A todos los usuarios que tienen una instalación de WordPress para su blog o Website, es de vital importancia que tomen medidas de seguridad con el administrador (wp-admin), muchos sitios reciben ataques de diversas maneras.
En el blog WPBeginner encontramos un tutorial con buenos consejos para evitar los ataques en nuestro blog o Website.
No debemos seguir el tutorial por completo, pero podemos implementar algunosconsejos que se adecuen a nuestra necesidad, esto dependerá de como utilizamos nuestro WordPress.
1. Crear una dirección personalizada para loguearse.
Para poder acceder al panel administrativo en una instalación de WordPress solo basta con poner nombre.com/wp-admin o nombre.com/wp-login.php.
Con este tipo de direcciones estamos en total vulnerabilidad de que otros usuarios puedan acceder a la pantalla de login, solo eso basta para poder ser hackeados.
Stealth Login es un plugin para WordPress que nos permite crear direcciones URL personalizadas para iniciar la sesión, esta funcionalidad no lograra librarnos por completo de los hackers pero su función cumple un vital objetivo, ya no será muy fácil encontrar la dirección de login.
2. Limitar los intentos de acceso.
Los Hackers en algunas ocasiones utilizan el método fuerza bruta, esto sin duda casi nunca funciona, pero podría, para esto debemos limitar a una cierta cantidad de veces el intento de logueo y bloquear el formulario de login.
Login Lockdown es un plugin para WordPress que nos brinda esta funcionalidad, podemos configurar las veces de intento a través del administrador.
3. Utilizar Páginas con Secure SSL para loguearse.
Esta es una muy buena opción, podemos cambiar nuestro protoloco a https://, esto hará de nuestros inicios de sesión más seguros, para esto debemos obtener un certificado SSL en nuestro hosting y poner el siguiente código en el wp-config.php que se encuentra en la raíz del WordPress.
define ( 'FORCE_SSL_ADMIN', true);
4. Limitar el acceso por IP mediante el .htaccess
Si nuestro blog o Website es alimentado siempre desde nuestra computadora seria aconsejable que limiten los ingresos por el archivo .htaccess y solo permitan el acceso desde su computadora por medio del IP. Para esto debemos situarnos en el directorio/wp-admin y crear un archivo .htaccess lo editamos y pegamos el siguiente código.
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “WordPress Admin Access Control” AuthType Basic order deny,allow deny from all # IP CASA allow from xx.xx.xx.xxx # IP TRABAJO allow from xx.xx.xx.xxx
5. Eliminar el usuario “admin”
Este usuario tipo administrador es creado por WordPress en su instalación, al momento de loguearnos por primera vez, debemos crear un usuario tipo administrador para evitar que los hackers tengan una opción mas para atacar, al momento de crear nuestro usuario administrador cerramos sesión y nos logueamos con el creado, de esta manera podemos eliminar al usuario “admin”.
6. Eliminar el mensaje de error al intentar loguearse.
cuando intentamos loguearnos y fallamos en el intento, nos sale un mensaje de error que nos advierte si el nombre de usuario es incorrecto y/o el password, esto le da una información extra a quien intente loguearse, para solucionar esto y eliminar el mensaje de error, debemos agregar esta línea de código en el archivo functions.php.
add_filter('login_errors',create_function('$a',"return null;"));
3 Comentarios. Dejar nuevo
[…] Sitio http://www.i-3.es […]
No es necesario registrarse?
Buenas, a que te refieres con que si es necesario registrarse?