Protección de login
Protección de login
Tu sitio WordPress tiene protección contra ataques de fuerza bruta activada por defecto. El sistema limita la velocidad de intentos de login y bloquea automáticamente las IPs maliciosas.
Estadísticas
La pestaña Security muestra un grid con tres métricas de protección de login:
| Métrica | Descripción |
|---|---|
| Blocked (24h) | Número de intentos bloqueados en las últimas 24 horas |
| Active Lockouts | IPs actualmente bloqueadas |
| XML-RPC Status | Estado de XML-RPC (Enabled o Blocked) |
Cómo funciona el rate limiting
- Intentos normales: Se permite el login con las credenciales correctas
- Intentos fallidos repetidos: Después de varios intentos fallidos desde la misma IP, se aplica un delay creciente
- Lockout: Si los intentos continúan, la IP se bloquea completamente
- Registro: Todos los intentos bloqueados se registran en el security log
Qué se protege
- Página de login (
/wp-login.php) - Endpoint XML-RPC (
/xmlrpc.php) — bloqueado a nivel de servidor - Intentos de autenticación vía REST API
Usuarios legítimos bloqueados
Si un usuario legítimo queda bloqueado:
- Ve a Security → Blocked IPs
- Busca la IP del usuario
- Haz clic en Desbloquear
También puedes usar “Unblock All” si no estás seguro de cuál IP es.
Integración con el Security Score
Las métricas de protección de login afectan el score general de seguridad:
- Un número alto de bloqueos indica que tu sitio está siendo atacado (pero protegido)
- XML-RPC bloqueado contribuye positivamente al score
- Tener lockouts activos es normal y no reduce el score