Portada Wordpress Limit Login Attempts Reloaded para WordPress
El uso de plugins que refuercen la seguridad en WordPress, siempre es una buena opción.
Todos y cada uno de los días que tu sitio web esté online, corre el riesgo de ser atacado… aunque esto no significa que tu WordPress acabe siendo hackeado.
No es que le caigas mal a los atacantes o que tu sitio web sea un objeto de deseo por su parte, simple y llanamente intentarán atacar tu sitio web porque está online.
La mayoría de los ataques que se realizan suelen ser estériles, si tenemos WordPress protegido y actualizado, pero siguen siendo un peligro que debemos controlar y además, molestan.
Uno de los ataques más comunes es el ataque por fuerza bruta, el cuál no suele ser nada sofisticado, pero puede ser un problema.
Se trata, básicamente, de probar nombres de usuario y contraseña para intentar de «adivinar los datos de acceso», pero claro, no lo hace una persona, si no un bot intentando cientos o miles de peticiones en muy poco tiempo.
WordPress, no tiene un límite establecido de conexiones erróneas, por lo que un ataque de fuerza bruta puede durar todo lo que quiera el atacante.
Esto se soluciona instalando un plugin que limite el número de intentos fallidos que puede realizar una misma dirección IP, en cierto tiempo.
Uno de los plugins que puedes utilizar para cubrirte de este tipo de ataques es Limit Login Attempts Reloaded.
Hace ya algún tiempo, el plugin «Limit Login Attempts», sin el «Reloaded», era uno de los más utilizados en WordPress para protegerse contra este tipo de ataques.
Pero el desarrollador dejó de actualizarlo, así que dejó de ser seguro y recomendable para utilizar.
Desde hace ya algún tiempo, tenemos una nueva versión del plugin llamado Limit Login Attempts Reloaded y tiene la misma buena pinta que tenía su antecesor, pero todo actualizado.
Es un plugin gratuito que puedes descargar desde aquí o si lo prefieres, instalarlo directamente desde la sección de plugins de tu WordPress.
Una vez esté instalado y activado, podemos encontrar las opciones en Ajustes > Limit Login Attempts Reloaded.
En cuanto a las opciones de configuración no tenemos muchas opciones, pero si podemos configurar algunas cosas muy importantes paro bloquear las direcciones IP a nuestro gusto.
Todo se reduce a tres pestañas de configuración:
En el apartado de Escritorio encontraremos unas cajas desde donde podemos añadir direcciones IP en una lista blanca o una lista negra.
Cuando añades una dirección IP en la lista blanca, el plugin nunca bloqueara el acceso. Puedes añadir tu dirección IP pública, aunque cuidado con esto, ya que algunos proveedores de Internet cambian la dirección IP con la que te conectas.
También puedes añadir la dirección IP del diseñador de tu sitio web, para que el sistema no le bloquee accidentalmente o cualquier otro usuario del que tengas su dirección IP y no quieras que acabe bloqueado.
También podemos bloquear el nombre de usuario directamente, por si alguno de los usuarios no deben acceder por el motivo que sea, los puedes bloquear sin conocer su dirección IP.
Si no tienes muy claro cómo funciona esto, mejor no añadas ninguna dirección IP.
Un poco más abajo puedes ver un Registro de Bloqueos, donde verás un listado de los bloqueos que el plugin Limit Login Attempts Reloaded ha realizado.
Esta información suele sorprender a muchos usuarios cuando ven el número de ataques que recibe su web pasados unos días.
Muchos ataques pasan inadvertidos, pero ahí están y cuando instalas un plugin de seguridad en WordPress, es cuando realmente empiezas a verlos.
En la pestaña de Ajustes podemos ver las opciones que tenemos para configurar los bloqueos y el tiempo que durarán dichos bloqueos, además de alguna otra información adicional.
Las dos primeras opciones son administrativas. La primera es referente a las direcciones IP obtenidas por el plugin y la GDPR. Si la activamos, ofuscará todas las IP registradas.
La segunda opción es referente a las notificaciones por correo electrónico. Si la activamos, el sistema nos notificará los bloqueos que se realicen, según lo tengamos configurado.
Luego tenemos las opciones para ajustar los bloqueos. El plugin ya tiene una configuración predeterminada que podemos utilizar si así lo queremos, para empezar no está mal.
Podemos determinar el número de intentos de login permitidos, antes de bloquear la IP durante un tiempo, el cual también podemos modificar.
Si la dirección IP es insistente y recibe varios bloqueos, síntoma de que se trata de un bot, podemos bloquearlo por muchas, más horas y así dejar de molestar.
Y por último podemos determinar el tiempo que queremos que pase antes para que se reinicien los intentos.
La opción de Orígenes IP de Confianza podéis dejarla como está, de hecho lo aconsejan.
La última pestaña, la de Depuración, sólo se usa para enviar información al soporte del plugin en caso de problemas, así que no es necesaria utilizarla para la configuración.
Una vez hemos configurado el plugin Limit Login Attempts Reloaded, queremos probarlo.
Ten en cuenta que, si lo pruebas desde tu dirección IP y te bloquea, necesitará pasar el tiempo antes de que puedas volver a entrar.
Puedes probar con un teléfono móvil, con conexión de datos en lugar de Wifi, ya que tiene una dirección IP distinta.
Este ha sido el resultado:
Todo ha funcionado a la perfección, tanto el bloqueo, como el desbloqueo automático y es muy sencillo de configurar, así que puedes usar sin problemas el plugin Limit Login Attempts Reloaded, para mejorar la seguridad de tu WordPress.