Seguridad de inicio de sesión robusta con WP Cerber
English version: Strong login security with WP Cerber
No es ningún secreto que los ciberdelincuentes pueden infiltrarse en una instalación de WordPress recién hecha en cuestión de minutos mediante un ataque de fuerza bruta. Esto es posible porque WordPress no cuenta con mecanismos integrados de mitigación de ataques, la URL de inicio de sesión predeterminada es de dominio público y el nombre de usuario del administrador del sitio web se puede descubrir fácilmente. WP Cerber ofrece todas las herramientas necesarias para mitigar los ataques de fuerza bruta y proteger las cuentas de usuario.
Configuración de los ajustes de seguridad de inicio de sesión de WP Cerber
La configuración de seguridad de inicio de sesión se encuentra en la pestaña Configuración principal. Aquí puede configurar los límites de intentos de inicio de sesión, restringir el acceso a wp-login.php y configurar mensajes de error para evitar que se descubran nombres de usuario y correos electrónicos cuando se utilicen nombres de usuario y correos electrónicos inexistentes.
Limitar los intentos de inicio de sesión para mitigar los ataques de fuerza bruta.
En la captura de pantalla, la configuración predeterminada y recomendada para limitar los intentos de inicio de sesión se muestra resaltada con el número 1. Esta configuración se estableció al activar WP Cerber. Si su sitio web tiene muchos clientes, por ejemplo, si administra una tienda WooCommerce, conviene aumentar el límite de intentos de inicio de sesión.
WordPress Login Security – WP Cerber Settings
Procesando solicitudes de autenticación de wp-login.php
Consulte la opción n.° 2. Por defecto, WordPress utiliza wp-login.php como página de inicio de sesión, donde se procesan todos los inicios de sesión de los usuarios y se proporcionan el formulario de registro y el formulario de restablecimiento de contraseña. Si ha configurado una URL de inicio de sesión personalizada , se recomienda deshabilitar wp-login.php. Tiene dos opciones: bloquear completamente el acceso a wp-login.php e impedir el acceso al archivo, o deshabilitar la autenticación de usuarios mediante wp-login.php sin bloquear el acceso al archivo. Puede elegir cualquiera de las dos opciones. Ambas impiden la autenticación de usuarios mediante wp-login.php.
Cuando se habilita la primera opción, WP Cerber muestra la página de error "404 Page Not Found" como si no existiera tal archivo en el sitio web. De esta manera, los atacantes no tienen nada que atacar.
Cuando se habilita la segunda opción, WP Cerber impide cualquier autenticación de usuario, incluso con nombres de usuario y contraseñas correctos. Esto significa que nadie puede iniciar sesión mediante wp-login.php. Tras un intento de inicio de sesión a través de wp-login.php, WP Cerber muestra el mensaje de error predeterminado de contraseña incorrecta, imitando el proceso de autenticación estándar de WordPress. Este método ayuda a WP Cerber a detectar ataques de fuerza bruta lentos utilizando wp-login.php como honeypot de detección. Todos los intentos de inicio de sesión a través de wp-login.php se registran en el registro de actividad de WP Cerber, como se muestra en la captura de pantalla a continuación.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Impide que los ciberdelincuentes descubran nombres de usuario reales y correos electrónicos de clientes.
Los mensajes de error predeterminados de inicio de sesión y restablecimiento de contraseña generados por WordPress son bastante extensos y ayudan a los piratas informáticos a detectar nombres de usuario y correos electrónicos reales para utilizarlos en ataques de fuerza bruta o de ingeniería social.
Deshabilitar el mensaje de error de inicio de sesión predeterminado
Cuando está activada, la función de mensajes de error de inicio de sesión no muestra nombres de usuario ni correos electrónicos inválidos al intentar iniciar sesión con credenciales inexistentes . En su lugar, WP Cerber muestra el mensaje de error predeterminado de WordPress que se utiliza cuando un usuario introduce una contraseña incorrecta. Esto ayuda a evitar que personas malintencionadas adivinen nombres de usuario y correos electrónicos válidos. Este método también se conoce como la desactivación de las sugerencias de inicio de sesión.
La versión profesional de WP Cerber le permite especificar su propio mensaje de error de inicio de sesión mediante el campo de configuración "Mensaje de error de inicio de sesión personalizado" .
Deshabilitar el mensaje de error de restablecimiento de contraseña predeterminado
Cuando está habilitada, los mensajes de error de restablecimiento de contraseña no indican nombres de usuario ni correos electrónicos no válidos al intentar restablecer la contraseña de un nombre de usuario o correo electrónico inexistente. En su lugar, WP Cerber imita el proceso predeterminado de restablecimiento de contraseñas y muestra el siguiente mensaje cuando los usuarios ingresan nombres de usuario y correos electrónicos válidos o inexistentes.
The new WordPress password reset message generated by WP Cerber Security
Este método ayuda a evitar que personas malintencionadas adivinen nombres de usuario válidos y se conoce como la desactivación de las sugerencias para restablecer la contraseña.
La versión profesional de WP Cerber le permite especificar su propio mensaje de error de restablecimiento de contraseña mediante el campo de configuración Mensaje de error de inicio de sesión personalizado .
Tenga en cuenta que todas las características descritas anteriormente no se aplican a las direcciones IP incluidas en la Lista Blanca de Acceso IP .
WordPress 5.4.1. Una actualización de seguridad corrige siete vulnerabilidades XSS.
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.