WordPress es el CMS más usado en internet, lo que lo convierte en el objetivo de ataques. Veamos algunos métodos para asegurarlo.
Guía
Podemos seguir los consejos de wpappsec
Contenidos
Bloquear acceso xmlrpc.php
WordPress utiliza el archivo xmlrpc.php para permitir que aplicaciones externas interactuen con él, como pingbacks de otros blogs, Microsoft Word o el plugin Jetpack.
También es el método utilizado por muchos atacantes, por lo que vamos a ver como bloquearlo si no lo utilizas:
Añade al .htaccess estas líneas
<Files xmlrpc.php>
order deny,allow
deny from all
#allow from 123.123.123.123
</Files>Puedes descomentar la última línea e indicar alguna IP en concreto para permitir usar xmlrpc desde esa dirección.
Podemos comprobar facilmente si se ha bloqueado accediendo desde el navegador a www.tupagina.com/xmlrpc.php.
Si no está bloqueado mostrará el mensaje:
XML-RPC server accepts POST requests only.Si está bloqueado devolverá el error 403.
También podemos utilizar algunos plugins, que nos permitirán además indicar a qué plugins queremos permitir el uso de xmlrpc mientras bloqueamos al resto, como Control XML-RPC publishing.
Mas información: Hostinger
Restringir acceso a la administración por IP
De forma similar al bloqueo del xmlrpc.php, podemos restringir el acceso al panel de administración de WordPress añadiendo ésto al .htaccess:
<Files wp-login.php>
order deny,allow
deny from all
allow from 1.2.3.4
</Files>Cambiamos 1.2.3.4 por la IP a la que queremos permitir acceso y listo.
Para añadir más IP, basta con añadir otra línea allow, y también podemos indicar rangos de IP con la notación CIDR, por ejemplo: 1.0.0.0/8
Cambiar dirección de administración
Por defecto, para entrar a la administración de WordPress usamos la dirección wp-admin.
Si nuestra página tiene relativo éxito, tendremos cientos de intentos de acceso diarios a esa dirección y en caso de usar una contraseña insegura, no será difícil que un hacker logre acceder.
Podemos evitar esto cambiando la dirección de administración por otra que no sea fácil de adivinar (de nada servirá cambiar wp-admin por admin) con el plugin WPS Hide Login.
Una vez instalado vamos a Ajustes, WPS Hide Login y cambiamos la URL de acceso por la que queramos.
Limitar intentos de acceso fallidos
Los atacantes intentarán entrar continuamente a nuestra web usando diferentes usuarios y contraseñas cada vez, por lo que un buen sistema de protección es impedir el acceso desde IPs que hayan usado un usuario o contraseña incorrecta varias veces seguidas.
Para esto tenemos el plugin Limit Login Attempts Reloaded.
Tras instalarlo, en Ajustes, Limit Login Attempts, ajustes, podemos indicar un mail donde nos enviará un aviso cada vez que realice un bloqueo y cambiar opciones como el número de reintentos permitidos y el tiempo de bloqueo de la IP.
Comprobar vulnerabilidades
El plugin wpvulnerability analiza nuestro WordPress, plugins y temas y en caso de haber alguna vulnerabilidad conocida en la versión que tengamos instalada, mostrará una aviso en la pantalla de salud del sitio.
Deja una respuesta