Como a todos los propietarios de un sitio de WordPress, nos preocupa el que podamos tener algún ataque de fuerza bruta a la administración de WordPress (wp-login), ya que si un usuario consigue acceder a la administración de WordPress con privilegios de administrador podrá realizar todas las modificaciones que desee, instalar, eliminar, modificar contenido. Incluso añadir cualquier código que pueda afectar a nuestra web.
Por suerte disponemos de algunos métodos con los que podemos poner un poco más difícil el acceso a la administración de WordPress a todos esos usuarios que no deseamos y mejorar la seguridad de WordPress.
En esta entrada veremos varios métodos para poder restringir el acceso a la administración de WordPress mediante IPs
Tabla de contenidos
Permitir el acceso al administrador WordPress solo a determinadas direcciones IPs
Una de las alternativas que tenemos para restringir el acceso a la administración de wordPress es permitir el acceso a ciertas IPs siempre que tengamos una IP Fija.
Cada usuario dispone de una IP para acceder a internet por lo que podemos aprovecharnos de eso para poder permitir el acceso a WordPress solo a esas IPs. Si solo permitimos el acceso a las IPs que nos interesan que tengan acceso cualquier usuario con una IP distinta no podrá acceder a la Administración.
Permitir el acceso al archivo wp-admin
Vamos a suponer que tenemos varios usuarios en WordPress con acceso, Pepe ( administrador ), Francisco ( Editor ), Jaime ( Colaborador ), solo tendremos que añadir las IPs de esos usuarios para que puedan acceder.
Para conseguirlo crearemos un archivo .htaccess en WordPress en el directorio wp-admin y añadiremos el siguiente código:
order deny,allow Deny from all # IP Pepe allow from 84.28.36.198 # IP Francisco allow from 87.96.21.76 # IP Jaime allow from 122.246.25.74
En el código hemos añadido un comentario para cada IP ” # IP Pepe ” con lo que podemos identificar cuál es la IP de cada usuario.
Con la opción Deny from all le estamos indicando que deniegue el acceso a todos los usuarios y con allow from le indicamos que solo esas IP pueden tener acceso.
Tendrás que reemplazar las IPs por la IP pública desde la que se conecta cada usuario. Puedes averiguar la IP de cada usuario accediendo a wetools
Permitir el acceso al archivo wp-login
Como en el caso anterior podemos permitir el acceso al archivo wp-login añadiendo lo siguiente al archivo .htaccess, pero en este caso el que se encuentra en la raíz de la instalación:
<Files wp-login.php> order deny,allow Deny from all # IP Pepe allow from 84.28.36.198 # IP Francisco allow from 87.96.21.76 # IP Jaime allow from 122.246.25.74 </Files>
Con esto, cualquier usuario que intente acceder al administrador de WordPress y no esté en la lista de IPs obtendrá un error con acceso prohibido.
Bloquear el acceso al administrador WordPress a determinadas direcciones IPs
En este caso vamos a hacer lo contrario que es bloquear el acceso a determinadas IPs, es decir, permitimos el acceso al administrador a todas las IPs excepto las que le indiquemos y podemos realizarlo de dos maneras, en el archivo .htaccess o desde nuestra cuenta de wePanel.
Bloquear el acceso al administrador WordPress desde el archivo .htaccess
Vamos a suponer que tenemos un ataque desde una IP y queremos proteger el acceso al administrador de esa IP y que las demás IPs sí que puedan tener acceso, añadiremos lo siguiente al archivo .htaccess que se encuentra en la carpeta wp-admin (si no está creado el archivo tendremos que crearlo).
order allow,deny deny from 186.34.162.198 allow from all
Bloquear el acceso al administrador WordPress desde wePanel
Podemos bloquear accesos a nuestra página web a determinadas IPs desde nuestra cuenta de wePanel para ello accedemos a nuestra cuenta de wePanel -> Seguridad -> Bloquear IP
Bloquear IPs desde WePanel
Solo tendremos que añadir la IP y pulsar el botón Bloquear :
Añadir IPs a bloquear
Una vez hayamos añadido un nuevo bloqueo, nos mostrará una pantalla de confirmación y añadirá la IP (o el rango) en el listado de bloqueos.
Podemos eliminar cualquier bloqueo que tengamos configurado haciendo click en el icono de la papelera que nos encontramos a la derecha de cada uno de los bloqueos que tengamos configurados.
Lista de IPs bloqueadas
Proteger el acceso al archivo wp-admin con un Usuario y Contraseña
Otra opción interesante es proteger el acceso al archivo wp-admin con un Usuario y Contraseña antes que se pueda acceder al login de WordPress, vamos a ver cómo podemos hacerlo desde nuestra cuenta de wePanel:
Una vez estemos en nuestra cuenta de WePanel accedemos al bloque Archivos -> Privacidad de directorio
Privacidad de directorio desde wePanel
En la nueva ventana veremos un listado de las carpetas que tenemos en Public_html, tendremos que desplegar la carpeta donde está la instalación y seleccionar la carpeta wp-admin:
Directorio protegido WePanel
Se nos cargará un formulario donde tendremos distintas opciones:
- Nombre para el directorio protegido: añadiremos un nombre que se mostrará en el pre-login de acceso, por ejemplo podemos poner ” Acceso restringido “
- Usuario: como si de un acceso al administrador de cualquier plataforma añadimos un nombre de usuario
- Contraseña: añadimos una contraseña de acceso
- Por ultimo pulsamos en Proteger Directorio
Formulario Proteger directorio
Una vez lo tengamos veremos que se añadió el directorio protegido en la lista de directorios protegidos, si alguna vez queremos eliminarlo podemos hacerlo seleccionando el botón Opciones:
Listado Directorios protegidos
Cada vez que intentemos acceder al administrador de WordPress nos mostrará un pre-login donde tendremos que añadir el usuario y la contraseña que hayamos configurado anteriormente
pre-login de acceso a la carpeta wp-admin
Conclusión
Proteger el acceso al administrador de WordPress es algo que tenemos que tomarnos muy en serio si queremos evitar disgustos y como hemos podido ver existen muchas opciones para implementarlo.
Como recomendación principal tener siempre una copia de seguridad con la que podamos volver atrás si nos encontramos en una situación donde hemos sido atacados por un Hacker y además nos permitirá dormir más tranquilos sabiendo que siempre podemos volver a un estado anterior.
Artículos relacionados:
- Proteger el acceso WP-Admin
- WPCerber
- Copia de seguridad WordPress
- Bugs WordPress
- Cambiar contraseña en WordPress
- Cambiar la URL de acceso de WordPress
¿Te ha resultado útil este artículo?
Equipo de contenidos de Webempresa.com
Soporte CMS Webempresa
