Seguridad de los usuarios en WordPress

Última revisión: 2 de octubre de 2021

En WordPress los usuarios tienen un peso importante en el sistema. Tanto si tienes el gestor completamente cerrado y sólo accedes tú, como si tienes un centenar de personas trabajando con él, es importante evitar que quien no tenga que acceder, no lo haga.

El nombre de usuario

Históricamente WordPress creaba como usuario por defecto el [admin]. Esto hace que las instalaciones más antiguas todavía puedan tenerlo y se debería eliminar, ya que es una fuente de intentos de acceso habituales (también lo son palabras como [root] o [administrador]). En general habría que evitar el uso de nombres de usuario simples y es más que recomendable que el nombre de usuario sea distinto a las partes de la cuenta de correo. Si tienes un usuario [admin] puedes crear otro usuario (administrador o no) y cuando vayas a borrarlo le transfieres todos los contenidos.

Partiendo de esta base, si has de crear un usuario y quieres que sea reconocible para la persona, es mejor usar un usuario del estilo a [Javier Casares] que no simplemente de [javier]. El simple hecho de incluir dos palabras, mayúsculas, minúsculas y espacios aumenta la complejidad habitual que se presupone en un nombre de usuario. Y WordPress, por defecto, te permite usar nombres de usuario complejos.

La Contraseña

Recuerda leer el artículo sobre Contraseñas para tener presente qué es una contraseña segura.

Los usuarios por norma general van a utilizar contraseñas poco seguras, a menos que sea alguien responsable y preocupado por la seguridad y su privacidad. Es por esto que lo mejor es obligar a los usuarios a utilizar una contraseña considerada segura (y con la configuración mínima que tu le indiques). Para ello tienes plugins que fuerzan contraseñas seguras que realizan esta tarea de forma sencilla.

Doble verificación (2FA)

Aún todo esto, hoy en día existe una forma mucho más efectiva de mejorar la seguridad, y es configurar un sistema de doble verificación. Además de tener un usuario y una contraseña el objetivo es que, tras acceder correctamente, verifiques que realmente eres tú. ¿Cómo conseguirlo? Pues con algo que en general todos llevamos encima: nuestro teléfono móvil.

La idea es instalar un plugin de doble verificación, obligatorio para todos los usuarios, de forma que una vez el usuario haya accedido con su usuario y contraseña (más o menos segura) te pedirá una nueva clave numérica que se genera cada minuto y que sólo estará configurada en tu dispositivo móvil. En la pantalla aparecerá ese número, lo introduces y ya podrás disfrutar de tu WordPress. Así, si alguien consigue tus accesos, no podrá acceder ya que también debería tener tu teléfono móvil.

IMPORTANTE: No uses verificación por SMS, usa una App. Existen sistemas relativamente sencillos en los que otras Apps tienen acceso a los mensajes SMS que puedes recibir e interceptar o modificar esos mensajes; es por esto que es mejor que el generador de contraseñas lo haga una App y no se reciba mediante SMS.

Bloquear intentos de acceso masivos

Un detalle importante es el de limitar los accesos de un usuario al panel. En realidad, el objetivo no es tanto limitar al usuario sino limitar a alguien (persona, máquina…) a que haga muchos intentos de acceso ya sea con un usuario existente o probando distintos.

Aunque una contraseña segura y doble verificación es suficiente para que nadie pueda entrar en tu WordPress mediante sistemas de fuerza bruta, puede ser un poco cansado que se estén ejecutando miles de solicitudes de acceso. Es por esto que podemos plantear la instalación de un plugin que cuando detecte este tipo de ataques los bloquee. Podemos instalar un Firewall o tenemos sistemas que se limitan a controlar los intentos de acceso de la zona de acceso.

Los permisos

Por defecto WordPress lleva unos sencillos niveles de usuario: Administrador, Editor, Suscriptor… Pero si comienzas a añadir funcionalidades que no son las sencillas de publicación, tal vez sea mejor que tus usuarios tengan un rol muy concreto en el que sólo toquen lo que deban tocar. Para ello existen varios plugins de gestión de usuarios, aunque te recomiendo el uso de User Role Editor o de Members.

En estos casos verás que aunque un usuario tenga los permisos generales de un nivel, puedes darles o quitarles otros permisos concretos a distintos elementos puntuales. Esto permite crear niveles de usuarios que diferencien tareas habituales que unas personas deben y otras no realizar.

Cuando acabes de trabajar…

Es fácil: desconecta tu sesión. Dejar la sesión abierta en cualquier dispositivo ofrece una posibilidad de dejar las cookies y la sesión activa para que el que venga detrás tenga acceso a ella. Aunque sea un dispositivo personal, sal. No cuesta nada volver a poner tu contraseña.


Seguir con Seguridad para WordPress


Sobre este documento

Este documento está regulado por la licencia EUPL v1.2, publicado en WP SysAdmin y creado por Javier Casares. Por favor, si utilizas este contenido en tu sitio web, tu presentación o cualquier material que distribuyas, recuerda hacer una mención a este sitio o a su autor, y teniendo que poner el material que crees bajo licencia EUPL.