• iborra
    borde slide
    DESCUBRE A TRAVÉS DE
    borde slide
    NUESTRO BLOG
    Artículos de interés sobre diseño web

Cómo proteger wp-admin de Wordpress

proteger wp-admin

Uno de los problemas que siempre preocupan a los usuarios de Wordpress, es la seguridad. Es prácticamente imposible crear una web a través de Wordpress que sea 100% segura, ya que existen personas con conocimientos muy avanzados, pero podemos reducir sensiblemente las probabilidades de riesgo.

En este artículo nos centraremos en el directorio wp-admin, el cual contiene los archivos de nuestra administración de Wordpress. Todos sabemos, que la forma de acceder a la administración es a través de http://unsitioweb.com/wp-admin/ donde se nos pide un login para entrar. Ante el peligro, de que nos puedan descubrir nuestro usuario y contraseña, el objetivo de este tutorial es asegurar el directorio wp-admin a través de ciertas técnicas y códigos de seguridad.

Sin más rodeos, vamos a explicar a continuación algunas técnicas para mejorar la seguridad del directorio wp-admin de Wordpress:

Crear el archivo .htaccess dentro de la carpeta wp-admin para limitar el acceso por IP

Es uno de los métodos más radicales para conseguir asegurar tu sitio web. Cada vez que alguien acceda al login del directorio wp-admin de tu página web, el servidor controlará con que IP se ha accedido, si es la tuya te dejará entrar y en caso contrario se denega el acceso. Para implementar este muro de acceso tenemos que realizar lo siguiente:

  1. Nos vamos a la carpeta wp-admin de nuestro sitio web de Wordpress y dentro creamos el archivo .htaccess (si no sabéis crearlo decirlo por comentarios y os ayudo). Una vez creado lo abrimos con un editor de texto, en mi caso, con Dreamweaver.
  2. Copiamos el siguiente código y lo pegamos dentro del archivo. (Respetar comas y espacios).
  3. order deny,allow
    deny from all
    allow from xx.xxx.xx.xxx
    
  4. Sustituimos donde están las X por nuestra IP. Para saber cuál es nuestra IP solo tenemos que acceder a Whats Myip o a través de Myip y nada más acceder nos lo dirán.

Antes de aplicar esta técnica tenemos que saber si nuestra IP es fija o dinámica. Las IPs fijas son IPs que nunca cambian, incluso cuando apagas o reinicias el router. Las IPs dinámicas cambian cada vez que el router al que tienes conectado el ordenador vuelve a encenderse. Si tu IP es fija funcionará automáticamente, si es dinámica también funcionará, pero esto te obligará a que edites el archivo .htaccess para actualizar la IP cada vez que vayas a acceder al wp-admin.

Cuidado!!! En muchos sitios donde he visto explicando esto cometen un gravísimo error. Dicen de poner este código en el .htaccess de la carpeta raíz. Ni se os ocurra hacerlo! Esto lo que hace es que tú si que podrás lógicamente acceder a tu administración pero nadie, absolutamente nadie (menos tú) podrá entrar ni siquiera a tu página web. La forma correcta de hacerlo es lo que acabo de explicar, dentro de la carpeta wp-admin y no en la carpeta raíz.

Proteger wp-admin desde el CPanel

Consiste en crear un login con usuario y contraseña desde nuestro servidor y que nos pedirá nada más entrar a la administración de nuestro sitio web. Es como un doble escudo, tendremos que pasar por dos logins para acceder a nuestra administración, la creada por nuestro servidor y la de Wordpress. Para crearlo hay que hacer lo siguiente:

  1. Accedemos a nuestro CPanel. Según el hosting contratado aparecerá de una forma u otra. Hacemos clic en Directorios protegidos con contraseña y nos llevara a una nueva ventana.
  2. En mi caso, hay que darle clic donde dice Añadir Directorio protegido. Nos llevará a otra ventana.
  3. En esta nueva ventana nos pedirá que directorio queremos proteger y el nombre que le vamos a poner a esa área protegida. Pongo un ejemplo a continuación.
  4. Una vez creado hacemos clic en el directorio que acabamos de proteger.
  5. Nos abre una nueva ventana y hacemos clic, en mi caso, a Añadir Usuario Nuevo.
  6. Aparece un nuevo panel a rellenar. Intentar que el nombre de usuario y la contraseña sean vean difíciles de averiguar. Una vez rellenado le damos a aceptar.

