Un script automatizado que prueba miles de combinaciones de usuario y contrase\u00f1a por segundo. Eso es un ataque de fuerza bruta. Quiere colarse en tu panel de administraci\u00f3n. Si tus credenciales son d\u00e9biles o no tienes protecciones b\u00e1sicas, los atacantes pueden tomar el control de toda la instalaci\u00f3n. Y ojo, esto pasa mucho. WordPress es el CMS m\u00e1s usado del planeta, as\u00ed que es un blanco constante.<\/p>\n
Pero tampoco hay que asustarse. Con unos pocos ajustes y alg\u00fan plugin concreto, reduces el riesgo dr\u00e1sticamente. Aqu\u00ed van las medidas que realmente funcionan.<\/p>\n
Ve paso a paso. No hace falta ser ingeniero, solo tener paciencia y seguir estas capas de seguridad.<\/p>\n
Por defecto WordPress te deja intentar login infinitas veces. Eso es una invitaci\u00f3n. Instala Limit Login Attempts Reloaded<\/strong> o WPS Limit Login<\/strong>. Yo lo configuro as\u00ed: bloqueo IP tras 3 intentos fallidos, 15 minutos de espera. Y voy subiendo el tiempo si insisten.<\/p>\n Tip RedServicio:<\/strong> En nuestros planes de hosting con WordPress optimizado ya metemos protecci\u00f3n b\u00e1sica contra fuerza bruta a nivel de servidor. Pero una capa extra desde tu panel nunca sobra.<\/p>\n<\/div>\n Todos los bots conocen \/wp-admin<\/em> y \/wp-login.php<\/em>. Si renombras esa ruta, los intentos maliciosos bajan solos. Uso el plugin WPS Hide Login<\/strong> o lo hago manual con c\u00f3digo en functions.php del tema hijo. Por ejemplo:<\/p>\n Si ya tienes Wordfence, tambi\u00e9n trae esta opci\u00f3n. No hace falta duplicar.<\/p>\n Imagina que alguien consigue tu contrase\u00f1a. Sin el segundo factor, no entra. Plugins como Google Authenticator<\/strong> o Two Factor<\/strong> te piden un c\u00f3digo temporal del m\u00f3vil. Act\u00edvalo al menos para los administradores. La mayor\u00eda de hostings decentes (como RedServicio) lo soportan sin problemas.<\/p>\n \u00abAdmin\u00bb como nombre de usuario. Por favor, ni se te ocurra. Crea uno \u00fanico, dif\u00edcil de adivinar. La contrase\u00f1a: m\u00ednimo 12 caracteres, may\u00fasculas, n\u00fameros, s\u00edmbolos. Yo uso LastPass para generarlas. Y revisa que no haya usuarios antiguos con privilegios sueltos.<\/p>\n Un reCAPTCHA de Google gratuito en la pantalla de login frena a los bots de forma autom\u00e1tica. Prueba Advanced noCaptcha & invisible Captcha<\/strong> o reCaptcha for WordPress<\/strong>. La versi\u00f3n invisible no molesta al usuario.<\/p>\n Si tu sitio maneja datos sensibles o tiene mucho tr\u00e1fico, mira estas opciones.<\/p>\n Un firewall de aplicaciones web (WAF) corta el tr\u00e1fico sospechoso antes de que llegue a WordPress. Usa Wordfence<\/strong> (versi\u00f3n gratuita incluye firewall b\u00e1sico) o contrata un servicio externo. Tambi\u00e9n puedes bloquear rangos de IP conocidos por ataques de fuerza bruta a\u00f1adiendo reglas en .htaccess.<\/p>\n XML-RPC es un protocolo viejo para conectar apps externas. Los atacantes lo usan para ataques masivos de fuerza bruta. Si no necesitas la app de WordPress para m\u00f3vil o Jetpack, ap\u00e1galo. Con un plugin o a\u00f1adiendo esto en .htaccess:<\/p>\n Las vulnerabilidades conocidas se tapan con cada actualizaci\u00f3n de WordPress, temas y plugins. Un sitio desactualizado es un blanco f\u00e1cil. Activa las actualizaciones autom\u00e1ticas para plugins y temas cr\u00edticos. Y cada cierto tiempo, revisa que no haya plugins abandonados.<\/p>\n La seguridad no es un estado fijo. Es un proceso que se repite. Haz auditor\u00edas mensuales con herramientas como WPScan<\/strong> o los informes de seguridad de tu hosting. Si tu web es parte de un negocio, un hosting robusto con soporte 24\/7 marca la diferencia. En RedServicio<\/strong> ofrecemos planes optimizados para WordPress con protecciones proactivas contra ataques de fuerza bruta y asistencia t\u00e9cnica especializada.<\/p>\n Pregunta frecuente:<\/strong> \u00bfEs suficiente con limitar los intentos de login? Pon estos consejos en pr\u00e1ctica hoy. La tranquilidad de tener un WordPress seguro no tiene precio.<\/p>\n","protected":false},"excerpt":{"rendered":" \u00bfQu\u00e9 es un ataque de fuerza bruta en WordPress? Un script automatizado que prueba miles de combinaciones de usuario y […]<\/p>\n","protected":false},"author":6,"featured_media":296,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[11],"tags":[],"class_list":["post-294","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad"],"yoast_head":"\n2. Cambiar la URL de inicio de sesi\u00f3n<\/h3>\n
add_action('init', function() { if (strpos($_SERVER['REQUEST_URI'], 'wp-login.php') !== false && !is_user_logged_in()) { wp_redirect(home_url('\/tu-nueva-ruta-secreta')); exit; } });<\/code><\/p>\n3. Implementar autenticaci\u00f3n de dos factores (2FA)<\/h3>\n
4. Usar contrase\u00f1as robustas y evitar el usuario \u00abadmin\u00bb<\/h3>\n
5. Activar CAPTCHA en el formulario de login<\/h3>\n
Medidas avanzadas para m\u00e1xima protecci\u00f3n<\/h2>\n
6. Bloquear IPs maliciosas con un firewall<\/h3>\n
7. Deshabilitar XML-RPC si no lo usas<\/h3>\n
# Deshabilitar XML-RPC
RewriteRule ^xmlrpc.php$ - [F,L]<\/code><\/p>\n8. Mantener todo actualizado<\/h3>\n
Recomendaciones finales para tu sitio<\/h2>\n
No del todo. Es una capa muy efectiva, pero combinarla con 2FA y un firewall ofrece una defensa mucho m\u00e1s s\u00f3lida. No te quedes solo con una medida.<\/p>\n<\/div>\n