Cómo proteger tu sitio WordPress contra ataques de fuerza bruta
Un ataque de fuerza bruta consiste en intentar miles de combinaciones de usuario y contraseña hasta encontrar la correcta. WordPress, por defecto, no limita los intentos de login, lo que lo hace vulnerable.
Medidas efectivas de protección
- Cambia la URL de login: Usa plugins como WPS Hide Login para ocultar
/wp-login.php. - Límite de intentos: Instala “Limit Login Attempts Reloaded” para bloquear IPs tras varios fallos.
- Autenticación en dos pasos (2FA): Plugins como Wordfence o miniOrange añaden esta capa crítica.
- Evita usuarios comunes: Nunca uses “admin” como nombre de usuario.
- Firewall de aplicaciones web (WAF): Servicios como Cloudflare o Sucuri bloquean intentos antes de que lleguen a tu servidor.
Estas medidas, combinadas, reducen drásticamente el riesgo de acceso no autorizado.
Consejo profesional
Habilita el registro de intentos fallidos. Muchos plugins de seguridad te permiten ver qué IPs están atacando tu sitio y bloquearlas manualmente si es necesario.