La página de ingreso al backend, es, como toda puerta, el principal foco de ataques de “fuerza bruta” de un sitio en WordPress. Esto implica que, dado que todos los WordPress comparten la URL misitio.com/wp-admin/, los hackers emplean robots que sistemáticamente buscan esta dirección y luego proceden a ingresar nombres de usuario (ej.: admin) y contraseñas típicas (o no tanto) para lograr entrar a nuestro sitio y tomar su control.
WP Login Lockdown es el plugin que llega para proteger nuestra web con varios trucos bajo la manga. En esta nota vamos a mostrarte cómo sacarle jugo fácilmente para que dejes a tu sitio a salvo de esta clase de malhechores.
¿Qué es WP Login Lockdown?
WP Login Lockdown es un componente para WordPress centrado en todo lo concerniente a la página de ingreso al backend (léase /wp-admin/). A grandes rasgos, posee dos grandes virtudes. Primero, la posibilidad de limitar el número de intentos fallidos de inicio de sesión desde una dirección IP específica. Esto previene los ataques de fuerza bruta porque al equivocarse tres veces la contraseña (o el número que especifiquemos), la persona (o robot) es bloqueado por su número de identificación en internet (IP). En segundo lugar, pero no menos importante, WP Login Lockdown permite cambiar la ruta o URL de la página de ingreso; o sea, en lugar de /wp-admin/ podemos ponerle otro nombre. Por ejemplo, misitio.com/puertasecreta/ (y así, claramente misitio.com/wp-admin/ deja de existir como URL posible). Veremos éstas y el resto de sus bondades a continuación.
Bondades de WP Login Lockdown
WP Login Lockdown pone a nuestra disposición un abanico de características que lo convierten en la herramienta más conveniente para proteger nuestro WordPress con un puñado de clics.
Interfaz intuitiva
Muy fácilmente entenderemos qué hace cada cosa y por qué. Así es posible decidir enseguida si dicha configuración o herramienta nos sirve, o si pretendemos modificar algún valor de fábrica o no.
Cantidad de intentos de logueo
WordPress permite un número ilimitado de intentos de inicio de sesión, facilitando la vida de los hackers. WP Login Lockdown nos permite establecer un límite que, al ser superado, la dirección IP del tercero es bloqueada.
Duración del bloqueo
WP Login Lockdown nos deja ajustar el tiempo de bloqueo para aquellos que superen la cantidad máxima de intentos. El atacante no podrá acceder a la página de inicio de sesión durante el tiempo especificado, frustrando su intención.
Listas blancas/negras de IPs
WP Login Lockdown permite añadir IPs específicas tanto como seguras (blancas) o inseguras (negras). La lista blanca asegura que una IP no sea bloqueada (incluso excediendo el límite de intentos). La lista negra hace que una IP no pueda ingresar jamás.
Notificaciones por correo
Las actividades sospechosas o directamente delictivas no solamente quedan registradas por WP Login Lockdown sino que también son reportadas a la casilla de correo elecrónico de nuestra preferencia.
Mensaje de bloqueo personalizado
WP Login Lockdown nos deja escribir en mensaje que se muestra cuando el usuario es bloqueado. Esto puede ayudar a disuadir a los hackers, pero también avisa a usuarios legítimos que su dirección IP fue bloqueada.
Guía rápida de WP Login Lockdown
A continuación presentamos dos capturas de pantalla de WP Login Lockdown explicando con flechas y leyendas qué hace cada cosa. Con estas capturas sin duda ya es posible realizar las acciones de defensa más básicas y hasta las avanzadas. Hacer clic sobre las imágenes explicativas permite verlas en pantalla completa.
Duplika incluye WP Login Lockdown PRO en sus servicios de WordPress Plus y Administrado
El apartado Tools (herramientas) ofrece algunas funciones que pueden resultar muy útiles también.
La primera opción, Email Test, controla que podamos recibir correos efectivamente desde el plugin a través de nuestro WordPress (recordemos que los reportes de WP Login Lockdown se envían por correo si así lo deseamos).
Recovery URL es una dirección secreta (sólo nosotros debemos saberla) para acceder al Back-End de nuestro WordPress en caso de que hayamos sido bloqueados nosotros mismos por errar una contraseña.
Finalmente, Import y Export realiza lo típico de estos plugins que es la posibilidad de importar y exportar todas las configuraciones por si queremos trasladarlas a otro sitio nuestro o bien tenerlas de backup.
En la solapa Activity, como podemos inferir, encontraremos el registro completo de todos los intentos de acceso inválidos y, además, los IPs que fueron bloqueados.
Por su lado, Firewall admite algunas configuraciones más complejas que no recomendamos tocar. Creemos que las primeras dos capturas son más que suficientes para proteger a nuestro sitio. Por ende, sólo personalizaremos las opciones detrás de la solapa Firewall si sabemos por qué lo estamos haciendo.
Sí: a través de la solapa Country Blocking es posible bloquear enteramente uno o más países.
WP Login Lockdown es amigo íntimo del diseño web. Honestamente, ofrece más opciones de personalización que la gran mayoría de los plugins que hemos analizado en la historia de Duplika. Como vemos en la captura superior, si queremos modificar cualquier aspecto de la herramienta (o de la página de inicio de sesión) somos libres de hacerlo.
En la captura de pantalla de arriba vemos la herramienta Temp Access, que puede resultar en extremo útil para ciertas ocasiones particulares. Acá podemos crear una dirección web temporal para compartirle a terceros, configurando al mismo tiempo su duración en el tiempo. Una hora, un día, 15 días, un mes o un año, el tiempo que querramos. Pero pasado éste, el link de acceso al back-end expira.
¿Qué diferencias existen entre la versión gratuita y una paga?
Como siempre, los componentes que se ofrecen gratis reservan características más avanzadas para su versión PRO. Podemos encontrar un cuadro comparativo de características entre todos los planes ofrecidos aquí.
Conclusiones
WP Login Lockdown es un plugin excelente al momento de prevenir ataques. Mejora muchísimo la seguridad natal de sitios WordPress restringiendo los intentos de inicio de sesión y bloqueando accesos indeseados. No menos importante: permite también cambiar la dirección web por defecto del formulario de acceso a nuestro back-end. Entonces, podemos decir que WP Login Lockdown proporciona varias capas adicionales de protección contra hackers y demás actores maliciosos.
Su interfaz es muy fácil de usar, y los ajustes son bien personalizables. Este componente se adapta a cualquier necesidad básica o bien compleja. Al limitar la cantidad de intentos de inicio de sesión y bloquear direcciones IP sospechosas sin dudas prevenimos que intrusos logren entrar a nuestro sitio.
Agradecemos la lectura, invitándolos a dejar sus impresiones en la sección de comentarios más abajo. Éxitos, ¡y a cuidar nuestros contenidos!
Nos encargamos del mantenimiento de tu sitio
Incluimos WP Login Lockdown en nuestro servicio de WordPress Plus y Administrado
Deja un comentario