blog webempresa

Cómo bloquear el acceso por IP al wp-admin de WordPress

por | Nov 27, 2022 | Seguridad WordPress

Restringir el acceso al administrador de WordPress mediante IPs

 

Como a todos los propietarios de un sitio de WordPress, nos preocupa el que podamos tener algún ataque de fuerza bruta a la administración de WordPress (wp-login), ya que si un usuario consigue acceder a la administración de WordPress con privilegios de administrador podrá realizar todas las modificaciones que desee, instalar, eliminar, modificar contenido. Incluso añadir cualquier código que pueda afectar a nuestra web.

Por suerte disponemos de algunos métodos con los que podemos poner un poco más difícil el acceso a la administración de WordPress a todos esos usuarios que no deseamos y mejorar la seguridad de WordPress.

En esta entrada veremos varios métodos para poder restringir el acceso a la administración de WordPress mediante IPs

Permitir el acceso al administrador WordPress solo a determinadas direcciones IPs

Una de las alternativas que tenemos para restringir el acceso a la administración de wordPress es permitir el acceso a ciertas IPs siempre que tengamos una IP Fija.

Cada usuario dispone de una IP para acceder a internet por lo que podemos aprovecharnos de eso para poder permitir el acceso a WordPress solo a esas IPs. Si solo permitimos el acceso a las IPs que nos interesan que tengan acceso cualquier usuario con una IP distinta no podrá acceder a la Administración.

Permitir el acceso al archivo wp-admin

Vamos a suponer que tenemos varios usuarios en WordPress con acceso, Pepe ( administrador ), Francisco ( Editor ), Jaime ( Colaborador ), solo tendremos que añadir las IPs de esos usuarios para que puedan acceder.

Para conseguirlo crearemos un archivo .htaccess en WordPress en el directorio wp-admin y añadiremos el siguiente código:

order deny,allow
Deny from all
# IP Pepe
allow from 84.28.36.198
# IP Francisco
allow from 87.96.21.76
# IP Jaime
allow from 122.246.25.74

En el código hemos añadido un comentario para cada IP ” # IP Pepe ” con lo que podemos identificar cuál es la IP de cada usuario.

Con la opción Deny from all le estamos indicando que deniegue el acceso a todos los usuarios y con allow from le indicamos que solo esas IP pueden tener acceso.

Tendrás que reemplazar las IPs por la IP pública desde la que se conecta cada usuario. Puedes averiguar la IP de cada usuario accediendo a wetools

Permitir el acceso al archivo wp-login

Como en el caso anterior podemos permitir el acceso al archivo wp-login añadiendo lo siguiente al archivo .htaccess, pero en este caso el que se encuentra en la raíz de la instalación:

<Files wp-login.php>
order deny,allow
Deny from all
# IP Pepe
allow from 84.28.36.198
# IP Francisco
allow from 87.96.21.76
# IP Jaime
allow from 122.246.25.74
</Files>

Con esto, cualquier usuario que intente acceder al administrador de WordPress y no esté en la lista de IPs obtendrá un error con acceso prohibido.

Bloquear el acceso al administrador WordPress a determinadas direcciones IPs

En este caso vamos a hacer lo contrario que es bloquear el acceso a determinadas IPs, es decir, permitimos el acceso al administrador a todas las IPs excepto las que le indiquemos y podemos realizarlo de dos maneras, en el archivo .htaccess o desde nuestra cuenta de wePanel.

Bloquear el acceso al administrador WordPress desde el archivo .htaccess

Vamos a suponer que tenemos un ataque desde una IP y queremos proteger el acceso al administrador de esa IP y que las demás IPs sí que puedan tener acceso, añadiremos lo siguiente al archivo .htaccess que se encuentra en la carpeta wp-admin (si no está creado el archivo tendremos que crearlo).

order allow,deny
deny from 186.34.162.198
allow from all

Bloquear el acceso al administrador WordPress desde wePanel

Podemos bloquear accesos a nuestra página web a determinadas IPs desde nuestra cuenta de wePanel para ello accedemos a nuestra cuenta de wePanel -> Seguridad -> Bloquear IP

 

Bloquear IPs desde WePanel

Bloquear IPs desde WePanel

Solo tendremos que añadir la IP y pulsar el botón Bloquear :

Añadir IPs a bloquear

Añadir IPs a bloquear

Una vez hayamos añadido un nuevo bloqueo, nos mostrará una pantalla de confirmación y añadirá la IP (o el rango) en el listado de bloqueos.

Podemos eliminar cualquier bloqueo que tengamos configurado haciendo click en el icono de la papelera que nos encontramos a la derecha de cada uno de los bloqueos que tengamos configurados.

Lista de IPs bloqueadas

Lista de IPs bloqueadas

 

Proteger el acceso al archivo wp-admin con un Usuario y Contraseña

Otra opción interesante es proteger el acceso al archivo wp-admin con un Usuario y Contraseña antes que se pueda acceder al login de WordPress, vamos a ver cómo podemos hacerlo desde nuestra cuenta de wePanel:

Una vez estemos en nuestra cuenta de WePanel accedemos al bloque Archivos -> Privacidad de directorio

 

Privacidad de directorio desde wePanel

Privacidad de directorio desde wePanel

 

En la nueva ventana veremos un listado de las carpetas que tenemos en Public_html, tendremos que desplegar la carpeta donde está la instalación y seleccionar la carpeta wp-admin:

 

Directorio protegido WePanel

Directorio protegido WePanel

 

Se nos cargará un formulario donde tendremos distintas opciones:

  • Nombre para el directorio protegido: añadiremos un nombre que se mostrará en el pre-login de acceso, por ejemplo podemos poner ” Acceso restringido “
  • Usuario: como si de un acceso al administrador de cualquier plataforma añadimos un nombre de usuario
  • Contraseña: añadimos una contraseña de acceso
  • Por ultimo pulsamos en Proteger Directorio

 

Formulario Proteger directorio

Formulario Proteger directorio

 

Una vez lo tengamos veremos que se añadió el directorio protegido en la lista de directorios protegidos, si alguna vez queremos eliminarlo podemos hacerlo seleccionando el botón Opciones:

 

Listado Directorios protegidos

Listado Directorios protegidos

 

Cada vez que intentemos acceder al administrador de WordPress nos mostrará un pre-login donde tendremos que añadir el usuario y la contraseña que hayamos configurado anteriormente

 

pre-login de acceso a la carpeta wp-admin

pre-login de acceso a la carpeta wp-admin


 

Conclusión

Proteger el acceso al administrador de WordPress es algo que tenemos que tomarnos muy en serio si queremos evitar disgustos y como hemos podido ver existen muchas opciones para implementarlo.

Como recomendación principal tener siempre una copia de seguridad con la que podamos volver atrás si nos encontramos en una situación donde hemos sido atacados por un Hacker y además nos permitirá dormir más tranquilos sabiendo que siempre podemos volver a un estado anterior.

Artículos relacionados:

¿Te ha resultado útil este artículo?

Black Friday 2024