Una Vista Detallada al Plugin de WordPress “Limit Login Attempts Reloaded”

by Jos Velasco
Una Vista Detallada al Plugin de WordPress “Limit Login Attempts Reloaded” thumbnail

Si un desconocido siguiera golpeando tu puerta principal una y otra vez, probablemente la cerrarías con cerrojo o añadirías tres cerraduras adicionales.

Tu hogar en línea también merece y necesita la misma protección.

Limit Login Attempts Reloaded es un popular plugin de seguridad que te permite restringir el acceso a tu página de inicio de sesión. Si alguien golpea tu puerta virtual más de unas pocas veces, será expulsado. Es una excelente herramienta de seguridad, utilizada en más de dos millones de sitios WordPress.

Si estás considerando utilizar Limit Login Attempts Reloaded o un plugin similar para tu sitio web, esta guía es imprescindible.

En los próximos minutos, veremos por qué podrías necesitar este plugin, cómo configurarlo y qué otras opciones tienes para proteger tu sitio web.

¡Vamos, es hora de un recorrido rápido!

¿Qué es Limit Login Attempts Reloaded?

Ilustración que muestra la protección contra ataques, con un ícono de escudo rodeado de candados y un botón de descarga para el complemento.

Limit Login Attempts Reloaded es el plugin más popular de WordPress para limitar la cantidad de intentos de inicio de sesión en tu sitio web. ¿Cómo funciona? Rastreando la cantidad de intentos de inicio de sesión realizados desde cada dirección IP.

La versión básica del plugin es gratuita y ofrece una sólida protección contra ataques de fuerza bruta, cuando los hackers intentan adivinar tu contraseña.

La versión gratuita también incluye:

  • Registros completos de intentos de inicio de sesión.
  • Notificaciones por correo electrónico.
  • Protección para tiendas WooCommerce.
  • Compatibilidad con otros plugins de seguridad, como Wordfence.

Para obtener características adicionales de seguridad para tu sitio web, puedes optar por una licencia premium. Esto cuesta $7.99 USD al mes por cada dominio o puedes adquirir una licencia de por vida por $299.99 USD.

Estas características adicionales incluyen:

  • Filtrado inteligente de direcciones IP.
  • Bloqueo de direcciones IP basado en ubicación.

Por Qué Deberías Limitar los Intentos de Inicio de Sesión en WordPress

Internet puede sentirse como el Salvaje Oeste. Si no aseguras tu sitio, siempre habrá alguien listo para entrar y causar estragos.

Al establecer un límite en la cantidad de intentos fallidos de inicio de sesión, puedes evitar que las personas intenten iniciar sesión repetidamente. De esta manera, reduces considerablemente las posibilidades de ser hackeado.

Además, esos intentos de inicio de sesión interminables pueden sobrecargar tu sitio web de WordPress y reducir su rendimiento. Restringir los intentos de inicio de sesión es una solución simple.

Recibe contenido directamente en tu bandeja de entrada

Suscríbete ahora para recibir todas las últimas actualizaciones, directamente en tu bandeja de entrada.

Los Posibles Inconvenientes de Limitar los Intentos de Inicio de Sesión

Vale la pena señalar que limitar los intentos de inicio de sesión puede causar algunos dolores de cabeza. Por ejemplo, usuarios genuinos podrían encontrarse bloqueados si cometen algunos errores tipográficos u olvidan su contraseña. Esto puede ser bastante frustrante para ambas partes.

Otro problema potencial es que limitar los inicios de sesión puede hacerte más vulnerable a un ataque de Denegación de Servicio (DoS). Un hacker malicioso podría sobrecargar deliberadamente tu límite de inicio de sesión desde múltiples direcciones IP, bloqueando efectivamente a todos los usuarios, incluyéndote a ti. Cosas de miedo, ¿verdad?

En casos raros, limitar los inicios de sesión puede causar problemas de rendimiento. Esto suele suceder cuando tus ajustes de bloqueo son demasiado agresivos o tienes un sitio web con mucho tráfico, por lo que tu servidor web tiene que trabajar duro para rastrear y bloquear miles de direcciones IP.

Ventajas (seguridad, mejor rendimiento, solución sencilla) y desventajas (bloqueo de usuario, problemas de rendimiento) de los intentos de inicio de sesión limitados.

Cómo Proteger tu Sitio con Limit Login Attempts Reloaded

Esa es la teoría resumida. Ahora es el momento de actuar.

