Analiza la Salud de tu WordPress comercial@webempresa.com

El directorio wp-admin de WordPress contiene los archivos de la administración de WordPress y, como tales, solo deberían ser accesibles para los usuarios administradores.

Para acceder a esa área de administración se solicitará un usuario y contraseña, pero nunca está de más tomar medidas de seguridad adicionales para proteger el acceso a la administración de la web.

Ten en cuenta que si alguien consigue tu usuario y contraseña, ya sea por fuerza bruta (probar montones de contraseñas) o por otro método, estarás poniendo en grave peligro el trabajo realizado en tu web.

Existen varias formas de proteger el directorio wp-admin de WordPress, aquí vamos a ver algunas de ellas:

Proteger el directorio wp-admin con una contraseña usando .htaccess

El archivo .htaccess se puede encontrar en los servidores Apache y pueden servir para desempeñar multitud de tareas útiles. Una de ellas sería proteger un determinado directorio de forma que al tratar de acceder a él nos solicite un usuario y contraseña, con lo que añadiremos una capa de seguridad adicional.

Para conseguir esto, deberemos crear un archivo de nombre .htaccess (ojo, lleva un punto delante de «htaccess»). Después deberemos editarlo y añadir un código como el siguiente:

AuthType Basic
AuthName "Acceso restringido"
AuthUserFile "/home/NOMBRECUENTA/.htpasswds/public_html/wp-admin/passwd"
require valid-user

Aquí, /home/NOMBRECUENTA/.htpasswds/public_html/wp-admin/passwd sería la ruta al archivo que contiene el usuario y contraseña de acceso, en este caso llamado passwd. Es importante que este archivo se encuentre alojado fuera de la ruta donde se encuentran los archivos de la web, para aumentar la seguridad.

En el archivo passwd deberemos colocar el usuario y contraseña, teniendo en cuenta que esta contraseña va encriptada.

Para generar estos datos podemos utilizar una página como la siguiente: http://www.htaccesstools.com/htpasswd-generator/

Aquí veremos que después de poner el usuario y contraseña nos generará un código. Este código será el que deberemos poner dentro del archivo passwd, que deberá estar colocado en la ruta que hayamos configurado. Para el ejemplo anterior, la ruta sería /home/NOMBRECUENTA/.htpasswds/public_html/wp-admin

Si el panel de control de nuestra cuenta de hosting es CPanel, podemos realizar este proceso de una forma mucho más sencilla. Hemos preparado un tutorial en vídeo donde se explica cómo proteger directorio con contraseña en CPanel.

Restringir el acceso a la administración de WordPress a determinadas IP

Cuando nos conectamos a internet, lo hacemos a través de una determinada dirección IP, que ayuda a identificar nuestra conexión. Si disponemos de una IP fija, podríamos restringir el acceso al directorio wp-admin para que solo sea accesible a usuarios que se conecten desde esa IP, o grupo de IPs si queremos tener más de una IP de acceso.

Antes de utilizar este sistema debes de tener en cuenta que cuando contratamos un servicio de ADSL o cable, normalmente la dirección IP asignada será dinámica, es decir, esa dirección IP desde donde nos conectamos puede variar entre sesiones, por lo que no sería recomendable utilizar este sistema de protección (existen sistemas para forzar una IP, pero no lo vamos a tratar aquí).

Supongamos que queremos permitir solo el acceso a la administración de la web desde las IPs 10.11.12.13 y 110.120.210.220. En tal caso deberemos crear un archivo .htaccess que tendremos que colocar en el directorio wp-admin, y dentro de él, deberemos añadir el siguiente código:

order deny,allow
allow from 10.11.12.13
allow from110.120.210.220
deny from all

En el código anterior, solo tendremos que cambiar las IPs que he puesto de ejemplo por las que vayas a necesitar. Puede añadir más líneas de «allow from» para cada IP.

¡Ojo! Ten en cuenta lo que supone este método de seguridad. Si, por ejemplo, te encuentras de viaje y quieres acceder a la administración de WordPress desde otro equipo, no podrás hacerlo, a menos que apliques cambios en la configuración del archivo .htaccess.

Proteger el acceso de usuarios a la administración utilizando algún sistema de Captcha

Normalmente, cuando se intenta un acceso a la administración de WordPress mediante fuerza bruta no es una persona la encargada de ir probando distintos usuarios y contraseñas, sino que lo habitual es que esa tarea sea realizada por un robot o programa creado específicamente para estas labores (no se cansan y son más rápidos).

Es por ello que añadiendo un sistema de captcha en el apartado de acceso a la administración conseguiremos evitar este tipo de ataques, a menos que el robot también sea capaz de superar el captcha.

Para integrar un sistema de captcha en el login de la administración de WordPress existen varios plugins específicos para realizar esta tarea.

Una buena opción sería usando los plugins WP Login reCAPTCHAWP-reCAPTCHA.

Cambiar la página de acceso a la administración

Para acceder a la administración de WordPress podemos utilizar una dirección como la siguiente: www.nombredenuestrowordpress.com/wp-admin. Una opción para mejorar la seguridad sería cambiar este /wp-admin por otro nombre personalizado por nosotros como /acceso.

Una forma fácil de poder hacer esto sin necesidad de aplicar cambios en ningún archivo sería utilizar algún plugin como el Move Login.

Simplemente tendremos que instalar el plugin y configurarlo para indicarle las página de acceso, desconexión, recordatorio de contraseña, etc.

Por supuesto, existe otros plugins de seguridad para WordPress que permiten aumentar la protección de la administración de la web.

WP Doctor te informará de las novedades en temas de Seguridad para que duermas más tranquilo.

5/5 (1 Review)