Protegiendo tu WordPress
WordPress es todo un mundo. Con todos estos plugin, widgets, opciones, etc. Pero un paso muy importante es protegerlo de posibles ataques.
A mi eso de que cualquiera pueda intentar hacer login en mi WordPress no me gusta nada, pero por lo que veo muchos blogs (todos los que he comprobado hasta ahora) no bloquean el acceso a la carpeta wp-admin. Como para casi todo en la informática hay varias formas para acometer esta tarea.
Se puede dejar acceder solo a unas IPs concretas a dicha carpeta. Esto es tan fácil como añadir estas líneas al fichero wp-admin/.htaccess:
deny all access
deny from all
allow from W1.X1.Y1.Z1 W2.X2.Y2.Z2 etc...
Este sistema es muy util si los ordenadores desde los que se administra el blog tienen IP fija, pero no es lo más habitual en estos tiempos. Por eso os propongo bloquear el acceso a la carpeta wp-admin con una contraseña. Si tenéis un CPanel es tan sencillo como ir a la opción “Password protect directories” seleccionar la carpeta, activar el bloqueo por contraseña y luego añadir un usuario a dicho bloqueo.
Si no tenéis CPanel, para conseguir el mismo resultado lo que hay que hacer es crear un fichero de claves (.htpasswd) mediante el comando “htpasswd -c .htpasswd usuario” (supongo que en Windows habrá un comando equivalente, pero yo lo he hecho en GNU/Linux), subir dicho fichero a nuestro hosting (ponerle permisos 640 para que no lo pueda leer cualquiera) y editar el fichero wp-admin/.htaccess más o menos así:
AuthType Basic
AuthName "Password Required"
AuthUserFile "/ruta_al_fichero_.htpasswd"
require valid-user
Ya sea con el CPanel o a mano es posible que al intentar acceder a /wp-admin aparezca el típico error de “Página no encontrada”. Esto se soluciona configurando los errores 401 y 403 en el fichero .htaccess de la raíz del blog con nuestra propia página de error (si no tenéis una habrá que crearla claro):
ErrorDocument 401 /wp-content/404.php
ErrorDocument 403 /wp-content/404.php
¡El que avisa no es traidor! Protegeros un poco hombre.
Relacionados:
Por fin Adobe Photoshop CS3 en GNU/Linux con Wine Esta es una razón más para abandonar definitivamente el lado oscuro de Windows. Para los reacios a... |
Post 200 Casi sin darme cuenta he llegado al post 200. Ya hace año y medio que empecé y sigo sin tener esto... |
Cuando me despierto Ya he vuelto de mis vacaciones por Barcelona y la Costa Brava, pero de momento estoy un poco vago así... |
SGAE vs Creative Commons Visto en palomitasymaiz. ... |
01/07/2009 13:44
Pero mola poder dejar a los usuarios registrarse y acceder a su wp-admin para ver los posts o comentarios
Aún así, útil explicación si solo lo quieres para ti. Gracias!
Saludos!
02/07/2009 09:55
Yo es que debo ser un paranoico jejeje Imagínate que se descubre un bug en WordPress y pueden acceder como administrador… ay ay ay