php. Después de intentar iniciar sesión a través de wp-login.php, WP Cerber muestra el mensaje de error de contraseña incorrecta predeterminado que imita el proceso de autenticación estándar de WordPress. El uso de este enfoque ayuda a WP Cerber a detectar ataques lentos de fuerza bruta utilizando wp-login.php como honeypot de detección. Todos los intentos de iniciar sesión a través de wp-login.php se registran en el registro de actividad de WP Cerber, como se muestra en la captura de pantalla siguiente.

An attempt to log into WordPress denied (Forbidden URL)

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label

Evite que los delincuentes descubran nombres de usuarios y correos electrónicos de clientes reales

Los mensajes de error de inicio de sesión y restablecimiento de contraseña predeterminados generados por WordPress son bastante detallados y ayudan a los piratas informáticos a detectar nombres de usuario y correos electrónicos reales para usarlos en ataques de fuerza bruta o de ingeniería social.

Deshabilitar el mensaje de error de inicio de sesión predeterminado

Cuando están habilitados, los mensajes de error de inicio de sesión no indican nombres de usuario ni correos electrónicos no válidos al intentar iniciar sesión con nombres que no existen . En cambio, WP Cerber muestra el mensaje de error predeterminado de WordPress que se utiliza cuando un usuario ingresa una contraseña incorrecta. Esto ayuda a evitar que los delincuentes adivinen nombres de usuario y correos electrónicos válidos. Este enfoque también se conoce como deshabilitar las sugerencias de inicio de sesión.

La versión profesional de WP Cerber le permite especificar su propio mensaje de error de inicio de sesión utilizando el campo de configuración de mensaje de error de inicio de sesión personalizado .

Deshabilite el mensaje de error de restablecimiento de contraseña predeterminado

Cuando están habilitados, los mensajes de error de restablecimiento de contraseña no indican nombres de usuario y correos electrónicos no válidos al intentar restablecer la contraseña de un nombre de usuario o correo electrónico no existente. En cambio, WP Cerber imita el proceso predeterminado de restablecer contraseñas y muestra el siguiente mensaje cada vez que los usuarios ingresan nombres de usuario y correos electrónicos válidos o inexistentes.

New WordPress password reset message by WP Cerber

The new WordPress password reset message generated by WP Cerber Security

Este enfoque ayuda a evitar que los delincuentes adivinen nombres de usuario válidos y se conoce como deshabilitar las sugerencias para restablecer la contraseña.

La versión profesional de WP Cerber le permite especificar su propio mensaje de error de restablecimiento de contraseña utilizando el campo de configuración de mensaje de error de inicio de sesión personalizado .

Tenga en cuenta que todas las funciones descritas anteriormente no se aplican a las direcciones IP de la Lista blanca de acceso a IP .

Security Blog