¿Qué sucede si un usuario legítimo es bloqueado?

Puede desbloquearse mediante el enlace de recuperación enviado por correo electrónico.

¿Puedo personalizar el mensaje de bloqueo?

Sí, puedes modificar el código en el archivo functions.php para personalizar el mensaje.

¿Es necesario utilizar un plugin?

No, se puede hacer manualmente mediante el código, pero un plugin simplifica el proceso.

Limitar intentos de login en WordPress desde functions.php

Limitar los intentos de inicio de sesión en WordPress es una medida de seguridad esencial que ayuda a prevenir ataques de fuerza bruta. Implementar restricciones puede ser sencillo, y es altamente recomendable para proteger su sitio web.

Introducción

La seguridad en WordPress es fundamental, ya que aproximadamente el 90% de los ataques informáticos se dirigen a sitios web que utilizan este CMS. Según un informe de Wordfence, los ataques de fuerza bruta son uno de los métodos más comunes utilizados por los hackers.

Qué es

Limitar los intentos de login en WordPress se refiere a establecer un máximo de intentos fallidos de inicio de sesión permitidos antes de que un usuario sea bloqueado temporalmente. Esto ayuda a mitigar el riesgo de acceso no autorizado.

Si te interesa este tema, quizá te ayude: tecnico wordpress urgente

Ventajas y Desventajas

Ventajas

Aumenta la seguridad del sitio web.
Previene ataques de fuerza bruta.
Protege la información sensible de los usuarios.

Desventajas

Puede bloquear accidentalmente a usuarios legítimos.
Requiere mantenimiento y ajustes periódicos.
Puede afectar la experiencia del usuario si no se gestiona adecuadamente.

Cómo implementar en WordPress

La implementación de límites en los intentos de inicio de sesión en WordPress se puede realizar mediante ajustes en el archivo functions.php de tu tema. A continuación, se presentan los pasos para hacerlo:

Accede al panel de administración de WordPress.
Navega a Apariencia > Editor de temas.
Selecciona el archivo functions.php.
Agrega el siguiente código al final del archivo:


function limit_login_attempts() {
    $max_attempts = 3;
    $lockout_time = 60; // Tiempo en minutos

    if (session_status() == PHP_SESSION_NONE) {
        session_start();
    }

    if (!isset($_SESSION['login_attempts'])) {
        $_SESSION['login_attempts'] = 0;
    }

    if ($_SESSION['login_attempts'] >= $max_attempts) {
        wp_die('Ha alcanzado el límite de intentos. Inténtelo más tarde.');
    }

    if (isset($_POST['log'])) {
        $_SESSION['login_attempts'] += 1;
    }
}

add_action('login_init', 'limit_login_attempts');

Guarda los cambios y verifica que la funcionalidad esté operativa.

Comparativa de herramientas/plugins

Nombre	Ventajas	Ideal para
Limit Login Attempts Reloaded	Fácil de usar, estadísticas detalladas.	Usuarios principiantes.
Wordfence Security	Protección integral, firewall.	Sitios con alto tráfico.
Login LockDown	Bloqueo automático de IPs, configuraciones personalizables.	Administradores de sitios técnicos.

Ejemplo práctico

Si decides utilizar el plugin Limit Login Attempts Reloaded, la instalación es simple:

Ve a Plugins > Agregar nuevo.
Busca «Limit Login Attempts Reloaded».
Instala y activa el plugin.
Configura los límites de intentos desde la sección de ajustes del plugin.

Preguntas frecuentes

¿Qué sucede si un usuario legítimo es bloqueado? Puede desbloquearse mediante el enlace de recuperación enviado por correo electrónico.
¿Puedo personalizar el mensaje de bloqueo? Sí, puedes modificar el código en el archivo functions.php para personalizar el mensaje.
¿Es necesario utilizar un plugin? No, se puede hacer manualmente mediante el código, pero un plugin simplifica el proceso.

Errores comunes

No hacer una copia de seguridad antes de modificar functions.php.
Olvidar verificar la funcionalidad después de implementar cambios.
Establecer límites excesivamente bajos que bloqueen usuarios legítimos.

Checklist rápido

Realizar una copia de seguridad del sitio.
Implementar el código o el plugin elegido.
Probar el inicio de sesión con cuentas de usuario.
Monitorear registros de acceso para verificar intentos fallidos.

Glosario breve

Fuerza bruta: Método de ataque en el que se prueban múltiples combinaciones de contraseñas.
CMS: Sistema de Gestión de Contenidos, como WordPress.
IP: Protocolo de Internet, dirección única de un dispositivo en la red.

Lección de Seguridad de la mano de Experto Especialista en WordPress

Limitar intentos de login en WordPress desde functions.php es una medida técnica muy útil para frenar ataques de fuerza bruta sin depender de plugins, aunque debe implementarse con cuidado para no bloquear accesos legítimos. A nivel de código, la lógica suele basarse en registrar los intentos fallidos por IP o por usuario, almacenarlos temporalmente con transients y, cuando se supera un umbral definido, impedir nuevos accesos durante un tiempo determinado. Por ejemplo, puedes usar el hook wp_login_failed para contar errores, wp_authenticate para comprobar si esa IP sigue bloqueada antes de validar el login y set_transient() para guardar tanto el número de intentos como el tiempo de bloqueo. Este enfoque permite crear una protección ligera y bastante eficaz, especialmente en sitios donde quieres mantener el control total del código y evitar sobrecargar WordPress con más extensiones.

Desde un punto de vista más avanzado, conviene complementar esta limitación con buenas prácticas como registrar también la cabecera real de IP si usas proxy o Cloudflare, excluir administradores de confianza solo cuando sea estrictamente necesario y definir mensajes de error genéricos para no dar pistas al atacante. En proyectos reales, he visto cómo una simple limitación de 3 a 5 intentos con bloqueo de 15 o 30 minutos reducía drásticamente el abuso sobre wp-login.php, especialmente en webs que recibían cientos de intentos automáticos al día. Eso sí, hacerlo bien implica contemplar casos como XML-RPC, REST, proxies inversos o usuarios detrás de redes compartidas para no generar falsos bloqueos. Aquí está la diferencia entre copiar una función y aplicar una solución seria: entender cómo, cuándo y contra qué punto exacto estás protegiendo el acceso. Contar con un soporte para webs especializado permite implementar este tipo de medidas con criterio, reforzando la seguridad del login sin romper la experiencia de administración. Si necesitas ayuda profesional, puedes contactar con Especialista en Wordpress.

Conclusión

Si este punto te está frenando, lo más rentable es convertirlo en un checklist accionable y medir impacto real.
Te dejo por qué la caché no arregla todo para profundizar con criterio.
Y si prefieres soporte profesional, aquí tienes ayuda profesional para WordPress.
Si necesitas una intervención con criterio (sin parches), empieza por el soporte WordPress con método.

Limitar los intentos de inicio de sesión es una estrategia crucial para mejorar la seguridad de su sitio WordPress. Aunque puede haber desventajas, los beneficios superan significativamente los riesgos. Implementar esta medida es sencillo y puede proteger su información valiosa y la de sus usuarios.

Si necesitas ayuda profesional, mira esto: optimizacion wordpress profesional