Gigastur

Servicios informáticos

615 654 407
info@gigastur.com

  • Inicio
  • Servicios
    • Asistencia a domicilio
    • Reparación de ordenadores
    • Mantenimiento para empresas
    • Diseño web y hosting
  • Precios
    • Mantenimiento para empresas
    • Diseño web
    • Asistencia a domicilio
    • Reparaciones en tienda
    • Bonos de mantenimiento
    • Alojamiento web
  • Trabajos realizados
  • Contacto
  • Blog
    • Comandos Linux
    • Comandos Windows
    • MySQL
    • Laravel
    • Steam
    • Herramientas Sysadmin
    • Recursos webmaster
  • Control remoto

Seguridad en WordPress

09/06/2020 por Igor García Deja un comentario

WordPress es el CMS más usado en internet, lo que lo convierte en el objetivo de ataques. Veamos algunos métodos para asegurarlo.

Contenidos

  • 1 Bloquear acceso xmlrpc.php
  • 2 Restringir acceso a la administración por IP
  • 3 Cambiar dirección de administración
  • 4 Limitar intentos de acceso fallidos

Bloquear acceso xmlrpc.php

WordPress utiliza el archivo xmlrpc.php para permitir que aplicaciones externas interactuen con él, como pingbacks de otros blogs, Microsoft Word o el plugin Jetpack.

También es el método utilizado por muchos atacantes, por lo que vamos a ver como bloquearlo si no lo utilizas:

Añade al .htaccess estas líneas

<Files xmlrpc.php>
order deny,allow
deny from all
#allow from 123.123.123.123
</Files>

Puedes descomentar la última línea e indicar alguna IP en concreto para permitir usar xmlrpc desde esa dirección.

Podemos comprobar facilmente si se ha bloqueado accediendo desde el navegador a www.tupagina.com/xmlrpc.php.

Si no está bloqueado mostrará el mensaje:

XML-RPC server accepts POST requests only.

Si está bloqueado devolverá el error 403.

También podemos utilizar algunos plugins, que nos permitirán además indicar a qué plugins queremos permitir el uso de xmlrpc mientras bloqueamos al resto, como Control XML-RPC publishing.

Mas información: Hostinger

Restringir acceso a la administración por IP

De forma similar al bloqueo del xmlrpc.php, podemos restringir el acceso al panel de administración de WordPress añadiendo ésto al .htaccess:

<Files wp-login.php>
order deny,allow
deny from all
allow from 1.2.3.4
</Files>

Cambiamos 1.2.3.4 por la IP a la que queremos permitir acceso y listo.

Para añadir más IP, basta con añadir otra línea allow, y también podemos indicar rangos de IP con la notación CIDR, por ejemplo: 1.0.0.0/8

Cambiar dirección de administración

Por defecto, para entrar a la administración de WordPress usamos la dirección wp-admin.

Si nuestra página tiene relativo éxito, tendremos cientos de intentos de acceso diarios a esa dirección y en caso de usar una contraseña insegura, no será difícil que un hacker logre acceder.

Podemos evitar esto cambiando la dirección de administración por otra que no sea fácil de adivinar (de nada servirá cambiar wp-admin por admin) con el plugin WPS Hide Login.

Una vez instalado vamos a Ajustes, WPS Hide Login y cambiamos la URL de acceso por la que queramos.

Limitar intentos de acceso fallidos

Los atacantes intentarán entrar continuamente a nuestra web usando diferentes usuarios y contraseñas cada vez, por lo que un buen sistema de protección es impedir el acceso desde IPs que hayan usado un usuario o contraseña incorrecta varias veces seguidas.

Para esto tenemos el plugin Limit Login Attempts Reloaded.

Tras instalarlo, en Ajustes, Limit Login Attempts, ajustes, podemos indicar un mail donde nos enviará un aviso cada vez que realice un bloqueo y cambiar opciones como el número de reintentos permitidos y el tiempo de bloqueo de la IP.

Categorías: WordPress Etiquetas: htaccess, seguridad, wordpress, xmlrpc

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Categorías

Enlaces

  • Abode PDF Reader
  • Actualizar a Windows 10
  • Anti Ransomware
  • Aviso de cookies
  • Browser Diet
  • Buenas practicas Ransomware
  • BuiltWith
  • cdlibre
  • Chocolatey
  • CIDR Calculator
  • Consulta numero móvil
  • Cual es mi IP
  • Descarga de DLL
  • Descarga de OCX
  • Descarga de RPM
  • Descarga de Windows y Office
  • Descarga de Windows y Office
  • DistroTest
  • Dumo
  • explainshell
  • File-extensions
  • FileHippo
  • Flash Player
  • Geolocalización Multi IP
  • HDDScan
  • htaccesstools
  • Ip Location
  • Kaspersky
  • LinuxServer.io
  • Máquinas Virtuales OSBoxes
  • Microsoft Doc
  • ms-vnext: Windows y Office
  • Ninite
  • Nirsoft
  • Open Source Alternatives
  • Patch My PC
  • PC decrapifier
  • PCI Lookup
  • PCI-IDS
  • pcidatabase
  • PCIids
  • Port Listener
  • Portable Freeware
  • Router Passwords
  • Saber tipografía de una foto
  • Shodan
  • Ssega
  • Sumo
  • Sysinternals
  • SystemRescueCd
  • Test de velocidad
  • The eye
  • Virustotal
  • Windows ISO
  • Windows Mini
  • WizTree
  • You Get Signal

Contacto

  • 615 654 407
  • info@gigastur.com

Entradas recientes

  • Crear archivos de diferentes tamaños para pruebas (dummy files) en Linux
  • Fping: Ping mejorado para Linux
  • Programas para facilitar la instalación y actualización de software en Windows
  • Outlook: acceder a la configuración avanzada de correo
  • Backups: Borg VS Restic

Control remoto

  • Control remoto Windows
  • Control remoto MAC
  • Versión completa Windows
  • Servicio Windows
  • Control remoto XP
  • Servicio XP

Aviso legal | Política de privacidad | Política de cookies

Utilizamos cookies para ofrecerte la mejor experiencia en nuestra web.

Puedes aprender más sobre qué cookies utilizamos o desactivarlas en los ajustes.

Gigastur
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.

Cookies estrictamente necesarias

Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.

Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.

Cookies de terceros

Esta web utiliza Google Analytics para recopilar información anónima tal como el número de visitantes del sitio, o las páginas más populares.

Dejar esta cookie activa nos permite mejorar nuestra web.

¡Por favor, activa primero las cookies estrictamente necesarias para que podamos guardar tus preferencias!