No te revelaré nada nuevo si te digo que WordPress es una de las mejores alternativas para montar tu sitio web. Las ventajas frente a otros CMS son varias, y prueba de ello es el gran porcentaje de proyectos web que se realizan a partir del mismo. No solo blogs, también tiendas online, páginas de reservas, campus virtuales, etc.
El hecho de que esté tan extendido también le hacen ser objetivo para hackers. Evitar las vulnerabilidades es a veces un quebradero de cabeza. Si lo que quieres es mantener tu sitio seguro, la mejor opción es utilizar un servicio profesional, si bien, hay una serie de medidas sencillas que pueden evitarte más de un quebradero de cabeza.
Protege la página de acceso al CMS
Un de los puntos vulnerables en WordPress está en la página de acceso del propio CMS: wp-login.php y /wp-admin/.
Estos ataques se conocen como ataque de fuerza bruta, y se trata en intentar recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.
Cambiar la ruta de acceso a la administración de WordPress
Si evitamos que lleguen a la página de registro ya estamos avanzando mucho.
Hay varias alternativas.
Modificando el fichero .htaccess
# BEGIN Ocultar acceso WP RewriteRule ^miurldeacceso$ https://%{SERVER_NAME}/wp-login.php?key=mipropiakey123&redirect_to=https://%{SERVER_NAME}/wp-admin/index.php [L] RewriteCond %{HTTP_REFERER} !^https://%{SERVER_NAME}/wp-admin RewriteCond %{HTTP_REFERER} !^https://%{SERVER_NAME}/wp-login.php RewriteCond %{HTTP_REFERER} !^https://%{SERVER_NAME}/login RewriteCond %{QUERY_STRING} !^key=mipropiakey123 RewriteCond %{QUERY_STRING} !^action=logout RewriteCond %{QUERY_STRING} !^action=lostpassword RewriteCond %{REQUEST_METHOD} !POST # END Ocultar acceso WP
*Consultado en: https://ayudawp.com/oculta-la-pantalla-de-acceso-de-wordpress-sin-plugins/
Te en cuenta que tienes que cambiar:
- La clave oculta: mipropiakey123 por aquella que consideres (solo números y letras en minúscula) en línea 2 y 7.
- URL de acceso: miurldeacceso por el nombre que quieras sustituir a wp-login. Por ejemplo: paneladmin
Según este ejemplo, el login de mi wordpress lo realizaría a través de www.midominio.com/miurldeacceso
WPS Hide Login
Si no quieres modificar el .htaccess, existen plugins que realizan esta acción.
WPS Hide Login es un plugin ligero que permite personalizar la URL de acceso. Las páginas /wp-login.php y /wp-admin/ se vuelven inaccesibles, debiendo hacer el registro necesariamente por la url personalizada. Es compatible con BuddyPress, bbPress o Limit Login Attempts y User Switching.
Una vez instalado, a través de la página de Ajustes > Generales definimos la nueva ruta.
Utiliza contraseñas complejas
Los ataques por fuerza bruta son métodos de prueba y error. Para aumentar la efectividad en ocasiones se combinan con métodos, como «ataque de diccionario», que no es otra cosa que utilizar las palabras del diccionario como base para los intentos. Por ello, no conviene utilizar una palabra, por muy cómodo y fácil de recordar que sea.
Mi consejo: busca un método sencillo de recordar para crear contraseñas complejas. Métodos hay varios, por ejemplo, piensa en una frase y conviértelo en contraseña:
- Frase: España tiene 17 comunidades autónomas y 2 ciudades autónomas.
- Password: Es=17Com+2Ciu
Utiliza un captcha
Puedes añadir una medida de seguridad al proceso de acceso. Una opción es hacerlo a través de un captcha.
Google Captcha (reCAPTCHA)
Google Captcha (reCaptcha) es un plugin eficiente, no solo para el acceso al CMS, sino también en el resto de formularios de la web. Al acceder, se debe confirmar que no somo un robot para que el formulario se envíe. Es efectivo y fácil para el usuario.