WordPress es todo un mundo. Con todos estos plugin, widgets, opciones, etc. Pero un paso muy importante es protegerlo de posibles ataques.

A mi eso de que cualquiera pueda intentar hacer login en mi WordPress no me gusta nada, pero por lo que veo muchos blogs (todos los que he comprobado hasta ahora) no bloquean el acceso a la carpeta wp-admin. Como para casi todo en la informática hay varias formas para acometer esta tarea.

Se puede dejar acceder solo a unas IPs concretas a dicha carpeta. Esto es tan fácil como añadir estas líneas al fichero wp-admin/.htaccess:

deny all access
deny from all
allow from W1.X1.Y1.Z1 W2.X2.Y2.Z2 etc...

Este sistema es muy util si los ordenadores desde los que se administra el blog tienen IP fija, pero no es lo más habitual en estos tiempos. Por eso os propongo bloquear el acceso a la carpeta wp-admin con una contraseña. Si tenéis un CPanel es tan sencillo como ir a la opción “Password protect directories” seleccionar la carpeta, activar el bloqueo por contraseña y luego añadir un usuario a dicho bloqueo.

Si no tenéis CPanel, para conseguir el mismo resultado lo que hay que hacer es crear un fichero de claves (.htpasswd) mediante el comando “htpasswd -c .htpasswd usuario” (supongo que en Windows habrá un comando equivalente, pero yo lo he hecho en GNU/Linux), subir dicho fichero a nuestro hosting (ponerle permisos 640 para que no lo pueda leer cualquiera) y editar el fichero wp-admin/.htaccess más o menos así:

AuthType Basic
AuthName "Password Required"
AuthUserFile "/ruta_al_fichero_.htpasswd"
require valid-user

Ya sea con el CPanel o a mano es posible que al intentar acceder a /wp-admin aparezca el típico error de “Página no encontrada”. Esto se soluciona configurando los errores 401 y 403 en el fichero .htaccess de la raíz del blog con nuestra propia página de error (si no tenéis una habrá que crearla claro):

ErrorDocument 401 /wp-content/404.php
ErrorDocument 403 /wp-content/404.php

¡El que avisa no es traidor! Protegeros un poco hombre.