WordPress es el CMS más usado en internet, lo que lo convierte en el objetivo de ataques. Veamos algunos métodos para asegurarlo.
Bloquear acceso xmlrpc.php
WordPress utiliza el archivo xmlrpc.php para permitir que aplicaciones externas interactuen con él, como pingbacks de otros blogs, Microsoft Word o el plugin Jetpack.
También es el método utilizado por muchos atacantes, por lo que vamos a ver como bloquearlo si no lo utilizas:
Añade al .htaccess estas líneas
<Files xmlrpc.php>
order deny,allow
deny from all
#allow from 123.123.123.123
</Files>
Puedes descomentar la última línea e indicar alguna IP en concreto para permitir usar xmlrpc desde esa dirección.
Podemos comprobar facilmente si se ha bloqueado accediendo desde el navegador a www.tupagina.com/xmlrpc.php.
Si no está bloqueado mostrará el mensaje:
XML-RPC server accepts POST requests only.
Si está bloqueado devolverá el error 403.
También podemos utilizar algunos plugins, que nos permitirán además indicar a qué plugins queremos permitir el uso de xmlrpc mientras bloqueamos al resto, como Control XML-RPC publishing.
Mas información: Hostinger
Cambiar dirección de administración
Por defecto, para entrar a la administración de WordPress usamos la dirección wp-admin.
Si nuestra página tiene relativo éxito, tendremos cientos de intentos de acceso diarios a esa dirección y en caso de usar una contraseña insegura, no será difícil que un hacker logre acceder.
Podemos evitar esto cambiando la dirección de administración por otra que no sea fácil de adivinar (de nada servirá cambiar wp-admin por admin) con el plugin WPS Hide Login.
Una vez instalado vamos a Ajustes, WPS Hide Login y cambiamos la URL de acceso por la que queramos.
Limitar intentos de acceso fallidos
Los atacantes intentarán entrar continuamente a nuestra web usando diferentes usuarios y contraseñas cada vez, por lo que un buen sistema de protección es impedir el acceso desde IPs que hayan usado un usuario o contraseña incorrecta varias veces seguidas.
Para esto tenemos el plugin Limit Login Attempts Reloaded.
Tras instalarlo, en Ajustes, Limit Login Attempts, ajustes, podemos indicar un mail donde nos enviará un aviso cada vez que realice un bloqueo y cambiar opciones como el número de reintentos permitidos y el tiempo de bloqueo de la IP.
Deja una respuesta