Analiza la Salud de tu WordPress comercial@webempresa.com

proteger el archivo wp-login.php en wordpressEl archivo wp-login.php, situado en la raíz de nuestro sitio web desarrollado con WordPress, es el que se encarga de solicitar el nombre de usuario y contraseña para identificar a los usuarios. Se usa, por ejemplo, para acceder a la administración de la web.

Por tanto, proteger el acceso a este archivo aumentará la seguridad de nuestro WordPress.

Hay que tener en cuenta que no siempre se utiliza el proceso de acceso de usuarios para entrar en la administración de la web, sino que en algunos casos podemos tener un área de acceso para que los usuarios consulten determinados datos en el frontal de la web. Para estos casos, no deberíamos proteger el archivo wp-login.php, ya que impediríamos el acceso a los usuarios.

En otra entrada de este blog ya habíamos visto cómo proteger el acceso a la administración de WordPress.

Todo lo que se cuenta en ese artículo ya es válido para el tema que nos ocupa. Aquí vamos a complementar esa información con algún método para proteger el propio archivo wp-login.php.

Para ello podemos agregar una protección de tipo .htaccess, como habíamos visto en la otra entrada para proteger el acceso al directorio wp-admin.

En este caso, deberemos editar el archivo .htaccess que tenemos en la raíz de nuestro sitio web, y añadir al comienzo del mismo un código como el siguiente (el archivo ya puede contener otro código que no hay que cambiar):

<files wp-login.php>
AuthType Basic
AuthName "Acceso restringido"
AuthUserFile "/home/NOMBRECUENTA/.htpasswds/public_html/passwd"
require valid-user
</files>

En el código anterior, /home/NOMBRECUENTA/.htpasswds/public_html/passwd sería la ruta al archivo que contiene el usuario y contraseña de acceso, en este caso llamado passwd. Es muy recomendable que este archivo se encuentre alojado fuera de la ruta donde se encuentran los archivos de la web, así evitaremos el acceso al mismo vía web.

En el archivo passwd deberemos colocar el usuario y contraseña, teniendo en cuenta que esta contraseña va encriptada. Para generar estos datos podemos utilizar una página como la siguiente: http://www.htaccesstools.com/htpasswd-generator/

Aquí veremos que después de poner el usuario y contraseña nos generará un código. Este código será el que deberemos poner dentro del archivo passwd, que deberá estar colocado en la ruta que hayamos configurado. Para el ejemplo anterior, la ruta sería /home/NOMBRECUENTA/.htpasswds/public_html

De esta forma, cuando accedamos a este archivo para iniciar sesión de usuario de WordPress, nos solicitará un usuario y contraseña adicional previo a la carga de la página.

Otra alternativa sería restringir el acceso al archivo solo a determinadas IPs (recuerda que deberías tener una IP fija para usar esta opción). Para ello, habrá que añadir un código como el siguiente al inicio del archivo .htaccess que hay en la raíz de la web:

<files wp-login.php>
order deny,allow
allow from 10.11.12.13
allow from 100.120.140.160
deny from all
</files>

En el ejemplo anterior, solo se permite el acceso al archivo wp-login.php para las IPs 10.11.12.13 y 100.120.140.160. Podemos añadir o eliminar líneas «allow from» para disponer de más o menos IPs con el acceso permitido.

0/5 (0 Reviews)