Aumentar la seguridad de WordPress cerrando sesiones automáticamente

La seguridad es un tema que debería preocupar a cualquier administrador de un sitio web. Desde usar las versiones más recientes del software que ejecutamos en el servidor a forzar el uso de contraseñas más seguras o la autenticación en dos pasos, el abanico de opciones que podemos implementar para conseguir reforzar nuestra web es muy amplio. Pero hay un tipo de «riesgo» contra el que es muy difícil protegerse: el usuario.

De nada sirve que te gastes muchísimo dinero en poner una puerta blindada en tu casa si, cuando sales, te olvidas de cerrarla. Lo mismo pasa con la web: si nuestros usuarios (o nosotros mismos, como editores/administradores de un blog) olvidamos cerrar nuestra sesión después de trabajar en nuestra web, nos arriesgamos a que venga otro usuario y se meta donde no debe. Especialmente si trabajamos en un ordenador compartido.

En la entrada de hoy vamos a ver cómo implementar la solución que seguro que has visto en la web de tu banco: cerrar automáticamente la sesión a un usuario cuando lleve un cierto tiempo inactiva.

Logout Inactive

Como casi siempre en WordPress, la solución a nuestro problema la encontramos en un plugin: Logout Inactive. Tal y como puedes leer en la documentación del propio plugin:

Inactive Logout permite cerrar automáticamente las sesiones inactivas de tus usuarios, protegiendo así tu web en caso de que alguien haya olvidado cerrar su sesión.

Una vez hayas instalado y activado el plugin, simplemente tienes que ir a Herramientas » Inactive Logout para poder configurarlo:

Por cierto, aunque haya puesto las capturas en inglés, que sepas que el plugin está disponible en español, ya que lo traduje íntegramente cuando estuve escribiendo esta entrada. Así que no tienes excusas para no usarlo en tu web 😉

El primer paso es establecer el límite de tiempo de inactividad en minutos. Es decir, cuántos minutos puede estar desatendida una sesión antes de considerar que el usuario se ha olvidado de ella y que, por lo tanto, habría que cerrarla.

A continuación puedes modificar el mensaje que se mostrará al usuario cuando el plugin vaya a cerrarle su sesión. En mi opinión, el mensaje por defecto ya está bien… pero tienes la posibilidad de cambiarlo si así lo deseas.

Finalmente, tenemos algunos ajustes adicionales:

Fondo del mensaje emergente. Permite cambiar el color de fondo del mensaje emergente que se muestra avisando al usuario de que se va a cerrar su sesión.
Desactivar cuenta atrás. Por defecto, cuando se ha llegado al límite de tiempo de inactividad, el plugin no cierra directamente la sesión del usuario, sino que muestra una pequeña cuenta atrás que da al usuario la posibilidad de no cerrar su sesión. Esta opción permite desactivar dicha cuenta atrás y cerrar la sesión nada más se alcance el límite de tiempo establecido.
Mostrar solo mensaje de aviso. Si no quieres que se cierre la sesión del usuario, sino que simplemente se muestre un mensaje de aviso, esta es tu opción. De todas formas, yo no lo recomiendo y no le veo sentido alguno a instalar este plugin para usar esta casilla.
Desactivar accesos concurrentes. Si quieres evitar que una misma cuenta se use desde múltiples ordenadores a la vez, puedes hacerlo con esta opción. Básicamente, sirve para garantizar que la cuenta se usa desde un único dispositivo a la vez.
Activar redirección. Por defecto, cuando se cierra la sesión del usuario aparece un mensaje emergente por encima de todo con el formulario para acceder de nuevo al sitio. Con esta opción, cambias este comportamiento por defecto y envías al usuario a algún otro lugar. En mi opinión, esta opción es la más segura, puesto que el mensaje emergente permite ver qué hay debajo, lo que puede suponer un pequeño agujero de seguridad.