Configurar el plugin Limit Login Attempts Reloaded es bastante sencillo. Esa es una de las razones por las que es tan popular.

Pero por si acaso te encuentras un poco atascado, aquí tienes una rápida guía del proceso:

Paso 1: Instalar Limit Login Attempts Reloaded

Dirígete al panel de tu sitio WordPress, y luego selecciona Plugins > Añadir Nuevo.

Un panel de administración de WordPress que muestra "Plugins" en el menú del lado izquierdo y "Agregar nuevo plugin" seleccionado.

A continuación, escribe “Limit Login Attempts Reloaded” en la barra de búsqueda en la esquina superior derecha y presiona Enter. El plugin que deseas debería aparecer como el primer resultado.

Una vez que hayas localizado el plugin, elige Instalar Ahora.

Página de instalación del complemento de WordPress, con "Limitar intentos de inicio de sesión recargados" en el campo de la barra de búsqueda y el complemento resaltado.

Cuando el plugin haya sido instalado, presiona Activar. ¡Quédate con nosotros, estás a un paso de proteger tu sitio!

Paso 2: Elige tus Límites y Configuraciones de Inicio de Sesión

Si revisas la barra lateral izquierda, verás que ha aparecido la opción de Limit Login Attempts.

Haz clic en ella, y luego selecciona Ajustes en el menú desplegable.

"Limitar intentos de inicio de sesión" resaltado en el panel de administración de WP con "Configuración" seleccionado en el menú desplegable.

Vamos a revisar primero la configuración general:

  • Cumplimiento con GDPR: Esta opción añade un pequeño mensaje en tu pantalla de inicio de sesión, informando a los usuarios que estás rastreando direcciones IP (un requisito bajo la ley GDPR). Puedes ajustar el mensaje en el cuadro de abajo.
  • Notificar bloqueos: Con esta función, recibirás una alerta por correo electrónico cada vez que alguien sea bloqueado en tu sitio. Puedes elegir cuántas veces debe ocurrir esto antes de que recibas un correo electrónico. Asegúrate de probar que esto funcione.
  • Opciones de Mostrar/Ocultar: Los siguientes cuatro checkboxes son sobre cómo aparecerá el plugin en tu área de administración de WordPress.
Configuraciones generales con cumplimiento de GDPR, alertas por correo electrónico, opciones de menú, seguridad, ícono de advertencia, etc. resaltados.

Desplázate un poco más abajo y llegarás al área de Configuración de Aplicación:

  • Micro Cloud: A cambio de compartir direcciones IP maliciosas con los desarrolladores del plugin, puedes obtener acceso limitado a las funciones premium de Limit Login Attempts Reloaded.
  • Aplicación Activa: Las configuraciones aquí controlan cómo el plugin bloquea los inicios de sesión. Probablemente, puedas dejar esta sección como está, a menos que tengas ideas específicas sobre tiempo e intentos.
Área de configuración de la aplicación que muestra opciones para "Micro Cloud", "Bloqueo" y "Orígenes de IP confiables" en el encabezado de alternancia "Aplicación local".

Puedes desbloquear aún más configuraciones con una suscripción Premium. El plugin cuenta con una sólida base de conocimientos para ayudarte a navegar por estas opciones.

Paso 3: Monitorear los Intentos de Inicio de Sesión

Con tu protección configurada, puedes visitar Limit Login Attempts > Registros a través de la barra lateral en cualquier momento para monitorear los bloqueos.

"Limitar intentos de inicio de sesión" resaltado en el panel de administración de WP con "Registros" seleccionados en el menú desplegable.

O haz clic en la pestaña de Registros si ya estás en la configuración del plugin.

Panel de control de intentos de inicio de sesión limitados, con opciones para administrar listas blancas, listas negras, etc., y "Registros" resaltados.

También puedes restringir manualmente una dirección IP específica y añadirla a la lista blanca usando esta área.

Alternativas al Plugin Limit Login Attempts

Aunque Limit Login Attempts Reloaded es una excelente solución, no es la única forma de proteger tu sitio contra ataques de fuerza bruta.

Aquí tienes algunas opciones alternativas a considerar:

1. Plugin de Seguridad Wordfence

Anuncio del plugin Wordfence Security, que ofrece firewall, escaneo de malware y funciones de seguridad de inicio de sesión para proteger los sitios web de WP.

