Por defecto, las webs hechas con wordpress tienen una URL característica para iniciar sesión. Esta url es dominio.com/wp-admin o bien dominio.com/wp-login. Los cibercriminales lo saben, por descontado, y lo que hacen es intentar realizar diferentes combinaciones de tal forma que, si la contraseña no es muy segura, consiguen descifrar la contraseña y acceder al wordpress.
Seguramente pienses que claro, no solo deben descifrar la contraseña sino también el usuario, pues con el usuario quizás lo tengan más fácil. Ya que si en tu web tienes posts hechos, estos suelen tener una marca del usuario o autor que ha realizado ese contenido, y ese usuario por norma general es el mismo con el que se inicia sesión.
Para poder añadir seguridad en este punto vamos a usar un plugin bastante útil es All in One WP Security . Para añadir esta seguridad tienes que seguir estos pasos:
Seguridad WP > Fuerza Bruta
en el cuadro de texto puedes añadir la palabra que sustituirá el «wp-admin» o «wp-login.php». Una vez guardes los cambios con esta nueva palabra. Las opciones anteriores quedan deshabilitadas, si intentan acceder derivará directamente a la página 404.
Para añadir un poquito más de seguridad si quieres también puedes limitar el número de intentos con los que prueban el usuario y contraseña e incluso bloquear las pruebas con los usuarios que no existen en la base de datos. Para ello simplemente accedes a Seguridad WP > Acceso de usuario y en la pantalla activa la función de bloqueo y marca el número máximo de intentos.
De forma adicional selecciona la opción de bloquear los accesos con usuarios que no existan.
Seguro que esto te interesa
