26 octubre 2020
¿Crees que utilizas contraseñas seguras en WordPress? ¿Y tus usuarios? En este artículo te explico cómo obligarles a que lo hagan utilizando y configurando un sencillo plugin.

Muchos de los hackeos que se producen en WordPress son a consecuencia de las contraseñas vulnerables que tienen establecidas algunos usuarios en WordPress cuando crean su cuenta. Hoy veremos cómo crear contraseñas seguras en WordPress.

La importancia de la contraseña

La contraseña es uno de los principales temas que debemos tener vigilado a la hora de establecer la seguridad en tu sitio hecho con WordPress.

Muchas veces somos nosotros mismos los que no tomamos las precauciones necesarias para poner una contraseña segura para nuestro usuario… pero hay otras veces, sobre todo cuando permitimos el registro de usuarios en nuestro sitio, que son ellos los que pueden generar un agujero de seguridad con contraseñas fáciles de adivinar.

Averiguar una contraseña en WordPress

Quizás para ti y para mi, adivinar la contraseña de un usuario en WordPress sea algo que nunca seremos capaces de llevar a cabo. Sin embargo, hay robots creados a tal efecto, sobre todo en Asia y Europa del este, que están continuamente probando combinaciones aleatorias de usuarios y contraseñas para intentar colarse en nuestro back end.

Después llegarán las sorpresas y tendrás que buscar la forma de limpiar WordPress hackeado. Aunque a veces, la mejor solución es la prevención.

La BBC publicó un artículo con “Las 25 peores contraseñas de 2017 que demuestran que estamos a merced de los hackers” y seguro que te sorprendes al ver algunas. Por norma general, no usamos contraseñas seguras en WordPress:

peores 25 contraseñas

¿Te suena alguna de ellas? Pues esto son sólo 25 ejemplos de EEUU. Estoy seguro de que cada país tiene alguna variación con términos en propio idioma o expresiones habituales.

Hacer contraseñas seguras en WordPress

La mejor forma de asegurarnos de que las contraseñas sean más difíciles de adivinar por los hackers informáticos es obligando a nuestros usuarios a que cumplan determinadas características, como por ejemplo:

  • Incluir mayúsculas y minúsculas
  • Incluir números
  • Incluir símbolos a caracteres especiales
  • Cambiar las password cada cierto tiempo
  • etc

Password Policy Manager for WordPress

Por suerte, en WordPress hay plugins casi para cualquier cosa y, lógicamente, también tenemos un plugin que se encarga de hacer esta labor por nosotros.

El plugin Password Policy Manager for WordPress es totalmente configurable y lo puedes hacer fácilmente y en cuestión de pocos minutos.

Puedes elegir qué parámetros debe tener la contraseña de tus usuarios, establecer el tiempo de vida de cada contraseña o incluso, si notas una actividad sospechosa, puedes restablecer las contraseñas de todos tus usuarios haciendo un simple clic. Ellos recibirán un email informándoles y con un link para que la puedan modificar.

Incluso también puedes elegir qué usuarios o roles de usuario deben verse exentos de estas obligaciones, simplemente indicándolo en el plugin.

Instalación de Password Policy Manager for WordPress

Una vez descargado e instalado el plugin, verás que se te crea una nueva opción el menú de Ajustes > Políticas de contraseña.

Al hacer clic, te aparecerán los ajustes del plugin en la pantalla, aunque la primera vez los verás todos desactivados hasta que actives la casilla donde pone “Habilitar políticas de contraseña”.

Establecer las políticas de contraseña

Como ves en la imagen, es muy fácil de configurar: simplemente debes marcar las políticas que quieras que se cumplan a la hora d establecer una contraseña.

contraseñas-seguras-en-wordpress

También es posible impedir que los usuarios, una vez que caduque su contraseña, puedan volver a elegir alguna que ya hubieran utilizado anteriormente.

Pero no sólo eso, sino que, además, también podrás finalizar la sesión del usuario en el momento que le caduque la contraseña e incluso, como te dije antes, resetear la clave de todos los usuarios.

contraseñas-seguras-en-wordpress-2

También podrás configurar el remitente de los emails de aviso e incluso enviarte uno de prueba para ver el aspecto.

Una vez que tengas todos los parámetros establecidos, bastará con que pulses sobre “Guardar cambios” y éstos surtirán efecto instantáneamente.

Contraseñas seguras en Restric Content Pro

Si en tu caso cuentas con un Membership, el plugin anterior no te vale, ya que únicamente está preparado para los registros directos en WordPress. En ese caso deberás utilizar otro plugin específico para que funcione con el sistema que estés utilizando para restringir el contenido en tu sitio.

Por ejemplo, existe un addon para forzar contraseñas seguras al registrarte con Restrict Content Pro. Este addon no dispone de ninguna opción de configuración y fuerza al usuario a elegir una contraseña segura.

Conclusión

La seguridad es WordPress es de vital importancia dados los continuos ataques a los que nuestros sitios se ven sometidos diariamente.

No quiere decir que WordPress sea una herramienta insegura. De hecho, cada vez que se descubre una agujero de seguridad, el equipo de desarrollo publica una actualización que lo soluciona.

Pero, sin embargo, el que WordPress sea el gestor de contenido que más ha crecido en los últimos meses, ha hecho a los hackers clavar la vista en él y tratar de conseguir acceder por todos los medios.

La gran mayoría de las veces, esa entrada a las entrañas de nuestro sitio se produce a través de un usuario que puse una contraseña sin las suficientes medidas de seguridad.

¿Qué opinas tú al respecto? ¿Utilizas contraseñas seguras en WordPress? ¿Han conseguido acceder alguna vez a tu backend? Cuéntanoslo debajo. Deja tu comentario y comparte tu opinión con el resto de usuarios.

Juanma Aranda

Ayudo a usuarios noveles a dar sus primeros pasos con WordPress mediante mentorías individuales.
También creo vídeotutoriales en español para desarrolladores de WordPress que quieren mejorar su servicio de ayuda a clientes.

Ver todos los artículos

2 comentarios

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información adicional sobre protección de datos:
Responsable: Juan M. Aranda
Finalidad: Moderar los comentarios de este sitio web.
Cesión: NO se cederán a nadie, salvo obligación legal.
Derechos: acceso, rectificación, cancelación y borrado de tus datos.
Legitimación: tu consentimiento expreso.

 

  • Juanma he comprado un hostin un dominio y wordpress y no se como ponerlo en marcha, tu podrías en un momento ponerlo en marcha con una plantilla solo para texto, y que sea segura gracias. dime cuanto vale.

Cupón Descuento

10% Descuento
Ver el cupón
codigo descuento kiwosan

Kiwosan -10%

Herramienta SEO que te permite encontrar palabras clave, analizarlas y optimizarlas.
Ir a la promoción
WP Rocket - WordPress Caching Plugin

Cursos Flash GRATIS

cursos wordpress gratis

Únete a nosotros

error: Contenido protegido
eleifend justo leo velit, Praesent id,

Te espero en YouTube

para seguir aprendiendo más WordPress