Avisos
Vaciar todo
Hola,
Tengo instalado el plugin WPS Hide Login y con él he modificado la ruta de acceso para que no sea la estándar wp-admin o wp login. Tengo creado otra url de acceso.
También tengo instalado el plugin Limit Login Attempts Reloaded.
El problema es que sigo teniendo muchos intentos y bloqueos de ips por intentos fallidos. En las últimas 24 horas he tenido 93 intentos fallidos, que según el comentario que me aparece "Tu sitio tiene actualmente un riesgo bajo de actividad de fuerza bruta", a mi me parecen muchos y me preocupa.
He visto este artículo y vídeo, https://www.webempresa.com/blog/que-son-ficheros-wp-admin-y-wp-login-wordpress.html. El asunto es que no sé si utilizando los plugins que ya comenté, si hago lo que comenta este artículo me servirá de algo o si ya que he modificado la ruta de acceso con el plugin WPS Hide Login, tendría que hacer algo diferente a lo que se comenta en ese artículo.
Bueno, ya me contarás.
Muchas gracias
Contenido solo visible a usuarios registrados
Respondido : 02/10/2023 11:52 am
Hola José Luis.
Si accedes a wp-admin carga el login del administrador ?
Tienes la web en mantenimiento y no puedo comprobarlo.
Veo que tienes el plugin WPS Hide Login pero está desactivado.
Ten en cuenta que los países de habla no hispana estan bloqueados y no pueden acceder al administrador.
.- Activa de nuevo el plugin WPS Hide Login, elimina el registro de Limit Login Attempts y comprueba los intentos de acceso que tienes en las próximas 24 Horas.
Un saludo
Respondido : 02/10/2023 2:57 pm
Hola @pepesoler,
Sobre lo que me comentas:
Si accedes a wp-admin carga el login del administrador ? No, carga la página 404 que es la que tengo configurada desde el plugin WPS Hide Login en la opción de "URL de Redirección" - "Redirige la URL cuando alguien intenta acceder a la página «wp-login.php» y al directorio «wp-admin» sin haber accedido"
Tienes la web en mantenimiento y no puedo comprobarlo. Aunque esté en modo mantenimiento puedes ver la url a la que se redirige. Pero si quieres la puedo abrir momentáneamente para que puedas hacer tus comprobaciones. Ya me dirás
Veo que tienes el plugin WPS Hide Login pero está desactivado. Pues de hecho el plugin está activado. Como comentaba en el mensaje inicial, tengo creado en ese plugin otra url para entrar y para los casos de que intenten acceder al wp-admin, se les redirige a la página 404. De hecho, aunque esté en modo mantenimiento, si intentas entrar a wp-admin, la url que verás es "404"
Ten en cuenta que los países de habla no hispana estan bloqueados y no pueden acceder al administrador.
.- Activa de nuevo el plugin WPS Hide Login,(como te decía, el plugin sí está activado) elimina el registro de Limit Login Attempts y comprueba los intentos de acceso que tienes en las próximas 24 Horas. Ya lo he hecho y veré mañana que cifras muestra. Ayer llegué a los 105 intentos fallidos en 24 horas. Ahora mismo estoy en 78 intentos en las últimas 24 h.
Gracias
Respondido : 02/10/2023 4:30 pm
Hola José Luis,
Como comentas veo que me dirige a la URL 404 si intento ingresar con wp-admin
Comprueba lo que te indica el análisis en las próximas 24 horas sobre los intentos de inicio de sesión y nos comentas como va todo.
De manera general puedes revisar otras alternativas para proteger esta URL en el siguiente artículo que tenemos disponible → https://www.webempresa.com/blog/modifica-el-login-de-wordpress-para-evitar-ataques-de-fuerza-bruta.html
Un saludo
Respondido : 02/10/2023 4:53 pm
Hola @karen,
Por eso te aparece la url 404, porque para evitar los ataques de fuerza bruta tengo configurada otra url para acceder. El problema es que por algún motivo, de alguna manera lo han averiguado y tengo muchos intentos de ataques de fuerza bruta incluso a esa otra url que he creado.
Respondido : 02/10/2023 5:13 pm
Hola José Luis,
Entiendo, en este caso revisa las alternativas que se comentan en el articulo que te he comentado anteriormente, también puedes probar cambiar nuevamente la urta de acceso desde el plugin de WPS Hyde Login
También puedes probar con otro plugin como → https://wordpress.org/plugins/hide-wp-admin-login/
Verificalo y nos comentas como va todo
Un Saludo
Respondido : 02/10/2023 5:29 pm
Buenos días @karen,
Desde que hablamos la última vez, he modificado la url de acceso en dos ocasiones y veo que no paro de recibir intentos fallidos.
Lo que más me preocupa, no se si es normal o no (ya me dirás), es que los intentos son con nombres de usuarios que tengo creados para hacer pruebas ya que la web aún no está abierta al público.
Revisando los registros de bloqueos del plugin Limit Login Attempts Reloaded, he observado que la puerta de enlace utilizada en todos los intentos es "wp_xmlrpc".
He leído vuestro artículo https://www.webempresa.com/blog/que-es-xml-rpc-en-wordpress-y-como-desactivarlo.html , ¿Crees que sería bueno desactivarlo? o ¿Me recomendarías hacer algo antes de desactivarlo por esa vía? No quiero más plugins, con lo que usaría el método de edición del archivo .htaccess que comentáis en el artículo. ¿Correcto?
Bueno, ya me contarás.
Gracias y un saludo
Respondido : 05/10/2023 8:45 am
Hola Jose Luis
Si, puedes deshabilitar y revisar si bajan esos accesos.
Comprueba también que tanto el login de WordPress como el de Woocommerce, si lo tienes instalado, y todos los formularios estén protegidos por un Captcha.
Un saludo
Respondido : 05/10/2023 9:17 am
Hola Jose luis.
Ok, dejo el hilo abierto por si necesitas retomarlo
Un saludo
Respondido : 05/10/2023 12:13 pm
