Muchos de los hackeos que se producen en WordPress son a consecuencia de las contraseñas vulnerables que tienen establecidas algunos usuarios en WordPress cuando crean su cuenta. Hoy veremos cómo crear contraseñas seguras en WordPress.
La importancia de la contraseña
La contraseña es uno de los principales temas que debemos tener vigilado a la hora de establecer la seguridad en tu sitio hecho con WordPress.
Muchas veces somos nosotros mismos los que no tomamos las precauciones necesarias para poner una contraseña segura para nuestro usuario… pero hay otras veces, sobre todo cuando permitimos el registro de usuarios en nuestro sitio, que son ellos los que pueden generar un agujero de seguridad con contraseñas fáciles de adivinar.
Averiguar una contraseña en WordPress
Quizás para ti y para mi, adivinar la contraseña de un usuario en WordPress sea algo que nunca seremos capaces de llevar a cabo. Sin embargo, hay robots creados a tal efecto, sobre todo en Asia y Europa del este, que están continuamente probando combinaciones aleatorias de usuarios y contraseñas para intentar colarse en nuestro back end.
Después llegarán las sorpresas y tendrás que buscar la forma de limpiar WordPress hackeado. Aunque a veces, la mejor solución es la prevención.
La BBC publicó un artículo con “Las 25 peores contraseñas de 2017 que demuestran que estamos a merced de los hackers” y seguro que te sorprendes al ver algunas. Por norma general, no usamos contraseñas seguras en WordPress:
¿Te suena alguna de ellas? Pues esto son sólo 25 ejemplos de EEUU. Estoy seguro de que cada país tiene alguna variación con términos en propio idioma o expresiones habituales.
Hacer contraseñas seguras en WordPress
La mejor forma de asegurarnos de que las contraseñas sean más difíciles de adivinar por los hackers informáticos es obligando a nuestros usuarios a que cumplan determinadas características, como por ejemplo:
- Incluir mayúsculas y minúsculas
- Incluir números
- Incluir símbolos a caracteres especiales
- Cambiar las password cada cierto tiempo
- etc
Password Policy Manager for WordPress
Por suerte, en WordPress hay plugins casi para cualquier cosa y, lógicamente, también tenemos un plugin que se encarga de hacer esta labor por nosotros.
El plugin Password Policy Manager for WordPress es totalmente configurable y lo puedes hacer fácilmente y en cuestión de pocos minutos.
Puedes elegir qué parámetros debe tener la contraseña de tus usuarios, establecer el tiempo de vida de cada contraseña o incluso, si notas una actividad sospechosa, puedes restablecer las contraseñas de todos tus usuarios haciendo un simple clic. Ellos recibirán un email informándoles y con un link para que la puedan modificar.
Incluso también puedes elegir qué usuarios o roles de usuario deben verse exentos de estas obligaciones, simplemente indicándolo en el plugin.
Instalación de Password Policy Manager for WordPress
Una vez descargado e instalado el plugin, verás que se te crea una nueva opción el menú de Ajustes > Políticas de contraseña.
Al hacer clic, te aparecerán los ajustes del plugin en la pantalla, aunque la primera vez los verás todos desactivados hasta que actives la casilla donde pone “Habilitar políticas de contraseña”.
Establecer las políticas de contraseña
Como ves en la imagen, es muy fácil de configurar: simplemente debes marcar las políticas que quieras que se cumplan a la hora d establecer una contraseña.
También es posible impedir que los usuarios, una vez que caduque su contraseña, puedan volver a elegir alguna que ya hubieran utilizado anteriormente.
Pero no sólo eso, sino que, además, también podrás finalizar la sesión del usuario en el momento que le caduque la contraseña e incluso, como te dije antes, resetear la clave de todos los usuarios.
También podrás configurar el remitente de los emails de aviso e incluso enviarte uno de prueba para ver el aspecto.
Una vez que tengas todos los parámetros establecidos, bastará con que pulses sobre “Guardar cambios” y éstos surtirán efecto instantáneamente.
Contraseñas seguras en Restric Content Pro
Si en tu caso cuentas con un Membership, el plugin anterior no te vale, ya que únicamente está preparado para los registros directos en WordPress. En ese caso deberás utilizar otro plugin específico para que funcione con el sistema que estés utilizando para restringir el contenido en tu sitio.
Por ejemplo, existe un addon para forzar contraseñas seguras al registrarte con Restrict Content Pro. Este addon no dispone de ninguna opción de configuración y fuerza al usuario a elegir una contraseña segura.
Conclusión
La seguridad es WordPress es de vital importancia dados los continuos ataques a los que nuestros sitios se ven sometidos diariamente.
No quiere decir que WordPress sea una herramienta insegura. De hecho, cada vez que se descubre una agujero de seguridad, el equipo de desarrollo publica una actualización que lo soluciona.
Pero, sin embargo, el que WordPress sea el gestor de contenido que más ha crecido en los últimos meses, ha hecho a los hackers clavar la vista en él y tratar de conseguir acceder por todos los medios.
La gran mayoría de las veces, esa entrada a las entrañas de nuestro sitio se produce a través de un usuario que puse una contraseña sin las suficientes medidas de seguridad.
¿Qué opinas tú al respecto? ¿Utilizas contraseñas seguras en WordPress? ¿Han conseguido acceder alguna vez a tu backend? Cuéntanoslo debajo. Deja tu comentario y comparte tu opinión con el resto de usuarios.
Juanma he comprado un hostin un dominio y wordpress y no se como ponerlo en marcha, tu podrías en un momento ponerlo en marcha con una plantilla solo para texto, y que sea segura gracias. dime cuanto vale.
Hola! A qué te refieres exactamente con que “has comprado WordPress”? Dónde has contratado el hosting y el dominio?