Resguardar a wp-admin

Implementador WordPress y VPS
Implementador WordPress y VPS
Resguardar a wp-admin
icon loader
/

El acceso a nuestro WordPress debe de ser la puerta fortificada que protege a nuestro castillo… Digo sitio web jejejeje. Estaba repasando el post Proteger acceso a wp-admin y pensé que seria buen día para recordar algunas cosas básicas de seguridad.

resguardar a wp admin
  • Aunque no es un castillo.
  • Nuestra web es nuestra casa en internet.
  • Es donde recibimos a nuestros visitantes.
  • Y dónde ellos pueden interactuar.
  • La seguridad ya sabemos que no es un fin en sí mismo.
  • No podemos garantizar 100% de seguridad a nuestros clientes
  • Vamos minimizando riesgos.
  • Y cómo el clásico ejemplo de la cebolla… Vamos protegiendo por capas a nuestros proyectos.
  • En el post Javier Casares nos resume muy bien la forma en la que podemos proteger a nuestro wp-admin:
    • Por bloqueo de IP o usuario/pass
    • Cambiando la URL
  • Dependiendo de las conexiones en tu país eso de la IP podría resultar complicado de implementar.
  • Y dependiendo de tus plugins el proteger las peticiones a wp-login.php puede ser problemático.
  • El plugin WPS Hide Login es un viejo conocido en este podcast…
  • Y uno de los primeros plugins qué instalo en mis webs.
  • Acompañado de Limit Login Attempts Reloaded
  • Con este duo dinámico ocultamos la puerta de entrada… Y si alguien logra dar con la puerta le permitimos un numero determinado de intentos.
  • Uno, dos, tres… Y luego a las mazmorras por 24, 48, 72 horas.
  • Este limite de intentos nos ayuda a prevenir ser atacados con un sistema de fuerza bruta.
  • Pero muchas veces dejamos pistas…
  • Y le decimos a los malos… Nuestro nombre de usuario.
  • ¿Que no?
  • Anda a tu acceso…
  • Pone tu nombre de usuario pero con una contraseña errónea… ¿Qué dice?
  • WordPress muestra sí ha fallado el usuario/contraseña o lo la contraseña.
  • Así que sin querer, le estamos diciendo que el usuario si existe…
  • Podemos muy facilmente solucionar esto:
function disable_wordpress_login_errors() {
  return 'Meeeeec!';
}
add_filter('login_errors', 'disable_wordpress_login_errors');
  • Este snippet reemplaza los mensajes por una sola frase…
  • Que Javier ha puesto como Meeeeec!
  • Pero que vos podés hilar mas fino y cambiarla por:
    • Al infinito y mas alla…
    • ¿Me estás hablando a mí?
    • Creo que este no es el principio de una hermosa amistad
    • Hasta la vista, baby
  • Hablando de opciones, podés añadir un sistema de reCaptcha en el acceso a tu web.
  • Así agregamos una capa más de dificultad.
  • Dentro del repositorio hay muchos plugins que te ayudaran con la tarea: Showing results for: Login reCAPTCHA

No nos confiemos, mantengámonos atentos y busquemos siempre mejores formas de resguardar nuestras webs y las webs de nuestros clientes.

Si querés ponerte en contacto conmigo, podes escribirme en mi Formulario de contacto aquí en la web 😉

2 comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada.

  1. Alex tengo un Podcast xD pasate una vuelta, el primero salio bastante mal el audio, ya lo he ido mejorando poco a poco.

    https://podcast.studio93marketing.com

    • Miguel ¡Animo con ese podcast! Al principio siempre hay margen de mejora… Lo importante es ahora que ya comenzaste: No parar.
      Saludos.