Los ataques por fuerza bruta a WordPress son cada vez más comunes. Cierto es que, para los malhechores, con realizar simples búsquedas en Google, es posible encontrar listas de sitios vulnerables, y ponerse sistemáticamente a intentar distintas contraseñas par dar con la correcta.
Es por ésto que proteger el acceso tu WordPress es fundamental, y a continuación compartimos algunas sugerencias:
- Cambiar la URL que usamos para ingresar: Por defecto, la URL para ingresar a cualquier WordPress es midominio/wp-admin o /wp-login.php, lo que vuelve muy fácil a cualquier atacante saber por dónde debe forzar la entrada. Por ello, recomendamos el plugin WP Hide Login (el cual es muy liviano) y, luego de activarlo, establecer una URL específica, privada (inventada por nosotros), para reemplazar la dirección de acceso por defecto.
- El plugin Limit Login Attempts Reloaded permite bloquear automáticamente cualquier usuario que ingrese datos equivocados más de 4 veces, o las veces que decidamos configurarlo.
- Podemos filtrar bots automáticamente con algún captcha como Cloudflare Turnstile, el cual es gratuito y permite proteger el formulario de login, registración, olvidar contraseña y las altas via WooCommerce.