Permitir que los usuarios tengan contraseñas débiles es como dejar la puerta de casa abierta de par en par. Es una invitación para que ladrones y piratas informáticos entren.
Los usuarios suelen elegir la misma contraseña corta e insegura en todas partes. A menos que impongas contraseñas seguras en tu sitio WordPress, dejas tu contenido y los datos sensibles de los usuarios en riesgo.
En lugar de dejar la seguridad de las contraseñas al azar, este artículo te muestra cómo obligar a tus usuarios a crear contraseñas seguras en tu sitio web WordPress, mejorando tu seguridad online.
¿Por qué imponer contraseñas seguras a los usuarios de WordPress?
Las contraseñas seguras hacen que sea más difícil para los hackers utilizar ataques de fuerza bruta para acceder a su sitio. Si has dedicado tiempo a optimizar la seguridad de tu sitio web en WordPress, entonces también querrás proteger tus páginas de acceso utilizando una contraseña segura.
Sin embargo, si tiene una tienda en línea, un sitio de membresía o un blog con varios autores, existe el riesgo de que sus clientes u otros usuarios del sitio lo hagan vulnerable a los piratas informáticos utilizando contraseñas débiles que se adivinan fácilmente con ataques de fuerza bruta.
Tener usuarios con contraseñas débiles puede representar un riesgo de seguridad, especialmente aquellos con perfiles de usuario de alto nivel como administradores y editores.
WordPress tiene ajustes integrados que muestran a los usuarios la fortaleza de la contraseña al crear una cuenta, pero no impone su fortaleza.
Por suerte, puede utilizar un plugin de WordPress para obligar a sus usuarios a crear una contraseña segura al crear una cuenta en su sitio web de WordPress.
Dicho esto, echemos un vistazo a cómo forzar una contraseña segura a tus usuarios de WordPress. Simplemente utilice los enlaces rápidos a continuación para saltar al método que desea utilizar:
Método 1. Forzar contraseñas fuertes con seguridad sólida
La forma más sencilla de forzar contraseñas seguras es con un plugin de seguridad para WordPress. Recomendamos Solid Security (antes iThemes Security) ya que te permite forzar contraseñas seguras con un par de clics.
Existe una versión premium que ofrece refuerzo de seguridad, comprobación de la integridad de los archivos, detección de 404, etc., pero utilizaremos la versión gratuita para este tutorial, ya que cuenta con características de protección por contraseña. Para más detalles, consulte nuestra reseña / valoración completa de Solid Security.
Lo primero que tienes que hacer es instalar y activar el plugin. Para más detalles, consulte nuestra guía sobre cómo instalar un plugin de WordPress.
Una vez activado, vaya a Seguridad ” Configuración para elegir sus ajustes de seguridad. Hay un asistente de configuración que le guiará a través de la configuración del plugin de seguridad para sus necesidades.
En primer lugar, haz clic en la opción correspondiente al tipo de sitio web que tengas. Seleccionaremos la opción ‘Blog’.
Ahora verá un conmutador para activar ‘Security Check Pro’. Esto establecerá automáticamente tus ajustes de seguridad para redirigir las solicitudes HTTP a HTTPS y protegerte de la suplantación de IP.
Debe establecer este conmutador en la posición “Activado”.
Después, hay que elegir si se trata de un sitio personal o de un cliente.
Seleccionamos ‘Self’ para este tutorial.
A continuación, hay un conmutador para activar una política de contraseñas seguras para tus usuarios.
Debe hacer clic en el conmutador para imponer una contraseña segura a sus usuarios y hacer clic en “Siguiente”.
Ahora, has forzado correctamente a los usuarios a tener una contraseña segura. Hay una variedad de otros ajustes que puede activar para hacer que su acceso sea aún más seguro.
Si lo desea, puede añadir una lista de direcciones IP a una lista blanca para evitar que se bloqueen en su sitio web. Es necesario que añadas el anuncio / catálogo / ficha con la dirección IP de cada usuario. Puedes añadir rápidamente tu propia dirección IP al hacer clic en el botón “Autorizar mi dirección IP”.
Debe dejar el ajuste de Detección de IP en ‘Security Check Scan (Recommended)’ y luego hacer clic en el botón ‘Next’.
Si desea activar la autenticación de dos factores, haga clic en el conmutador en la posición Activado y, a continuación, haga clic en el botón “Siguiente”.
A continuación, se le preguntará si desea activar algunos ajustes de seguridad más para distintos grupos de usuarios. Sólo tienes que hacer clic en “Grupos de usuarios por defecto”.
Esto le llevará a una pantalla donde puede forzar contraseñas seguras y cambiar otros ajustes por perfil de usuario.
La primera pantalla será la de los ajustes de seguridad para los usuarios administradores.
Puede activar las contraseñas seguras y negarse a que los usuarios se registren con una contraseña comprometida que se haya utilizado anteriormente en otros sitios.
Para cambiar los ajustes de seguridad de otros usuarios, basta con hacer clic en un perfil diferente en la parte superior de la pantalla. Cuando haya terminado, haga clic en el botón “Siguiente” situado en la parte superior o inferior de la pantalla.
Esto le guiará a través del resto del asistente de configuración para activar ajustes de seguridad adicionales para su sitio web.