Ya lo tenemos listo! Cuando entremos en nuestra administración nos pedirá el usuario y contraseña que acabamos de crear.

Limitar los intentos de login en wp-admin mediante un plugin

Vamos a explicar un plugin bien sencillo de implementar, que se llama Login LockDown. Este plugin nos permite limitar el numero de logins y el tiempo a esperar si se fallan, también nos crea una lista negra con las IP que han intentado acceder fraudulentamente a nuestro WordPress que podremos gestionar. Para configurarlo seguimos los siguientes pasos:

  1. Primero nos vamos al siguiente enlace para descargar el plugin en la página oficial de Login LockDown.
  2. Una vez instalado y activado el plugin, lo encontraremos en la columna de la izquierda de nuestra administración siguiendo la ruta Ajustes->Login LockDown.
  3. El plugin tiene una ventana principal con sus opciones a rellenar. Ponemos el número de intentos, la velocidad a la que no se permiten los intentos y los minutos que una persona debe esperar una vez que se la ha bloqueado. Las demás opciones las dejamos como están por defecto o a vuestro gusto, si no queréis que ponga los créditos el plugin dejar marcada la casilla No, do not display the credit link. Una vez rellenado le damos al botón Update Settings. Pongo un ejemplo a continuación.

Con solo hacer esto ya tendremos limitado los intentos de login para acceder a nuestra administración. Pueden cambiar los avisos que están en inglés a español editando el único archivo del plugin loginlockdown.php.

Evitar que WordPress dé pistas en el login de wp-admin cuando erramos

Wordpress se pasa dando información en el login. Cuando nos equivocamos en poner el usuario nos sale el mensaje "ERROR: Nombre de usuario no válido" y cuando nos equivocamos solo en la contraseña nos dice "ERROR: La contraseña que has introducido para el nombre de usuario X es incorrecta". Nos da muchas pistas en donde nos estamos equivocando, el error de contraseña sale cuando el usuario lo has puesto bien.

Con un pequeño código, que se implementa de forma sencilla, podemos conseguir que no se muestren esos mensajes de error y así proteger mejor nuestra entrada a la administración y no dar pistas a usuarios con malas intenciones. Para ponerlo, tendremos que hacer lo siguiente:

  1. Abrimos el archivo functions.php que se encuentra dentro de la carpeta de nuestro tema.
  2. Copiamos y pegamos el siguiente código al final del archivo justo delante del cierre de php ?>.
  3. add_filter('login_errors', '__return_false');
    

Con este código el mensaje ya no se mostrará, el campo de información del error saldrá en blanco. También os puede interesar el siguiente tutorial donde hablamos de este tema en concreto, Cómo deshabilitar las sugerencias del login en Wordpress.

Y hasta aquí este tutorial, espero que os venga bien. Seguramente existen otras técnicas para mejorar la seguridad del directorio wp-admin. Si conocéis alguna y que funcionen, podéis colaborar en los comentarios.

Comenta y comparte este post!

¿Tienes alguna sugerencia, idea, consejo, duda, pregunta, agradecimiento, encuentras algún error o este post no está actualizado? Entonces esperamos tu comentario.

También puedes recomendar y compartir este post. Estamos muy agradecidos por tu apoyo!

Comentarios (0)

No hay Comentarios todavía en este post. Podrías ser el primero!

Deja un comentario

Este blog se nutre de los comentarios de los visitantes! Así que vamos, únete a nosotros!

Por favor esperamos que entiendas que se eliminarán aquellos comentarios que no tengan nada que ver con el contenido de este post o siempre que se utilicen palabras ofensivas.

COMENTARIO PARA ESTE POST

Imagen mínimo: 300x300 - Formato: jpg o png - Tamaño máximo: 10Mb

CAPTCHA code