Sesión cerrada automáticamente por Inactive Logout — Cuando Inactive Logout cierra la sesión automáticamente, por defecto deja un mensaje de aviso por encima de la página en la que estábamos trabajando. Esto puede «revelar» información que no queremos que terceras personas vean… así que quizás sea mejor activar redirecciones.

Ajustes por perfil

Una de las opciones que más me gusta de este plugin es que permite configurar cuándo cerrar una sesión de usuario en función del perfil de dicho usuario. Es decir, podemos, por ejemplo, indicar que una cuenta de administrador puede estar, como mucho, 5 minutos desatendida, mientras que la de un autor puede estar hasta media hora sin actividad.

Para establecer diferentes límites en función del perfil, accede a la pestaña Límites por perfil:

Aquí, lo primero que deberás hacer será activar la opción Límite de tiempo multiperfil y esto desbloqueará la interfaz de usuario que ves en la captura anterior. A continuación, añade los perfiles para los que quieres ajustes personalizados en el siguiente campo (Activar la característica de multiusuario) y personaliza las opciones en cada rol con la tabla que hay debajo. Fácil, sencillo y para todos los públicos.

Nelio Popups

¡Un plugin fantástico! Es muy fácil crear ventanas emergentes con el editor que ya conoces y las opciones que ofrece están muy bien diseñadas.

Juan Hernando

WordPress.org

Descarga gratis

Versión premium

Resumiendo…

La seguridad es algo que siempre debes tener en mente. Se trata de un proceso iterativo e incremental: cada paso que des debe ser una pequeña mejora a lo que ya tuvieras hasta ahora. Hoy hemos visto cómo puedes hacer tu web más segura instalando un plugin que cierra las sesiones inactivas.

Imagen de Jan Tinneberg en Unsplash.

10 respuestas a «Aumenta la seguridad de tu web cerrando la sesión a los usuarios inactivos»

Mike
2 de junio del 2020
Excelente post! Quisiera saber si tiene algún inconveniente con la función pro de cerrar sesión al cerrar pestaña o ventana. Alguna sugerencia a tener en cuenta respecto a alguna posible incompatibilidad? Gracias
Responder
1. David Aguilera
  3 de junio del 2020
  Gracias, Mike. Hasta donde yo sé, no, no existe ninguna incompatibilidad.
  Responder
Malena
22 de agosto del 2020
Hola! Pregunta: ¿si tuve mucho tiempo inactiva mi cuenta de wordpress borra las entradas que haya cargado alguna vez?
No la uso hace dos años y no me aprece nada de lo que tenía!
Responder
1. David Aguilera
  22 de agosto del 2020
  Depende de dónde tuvieras creado ese «WordPress». Habrá proveedores de hosting que, dada una cuenta gratuita, borren todos los contenidos si la web lleva un cierto tiempo inactiva, y otros que no lo hagan. Si no aparece nada, lo más probable es que lo hayan borrado… Prueba a contactar con tu proveedor de hosting y pregúntales a ver.
  Responder
Manolietti
17 de octubre del 2020
Con este plugin la sesión se cierra aunque no este abierto en la ventana del navegador?
Responder
1. David Aguilera
  17 de octubre del 2020
  Si no recuerdo mal, sí. Básicamente, cancela la validez de la cookie de acceso si la sesión asociada a esa cookie lleva tiempo sin actividad.
  Responder
Edemir
7 de febrero del 2021
La verdad no funciona el plugin lo tengo en la version pro pero no cierra sesiones cuando cerraste el navegador
Responder
1. David Aguilera
  8 de febrero del 2021
  Vaya, no sé por qué no te funciona. ¿Has probado a ponerte en contacto con el desarrollador y pedirle soporte? Lo mismo tiene un bug que puede corregirte. En cualquier caso, gracias por decírnoslo.
  Responder
  1. Edemir
    9 de febrero del 2021
    Ya les mande un mensaje pero no responden
    Responder
    1. David Aguilera
      9 de febrero del 2021
      Pues vaya… habrá que encontrar una alternativa 🙂
      Responder