Utilizado activamente por más de cinco millones de sitios, Wordfence Security es probablemente el mejor plugin gratuito de seguridad todo en uno para WordPress. Ofrece mucho más que protección de inicio de sesión, aunque esto lo hace un poco exigente en recursos.

Pros:

  • Funcionalidades de seguridad completas, incluida protección contra ataques de fuerza bruta.
  • Ofrece protección en tiempo real a nivel global y análisis de IP.

Contras:

  • Puede solaparse con otros plugins de seguridad.
  • Puede resultar abrumador para principiantes debido a su naturaleza rica en funciones.

2. Plugin Loginizer

Plugin Loginizer que proporciona soluciones de seguridad para proteger los sitios web de WP contra accesos no autorizados y ataques de malware.

Este plugin freemium es un reemplazo directo de Limit Login Attempts Reloaded. Ofrece muchas de las mismas características y tiene excelentes valoraciones, aunque consume un poco más de recursos.

Pros:

  • Especializado en limitar intentos de inicio de sesión sospechosos.
  • Ofrece bloqueo de IP y políticas de contraseñas.

Cons:

  • Puede ralentizar el panel de administración.

3. Edición de Tu Archivo .htaccess

Estructura de directorio de archivos de una instalación de WP, destacando el archivo .htaccess utilizado para la reescritura de URL y el control de acceso.

No encontrarás una opción de límite de inicio de sesión en el área de administración de WordPress. La buena noticia es que, si estás familiarizado con el código, puedes tomar control editando el archivo .htaccess de tu sitio.

Por ejemplo, puedes agregar el siguiente código para limitar el acceso de inicio de sesión a direcciones IP específicas. Simplemente, reemplaza la parte XXX.XXX.XXX.XXX con las direcciones IP que deseas permitir:

RewriteEngine on 

RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR] 

RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ 

RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX.XXX$ 

RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX.XXX$ 

RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX.XXX$ 

RewriteRule ^(.*)$ - [R=403,L]

Ten mucho cuidado con esta técnica, ¡podrías bloquearte fácilmente de tu propio sitio!

Además, debes tener en cuenta que el archivo .htaccess no es compatible con algunos planes que utilizan NGINX. Si este es tu caso, te recomendamos que contactes al equipo de soporte.

Preguntas Frecuentes Sobre La Limitación De Inicio De Sesión

¿No cubrimos todo lo que querías saber? ¡Espera un momento, aquí hay más!

¿Cuáles son otras formas de asegurar una página de inicio de sesión?

Recomendamos seguir estos pasos para una seguridad sólida en el inicio de sesión:

¿Qué significa “Máximo de Intentos de Inicio de Sesión”?

Es el número máximo de intentos fallidos de inicio de sesión en WordPress permitido para cada usuario (dirección IP) antes de que sean bloqueados para intentar nuevamente.

¿Cómo elimino el límite de intentos de inicio de sesión?

Si te refieres al plugin, simplemente puedes desactivarlo y desinstalarlo.

En cuanto a desbloquear tu cuenta, consulta esta publicación del desarrollador del plugin.

Actualiza la Seguridad de Tu Sitio

Reducir los intentos de inicio de sesión fallidos es un paso importante para asegurar tu sitio WordPress. El plugin Limit Login Attempts Reloaded probablemente sea la solución más eficiente en general, pero vale la pena considerar otras opciones.

Por supuesto, la seguridad del sitio web depende en parte de tu proveedor de alojamiento. En DreamHost, ofrecemos todas las herramientas que necesitas para fortalecer tu sitio, desde certificados SSL gratuitos hasta nuestra herramienta integrada para eliminar malware. ¡Lo mejor es que nuestros planes comienzan desde solo $2.59 USD al mes!
¡Regístrate hoy para darle a tu sitio de WordPress una actualización instantánea de seguridad!

Alojamiento WordPress

Alojamiento WordPress inmejorable

Nuestras actualizaciones automáticas y fuertes defensas de seguridad toman la administración de WordPress de tus manos para que puedas enfocarte en tu sitio web

Adquiere DreamPress

Jos Velasco es un Consultor Profesional de WordPress en DreamHost. Sus responsabilidades incluyen ayudar con casos avanzados de WordPress, crear material de capacitación e identificar tendencias que afecten a la comunidad de WordPress. En su tiempo libre, disfruta escalar montañas, comer sano y ver películas de drama. Sigue a Jos en LinkedIn: https://www.linkedin.com/in/josvelasco/