Saltar al contenido

WPS Limit Login para limitar las conexiones y los ataques de fuerza bruta

02/05/2021

De forma predeterminada, WordPress permite intentos de inicio de sesión ilimitados, ya sea a través de la página de inicio de sesión o enviando cookies específicas. Esto permite que las contraseñas (o hashes) se descifren mediante la fuerza bruta con relativa facilidad.

Un ataque de fuerza bruta es el método más fácil para acceder a un sitio: el hacker prueba los nombres de usuario y las contraseñas una y otra vez, hasta que pueden ingresar. A menudo considerado «poco elegante», este método funciona muy a menudo cuando la gente usa contraseñas como «123456» y nombres de usuario como «admin».

El equipo de WPServeur, como WPS Hide Login y WPS Bidouille , ha diseñado un nuevo plugin gratuito para limitar las conexiones ilegales y bloquear los ataques de fuerza bruta .

 

Inicio de sesión con límite de WPS

El plugin de inicio de sesión WPS Limit limita los intentos de inicio de sesión y bloquea el envío de más intentos a una dirección de Internet tan pronto como se alcanza el límite especificado, lo que dificulta, si no imposible, un ataque de fuerza bruta.

Las principales características del plugin WPS Limit Login:

  • Limite el número de nuevos intentos durante la conexión (para cada IP). Esto es completamente personalizable.
  • Limite el número de intentos de inicio de sesión utilizando cookies de autorización de la misma manera.
  • Notifique al usuario de los intentos restantes o del tiempo de bloqueo en la página de inicio de sesión.
  • Registro opcional y notificación por correo electrónico.
  • Administra el servidor detrás del proxy inverso.
  • Es posible incluir en la lista blanca / negra las direcciones IP de su elección.
  • Compatibilidad con el firewall del sitio web de Sucuri.
  • ** Protección de puerta de enlace XMLRPC **.
  • ** Protección de Woocommerce ** de la página de inicio de sesión.
  • ** Compatibilidad multisitio ** con parámetros de mensajería unificada adicionales.

 

Instalar y configurar WPS Limit Login

La configuración del plugin es muy simple, en unos pocos clics está listo. Comience por instalarlo y activarlo, luego vaya a la página de configuración de la última Configuración >> WPS Limit Login.

  • El número de intentos autorizados antes del bloqueo y la duración del bloqueo: Este primer parámetro se utiliza para definir las bases, por lo que en el ejemplo anterior el usuario puede intentar conectarse 3 veces, en caso de falla la IP se bloquea durante 20 minutos.
  • X hora (s) hasta que se restablezcan los intentos de conexión. Después de 12 horas, las IP bloqueadas pueden intentar conectarse nuevamente (con sus 3 intentos por defecto).
  • X bloque (s) adicionales aumentan el tiempo de bloqueo de su dirección IP a X horas. Cualquier IP previamente bloqueada durante 20 minutos se bloqueará durante 24 horas adicionales en caso de 3 nuevos fallos de conexión.
  • Enviar un correo electrónico al administrador después de x bloqueos: El administrador del sitio será informado por correo electrónico en el caso de 2 bloqueos consecutivos de la misma IP.

La configuración predeterminada es suficiente, personalmente aumentaría el tiempo de bloqueo inicial de 20 minutos a 60 minutos y el bloqueo adicional a 72 horas.

 

Listas en blanco y negro

Con WPS Limit Login puede cambiar las IP (o rangos de IP) a lista blanca (autorizada) o lista negra (prohibido).

  • Lista blanca : defina una lista de direcciones IP que no tendrán límite de intentos y que nunca se bloquearán. Advertencia, solo debes poner direcciones IP confiables (ejemplo: la dirección IP de tu casa), nunca debes poner la dirección IP de una red pública (cibercafé u otra).
  • Lista negra : defina una lista de direcciones IP para las que desea bloquear completamente el acceso a la página de inicio de sesión.

Nota 1: WPS Limit Login indica desde la pestaña White List la IP con la que está conectado;)
Nota 2 : Para agregar una página de IPs, use el siguiente formato 88.88.88.86/90, y una IP por línea

 

Bloquear registro

WPS Limit Login te ofrece un registro de bloqueo donde encontrarás todas las IP bloqueadas, las que aún están bloqueadas y las que ya no lo están.

Puede desbloquear todas las IP bloqueadas con un clic usando el botón verde «Desbloquear todo», pero también puede hacerlo caso por caso. En el ejemplo anterior, pude desbloquear solo la IP 77.111.244.12 haciendo clic en el botón rojo «Bloqueado» en la línea correspondiente.

También encontrará un Widget desde el inicio de su administración de WordPress (activable o no), que indica las últimas 5 IP bloqueadas por WPS Limit Login.

 

Notificaciones en la página de inicio de sesión

El usuario que utiliza un nombre de usuario o contraseña incorrectos en la página de inicio de sesión verá aparecer 2 tipos de notificación:

  • En el primer error : ERROR: nombre de usuario o contraseña incorrectos. 2 intentos restantes (si el número de intentos se establece en 3)
  • Si se alcanza el límite de fallos : ERROR: Demasiados intentos de conexión fallidos. Vuelva a intentarlo en 20 minutos (según su configuración)

 

 

Disponibilidad y gracias

WPS Limit Login es un plugin gratuito de WordPress. Ya disponible en el directorio de WordPress, está completamente mantenido por el equipo de WPServeur, lo que garantiza que el plugin será monitoreado y parcheado si es necesario.

Junto con WPS Hide Login y WPS Bidouille , WPS Limit Login aumentará la seguridad de su WordPress y le permitirá dormir profundamente. Este último es compatible con Woocommerce, multisitio, Sucuri, WordFence, …

Si tiene algún comentario o sugerencia, no dude en compartirlos directamente en la página de soporte dedicada .

Image already added