Especialista en servidores y Hosting VPS
Resguardar a wp-admin
/
RSS Feed
El acceso a nuestro WordPress debe de ser la puerta fortificada que protege a nuestro castillo… Digo sitio web jejejeje. Estaba repasando el post Proteger acceso a wp-admin y pensé que seria buen día para recordar algunas cosas básicas de seguridad.
- Aunque no es un castillo.
- Nuestra web es nuestra casa en internet.
- Es donde recibimos a nuestros visitantes.
- Y dónde ellos pueden interactuar.
- La seguridad ya sabemos que no es un fin en sí mismo.
- No podemos garantizar 100% de seguridad a nuestros clientes
- Vamos minimizando riesgos.
- Y cómo el clásico ejemplo de la cebolla… Vamos protegiendo por capas a nuestros proyectos.
- En el post Javier Casares nos resume muy bien la forma en la que podemos proteger a nuestro wp-admin:
- Por bloqueo de IP o usuario/pass
- Cambiando la URL
- Dependiendo de las conexiones en tu país eso de la IP podría resultar complicado de implementar.
- Y dependiendo de tus plugins el proteger las peticiones a wp-login.php puede ser problemático.
- El plugin WPS Hide Login es un viejo conocido en este podcast…
- Y uno de los primeros plugins qué instalo en mis webs.
- Acompañado de Limit Login Attempts Reloaded
- Con este duo dinámico ocultamos la puerta de entrada… Y si alguien logra dar con la puerta le permitimos un numero determinado de intentos.
- Uno, dos, tres… Y luego a las mazmorras por 24, 48, 72 horas.
- Este limite de intentos nos ayuda a prevenir ser atacados con un sistema de fuerza bruta.
- Pero muchas veces dejamos pistas…
- Y le decimos a los malos… Nuestro nombre de usuario.
- ¿Que no?
- Anda a tu acceso…
- Pone tu nombre de usuario pero con una contraseña errónea… ¿Qué dice?
- WordPress muestra sí ha fallado el usuario/contraseña o lo la contraseña.
- Así que sin querer, le estamos diciendo que el usuario si existe…
- Podemos muy facilmente solucionar esto:
function disable_wordpress_login_errors() {
return 'Meeeeec!';
}
add_filter('login_errors', 'disable_wordpress_login_errors');
- Este snippet reemplaza los mensajes por una sola frase…
- Que Javier ha puesto como Meeeeec!
- Pero que vos podés hilar mas fino y cambiarla por:
- Al infinito y mas alla…
- ¿Me estás hablando a mí?
- Creo que este no es el principio de una hermosa amistad
- Hasta la vista, baby
- Hablando de opciones, podés añadir un sistema de reCaptcha en el acceso a tu web.
- Así agregamos una capa más de dificultad.
- Dentro del repositorio hay muchos plugins que te ayudaran con la tarea: Showing results for: Login reCAPTCHA
No nos confiemos, mantengámonos atentos y busquemos siempre mejores formas de resguardar nuestras webs y las webs de nuestros clientes.
Alex tengo un Podcast xD pasate una vuelta, el primero salio bastante mal el audio, ya lo he ido mejorando poco a poco.
https://podcast.studio93marketing.com
Miguel ¡Animo con ese podcast! Al principio siempre hay margen de mejora… Lo importante es ahora que ya comenzaste: No parar.
Saludos.