WordPress tiene una sencilla página de login que permite a los responsables del sitio web realizar alteraciones de todo tipo, con un sistema de gestión de permisos bastante seguro y miles de plugins que ayudan a aumentar sus funcionalidades.
El problema es que esa página de login es el objetivo de hackers que intentan en todo momento entrar en la sección privada, y debemos protegerla al máximo para evitar tanto una invasión como una cantidad excesiva de accesos a la base de datos. Aunque la web esté protegida por contraseña, si alguien intenta realizar un ataque de fuerza bruta, se probarán miles de combinaciones en poco tiempo, saturando al servidor, que tendrá que verificar todas ellas en la base de datos, consumiendo recursos.
Aquí tenéis tres cosas que deben hacerse siempre para proteger dicha puerta de entrada:
1 – Proteger el directorio wp-admin: Para ello basta con crear un archivo .htpasswd y ponerlo en algún directorio dentro del servidor. El contenido de dicho archivo es un login y contraseña extra cifrado, que podéis hacer con páginas como la de este enlace.
Una vez creado al archivo, es necesario crear un .htaccess dentro del directorio wp-admin y añadir las siguiente lineas:
AuthName «texto»
AuthType Basic
AuthUserFile «/home/username/example.com/.htpasswd» (con el camino en el que se ha guardado el htpasswd)
Require valid-user
2 – Proteger el archivo wp-login.php: La entrada a WordPress puede realizarse también por el archivo wp-login, por lo que debe protegerse desde el archivo .htaccess del sitio web usando:
Aunque en este caso será necesario especificar wp-login.php dentro del código.
3 – Bloquear el acceso desde la app móvil de WordPress: Aunque los directorios y archivos estén protegidos, los hackers podrán intentar entrar usando la app móvil de WordPress, ya que dicha app no usa las páginas tradicionales. En este caso será necesario bloquear el acceso al archivo xmlrpc.php desde el .htaccess, responsable por la actualización e identificación desde plataformas terceras. Las lineas de código son sencillas, también en el .htaccess principal del sitio web:
En este caso se ha liberado el acceso a la IP 123.123.123.123, para que solo quien tiene dicha IP pueda realizar las actualizaciones desde la aplicación deseada.
Tres sencillos pasos que permitirán más seguridad sin necesidad de instalar ningún plugin.