Si desea cambiar los ajustes de su contraseña en el futuro, vaya a Seguridad ” Configuración, haga clic en “Grupos de usuarios” y seleccione el grupo que desea cambiar.
Cuando hayas terminado, haz clic en el botón “Guardar” situado en la parte inferior de la pantalla para guardar la configuración.
Método 2: Forzar contraseñas seguras con el gestor de políticas de contraseñas
Otra forma de forzar contraseñas seguras en tu blog de WordPress es usando el plugin Password Policy Manager. Le permite crear fácilmente reglas de contraseñas seguras que sus usuarios deben seguir, pero no tiene otras características de seguridad para proteger su sitio como lo hace iThemes Security.
Lo primero que tienes que hacer es instalar y activar el plugin. Para más detalles, consulte nuestra guía para principiantes sobre cómo instalar un plugin de WordPress.
Tras la activación, tendrás una nueva opción de menú llamada ‘Política de contraseñas de miniOrange’ en tu panel de administrador de WordPress. Tienes que hacer clic aquí para establecer tus reglas de contraseña.
A continuación, haga clic en el conmutador “Ajustes de la política de contraseñas” para activar los ajustes de su contraseña segura.
Después, puedes establecer tus ajustes de contraseña segura. Sólo tienes que marcar / comprobar las casillas correspondientes a los ajustes de contraseña que desees establecer.
A continuación, establezca la longitud obligatoria / requerida / necesaria de la contraseña.
Después, puedes elegir que las contraseñas caduquen tras un periodo de tiempo establecido.
Si desea activar esta opción, haga clic en el conmutador “Activar caducidad” e introduzca la caducidad en semanas.
Cuando hayas terminado, asegúrate de hacer clic en el botón “Guardar ajustes”.
También puedes restablecer todas las contraseñas de tus usuarios en cualquier momento. Basta con hacer clic en el botón “Restablecer contraseña” para que se indique a todos los usuarios que creen nuevas contraseñas seguras.
Nuestras mejores guías para proteger las contraseñas de WordPress
Esperamos que este artículo te haya ayudado a aprender cómo forzar contraseñas seguras a los usuarios en WordPress. Puede que también quieras ver otras guías acerca de cómo proteger contraseñas en WordPress:
- Cómo cambiar la contraseña en WordPress (Guía para principiantes)
- Cómo gestionar contraseñas de forma fácil y segura (Guía para principiantes)
- Cómo y por qué debería limitar los intentos de acceso en WordPress
- Cómo añadir un sencillo generador de contraseñas de usuario en WordPress
- Cómo permitir a los usuarios ocultar / mostrar contraseñas en la pantalla de acceso de WordPress
- Cómo restablecer las contraseñas de todos los usuarios en WordPress
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Mrteesurez
Good job here.
but my question is, why there is a risk when my site users use weak passwords when they are not actually the admins ??
Also, thanks for that plugin Password Policy Manager, I love how it works.
My websites are becoming more professional by implementing your guides. I appreciate.
WPBeginner Support
The chances are very low but if there is a plugin or theme with a vulnerability that only requires a user on the site then hackers could target your users instead of your admins.
Administrador
salvador aguilar
This plugin is now closed on WP repo
WPBeginner Support
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Administrador
lionel
this plugin hasn’t been updated in over a year.
WPBeginner Support
Thank you for letting us know, from taking a look the plugin should still be working but for understanding the lack of updates you would want to take a look at our article here: https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Administrador
Bobby
Is there any function in this plugin to change the password level? I was looking for this issue over a month.
WPBeginner Staff
This plugin does not send password emails. It also does not advertises to encrypt emails. That’s not the purpose of this plugin.
CST
It does not sound like the, “Force Strong Passwords” plugin is as safe as it is touted to be if it does not block emailing the password in unencrypted form.
dwf
Not to mention that the “Force Strong Passwords” plugin does nothing to prevent emailing of strong password during User setup…
Chris
Any ideas on how to implement this same approach but for all users; even ‘subscribers’?
Editorial Staff
Yes you would have to use
slt_fsp_weak_rolesfilter. Haven’t tried the code below, but something like this should work:add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' ); function wpb_weak_roles( $roles ) { $roles[] = ''; return $roles; }1-click Use in WordPress
Administrador
Chris Miller
Thank you! I’m surprised WordPress hasn’t implemented a simple ‘tick box’ option to increase security password requirements with all the brute force attacks lately. I’ll give this a go.
Sara
Great concept. Looking at the “support” page at wordpress’s plugins site, the developers haven’t responded to support messages and don’t appear to have any reputation in the security world.
I want to stress, I love the idea. But I am not wowed by what I’m seeing of the “company” or developers behind the software, and for something like security, that makes me nervous. I’m gonna pass for now.
Editorial Staff
Often developers build their plugins out of their free time. Having built several ourselves, we know how hard it is to support them specially when you are not getting anything in return. This plugin’s author has updated his github page for the plugin. That seems to be running version 1.1 which has a lot of upgrades and fixes.
Administrador
Damien
If they have (simply) converted the WordPress strength test to PHP then they don’t need to have a reputation in the security world. It is not really “new” code, just ported code.