Siempre es bueno aumentar las medidas de seguridad de WordPress, para que no sufras ataques o hackeos. Descubre cómo mejorar tu login.
WordPress es la plataforma más utilizada en la actualidad. 1 de cada 4 sitios hoy por hoy están elaborados con este CMS, que desde hace mucho tiempo ocupa un lugar indiscutido en la industria del diseño web. Todo esto, gracias a las diversas funcionalidades que permite a los usuarios y porque es fácil de utilizar, con un sinfín de plugins que te permitirán personalizarlo a tu antojo.
Lamentablemente, al ser el gestor de contenidos más ocupados actualmente, también se encuentra más expuestos a los ataques informáticos y a la intrusión de hackers, por lo que es recomendable siempre reforzar su seguridad.
Por lo mismo es que hoy hemos querido entregarte algunos consejos para que puedas resguardar el login de tu WordPress en sólo tres pasos, para que puedas utilizar esta herramienta sin preocuparte por el ataque de terceros.
El login de WordPress
Esta plataforma posee una sencilla página de login, que permite a los responsables de la web, hacer alteraciones de todo tipo, con un sistema de gestión de permisos seguro y miles de plugins que te permitirán incrementar sus funcionalidades.
El gran problema es que dicha página resulta ser el objetivo de los hackers que intenta ingresar a la sección privada y por lo mismo, debemos protegerla al máximo para evitar tanto una invasión como una cantidad excesiva de accesos a la base de datos.
Aunque la web esté protegida con contraseñas, si alguien intenta un ataque de fuerza bruta se probarán miles de combinaciones en muy poco tiempo, saturando el servidor, que tendrá la misión de verificar cada una de ellas, en la base de datos, consumiendo gran cantidad de recursos.
¿Qué puedo hacer? Aquí tienes tres consejos:
- Cuida el directorio wp-admin: Creando un archivo .htpasswd y colocándolo en algún directorio dentro del servidor estarán protegiendo el login. El contenido de dicho archivo es un login y una contraseña extra cifrado, que puedes hacer con una página. Una vez que se encuentra creado el archivo, se requiere crear un .htaccess dentro del directorio wp-admin y agregar las siguientes líneas.
AuthName “texto”
AuthType Basic
AuthUserFile”/home/username/example.com/.htpasswd” (con la ruta en la que se ha guardado el htpasswd).
Require valid-user
- Proteger el archivo wp-login.php: Una entrada a WordPress también puede hacerse mediante el archivo wp-login, por lo que debe protegerse desde el archivo .htaccess del sitio web, ocupando:
#Protect single file
<Files admin.php>
AuthName “Dialog prompt”
AuthType Basic
AuthUserFile /home/username/example.com/.htpasswd
Require valid-user
</Files>
Aunque en este caso será necesario especificar wp-login.php dentro del código.
- Bloquear el acceso desde la aplicación móvil de WordPress: Aunque los directorios y archivos estén protegidos, los hackers podrán intentar ingresar usando la aplicación móvil de la plataforma, ya que dicha aplicación no usa las páginas tradicionales. En este caso, será necesario bloquear el acceso al archivo xmlrpc.php desde el .taccess, responsable por la actualización e identificación desde plataformas terceras.
Las líneas de código son sencillas, también en el .htaccess del sitio web:
# Block WordPress xmlrpc.php request
<Files xmlrpc.php>
Order deny,allow
Deny from all
Allow from 123.123.123.123
</Files>
En este caso particular, se ha liberado el acceso a la IP 123.123.123.123, para que solamente quien tiene dicha IP pueda realizar las actualizaciones desde la aplicación deseada. Con estos simples pasos podrás contar con mayor seguridad, sin la necesidad de instalar ningún plugin.
Es conveniente que contrates un excelente servicio de web hosting para que reduzcas lo más probable las opciones de sufrir un ataque.