Base de conocimientos

Búsqueda Inteligente

Proteger archivo "wp-login.php" de Wordpress contra ataques de fuerza bruta

Más del 30% de internet es Wordpress, esto suele ser una ventaja pero también una desventaja al tener demasiadas vulneraciones conocidas.

Uno de los métodos más usados para atacar instalaciones de Wordpress es hacerse con las contraseñas de administrador para poder acceder y manipular el sitio al antojo del atacante.

Si tienes una contraseña segura, eso no lo es todo, ya que aunque es probable que no sea descubierta, un ataque de fuerza bruta si provoca consumo de recursos en tu instalación provocando que tu sitio web sea lento durante el ataque (si crees que esto no te puede pasar a tí, queremos que sepas que nosotros recibimos entre 300 y 1,000 ataques diarios a archivos wp-login.php)

Habilita el muestreo de archivos ocultos

Ingresa a tu panel de control cPanel, posteriormente entra al "administrador de archivos" y por último haz clic en "Configuración" ahí, deberá habilitar la opción"Mostrar archivos ocultos (dotfiles)"

Crea un archivo .wpadmin

Dentro del mismo administrador de archivos, desplázate hasta fuera del directorio public_html y crea un archivo llamado .wpadmin (con el punto al inicio. Es importante que el archivo sea creado fuera del public_html para que no pueda ser vulnerado. Un ejemplo sería el siguiente:

/home/tucuenta/public_html/tu_wordpress
/home/tucuenta/.wpadmin

Genera un usuario y contraseña seguros

Ingresa a la página: http://www.htaccesstools.com/htpasswd-generator/ y coloca un usuario y contraseña seguros para bloquear tu archivo wp-login.php y copia el código resultante.

Dicho código, deberás pegarlo dentro del archivo .wpadmin que recién creamos. Puedes hacer esto desde el mismo administrador de archivos haciendo clic derecho y seleccionando "editar"

Crea un archivo .htaccess 

Por último, deberás crear un archivo llamado ".htaccess" dentro de tu directorio que contiene tu instalación Wordpress. Es probable que ya exista un archivo con este nombre, si es el caso, puedes editarlo y agregar únicamente las siguientes lineas al final:

ErrorDocument 401 "Lo siento. No tienes permitido entrar a /wp-admin."
ErrorDocument 403 "Forbidden"
<FilesMatch "wp-login.php">
AuthName "Authorized Only"
AuthType Basic
AuthUserFile /home/tucuenta/.wpadmin
require valid-user
</FilesMatch>

No olvides sustituir por los directorios correctos las rutas anteriormente descritas.

Una vez que hayas completada esta acción, tendrás una instalación de Wordpress mucho más segura.