Administrar un sitio de WordPress casi siempre atrae intentos de inicio de sesión maliciosos. Los intentos de fuerza bruta para conectarse a WordPress son tan comunes que hay una página en el Codex dedicado al tema. Te tenemos por en otro lugar ya se presentó un método manual en un tutorial anterior. Puedes echarle un vistazo.
Hay muchas estrategias para lidiar con este problema y la mejor estrategia es implementar múltiples estrategias. En este tutorial, lo guiaré a través de cómo implementar una de las estrategias más simples: ocultar su página de inicio de sesión de WordPress.
Tengo un sitio de WordPress en particular que se instaló hace unos años. Es una instalación estándar de WordPress, que se ejecuta con un conjunto típico de complementos. Para acceder a la página de inicio de sesión, todo lo que tiene que hacer es ir a " wp-admin / "O" /wp-login.php ".
Este sitio no ve una tonelada de tráfico. En un mes, genera alrededor de 5000 páginas vistas. Sin embargo, la página de inicio de sesión del sitio experimenta intentos de inicio de sesión maliciosos de forma sorprendentemente regular. El complemento de protección Jetpack está habilitado en este sitio y monitorea la cantidad de intentos de inicio de sesión maliciosos. Desde que se agregó el módulo en marzo del año pasado, se han bloqueado más de 11.600 XNUMX intentos de inicio de sesión maliciosos.
Si hace un poco de matemática, esto equivale a casi 800 intentos de inicio de sesión maliciosos por mes, aproximadamente 25 por día, o un intento de inicio de sesión malicioso cada 58 minutos.
Los intentos de conexión ocurren a un ritmo constante. Pueden pasar semanas sin un intento de conexión malicioso. Luego, de repente, se registran varios intentos de conexión en poco tiempo, intentando romper la página de inicio de sesión de su sitio.
¿Por qué debería ocultar la página de inicio de sesión de su sitio?
¿Qué puedo decirte antes de empezar? Si su sitio le pide a otros que inicien sesión, los intentos de inicio de sesión maliciosos son inevitables. Esta estrategia no funcionará para ti. En este tipo de situación, necesita que su página de inicio de sesión sea fácil de encontrar para que sus usuarios puedan usar su sitio fácilmente. Una de las cosas que puede hacer para combatir los intentos maliciosos es usar un complemento que limite los intentos de conexión.
Sin embargo, si su sitio no está dedicado al área de miembros, entonces en este caso, puede considerar ocultar la página de inicio de sesión.
Ahora, veamos cómo puede ocultar la página de inicio de sesión en su sitio de WordPress.
Paso 1: instala WordPress en su propio directorio
Probablemente ya sepas cuándo y cómo instalar WordPress en una subcarpeta. No es una tarea demasiado compleja y puede ejecutar WordPress desde un subdirectorio, ya sea una instalación nueva o no.
Sin embargo, si desea mover una instalación de WordPress existente, antes de hacer cualquier otra cosa, considere crear una copia de seguridad de su sitio.
Paso 2: Ocultar la URL de la página de inicio de sesión y Redirigir wp-login.php
Probablemente sepa que el comportamiento predeterminado de WordPress es el siguiente: WordPress carga la página de inicio de sesión cuando accede a wp-login.php (entonces http://www.example.com/wp-login.php). Si usas " / Wp-admin "(siguiendo tu nombre de dominio en la barra de direcciones), será redirigido automáticamente a "wp-login.php" (Así que para www.exemple.com/wp-login.php).
Si ha instalado WordPress en un subdirectorio, entonces ya ha hecho parte de lo que debe hacer para ocultar su página de inicio de sesión. La verdad, sin embargo, es que en este momento alguien todavía puede encontrar su página de inicio de sesión con bastante facilidad.
A menos que haya tomado medidas para evitar comportamientos estándar de WordPress, porque incluso con WordPress instalado en un subdirectorio, si alguien intenta acceder a http://example.com/wp-login.php, será redirigido a la página de inicio de sesión correcta, que es, por ejemplo, similar a esta http://example.com/dwiiw/wp-login.php (con dwiiw a subcarpeta).
El siguiente paso es bloquear el acceso a wp-login.php y redirigir a una página 404 o una página que no sea su página de inicio de sesión, y utilizar una URL de inicio de sesión totalmente personalizada que será difícil de adivinar.
Debe saber qué elegirá como nombre. No te lleves algo complicado. Verá a continuación algunos complementos que lo ayudarán a ocultar fácilmente su página de inicio de sesión.
1 - WPS Ocultar inicio de sesión
El eslogan lo dice todo: reemplazará " wp-login.php Por lo que desees.
Este complemento solo hace una cosa. Simplifica una URL personalizada en lugar de utilizar la URL estándar. Una vez que este complemento esté instalado y activado, " / Wp-admin "Y" /wp-login.php Son inaccesibles, reemplazados por una URL personalizada de su elección.
Con más de 50.000 instalaciones activas y una brillante calificación de 4.7 de 5 estrellas, WPS Hide Login es una solución confiable si desea reemplazar la URL de inicio de sesión rápidamente.
2 - Mejorador de seguridad y ocultación de WP
La premisa básica detrás de este complemento es que enmascara el hecho de que usa WordPress.
Ocultar que su sitio utiliza WordPress implica crear URL personalizadas y deshabilitar todas las URL predeterminadas. Este complemento tiene más de 1000 instalaciones activas, lo que no es abrumador, pero es una solución que también te será de gran utilidad.
3 - Límite de intentos de inicio de sesión de Cerber
Cerber es un complemento bastante popular que le permite limitar los intentos de conexión. Está activo en más de 10.000 sitios y tiene una calificación excepcional de 4.9 de 5 estrellas.
Como probablemente habrá adivinado, probablemente también deberá limitar los intentos de inicio de sesión, incluso en la nueva página de inicio de sesión.
Para terminar
La seguridad no es algo que debas tomar a la ligera. Si su página de inicio de sesión no es lo suficientemente segura, arrepentirse no ayudará mucho porque probablemente tendrá que reinstalar tu blog (si ha adquirido el hábito de realizar copias de seguridad periódicas).
Eso es todo por esta lista. Siéntase libre de compartir este artículo con sus amigos en sus redes sociales favoritas.
hola y gracias por su artículo,
Aquí estoy buscando hacer que mi sitio sea aún más seguro
porque cambio la página de inicio de sesión regularmente
y a menudo tengo intentos de conexión
nada más que la mañana 130 intenta y cada intento diferente IP
¿No existe un complemento que pueda, por ejemplo, cambiar automáticamente la página de inicio de sesión a intervalos regulares?
para calmar a unos pocos piratas, porque realmente se vuelve pesado
Gracias de antemano
Chris
Hola,
No se ninguno.