Resguardar a wp-admin

Implementador WordPress
Implementador WordPress
Resguardar a wp-admin
Loading
/

El acceso a nuestro WordPress debe de ser la puerta fortificada que protege a nuestro castillo… Digo sitio web jejejeje. Estaba repasando el post Proteger acceso a wp-admin y pensé que seria buen día para recordar algunas cosas básicas de seguridad.

resguardar a wp admin
  • Aunque no es un castillo.
  • Nuestra web es nuestra casa en internet.
  • Es donde recibimos a nuestros visitantes.
  • Y dónde ellos pueden interactuar.
  • La seguridad ya sabemos que no es un fin en sí mismo.
  • No podemos garantizar 100% de seguridad a nuestros clientes
  • Vamos minimizando riesgos.
  • Y cómo el clásico ejemplo de la cebolla… Vamos protegiendo por capas a nuestros proyectos.
  • En el post Javier Casares nos resume muy bien la forma en la que podemos proteger a nuestro wp-admin:
    • Por bloqueo de IP o usuario/pass
    • Cambiando la URL
  • Dependiendo de las conexiones en tu país eso de la IP podría resultar complicado de implementar.
  • Y dependiendo de tus plugins el proteger las peticiones a wp-login.php puede ser problemático.
  • El plugin WPS Hide Login es un viejo conocido en este podcast…
  • Y uno de los primeros plugins qué instalo en mis webs.
  • Acompañado de Limit Login Attempts Reloaded
  • Con este duo dinámico ocultamos la puerta de entrada… Y si alguien logra dar con la puerta le permitimos un numero determinado de intentos.
  • Uno, dos, tres… Y luego a las mazmorras por 24, 48, 72 horas.
  • Este limite de intentos nos ayuda a prevenir ser atacados con un sistema de fuerza bruta.
  • Pero muchas veces dejamos pistas…
  • Y le decimos a los malos… Nuestro nombre de usuario.
  • ¿Que no?
  • Anda a tu acceso…
  • Pone tu nombre de usuario pero con una contraseña errónea… ¿Qué dice?
  • WordPress muestra sí ha fallado el usuario/contraseña o lo la contraseña.
  • Así que sin querer, le estamos diciendo que el usuario si existe…
  • Podemos muy facilmente solucionar esto:
function disable_wordpress_login_errors() {
  return 'Meeeeec!';
}
add_filter('login_errors', 'disable_wordpress_login_errors');
  • Este snippet reemplaza los mensajes por una sola frase…
  • Que Javier ha puesto como Meeeeec!
  • Pero que vos podés hilar mas fino y cambiarla por:
    • Al infinito y mas alla…
    • ¿Me estás hablando a mí?
    • Creo que este no es el principio de una hermosa amistad
    • Hasta la vista, baby
  • Hablando de opciones, podés añadir un sistema de reCaptcha en el acceso a tu web.
  • Así agregamos una capa más de dificultad.
  • Dentro del repositorio hay muchos plugins que te ayudaran con la tarea: Showing results for: Login reCAPTCHA

No nos confiemos, mantengámonos atentos y busquemos siempre mejores formas de resguardar nuestras webs y las webs de nuestros clientes.

Si querés ponerte en contacto conmigo, podes escribirme en mi Formulario de contacto aquí en la web 😉

2 comentarios

  1. Alex tengo un Podcast xD pasate una vuelta, el primero salio bastante mal el audio, ya lo he ido mejorando poco a poco.

    https://podcast.studio93marketing.com

    • Miguel ¡Animo con ese podcast! Al principio siempre hay margen de mejora… Lo importante es ahora que ya comenzaste: No parar.
      Saludos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *