Kaitse meetodid Wp-admin kausta

Kirjalik el 28 Märts 2012
poolt SeguridadWP

6 Kommentaar

La carpeta wp-admin es una de las protecciones más prioritarias que se deben de hacer en WordPress junto, näiteks, el wp-config.php y el .htaccess. Seega, debes saber que un acceso no autorizado a ésta pondrá en peligro toda la seguridad del blog y como consecuencia de ello, se puede sufrir un ataque que puede llegar a implicar una escalada de privilegios, cosa que se hace más peligrosa cuando se trata de un multidomain hosting, donde puedes ver caer todas tus webs de la noche a la mañana.

Seguridad y Protección de WP-ADMIN

Tres cosas fundamentales sobre la administración

  • Lo primero, los permisos. El CHMOD mínimo para operar con wp-admin es 755 y los archivos que incluye a 644, pero esto no es suficiente. Tõepoolest, esta configuración es la instalación típica que se instala por defecto en la mayoría de servidores que utilizan autoinstaladores.
  • Lo segundo, y como se ha insistido siempre en este blog, elaborar contraseñas complejas y largas para que sea más difícil su crackeo mediante fuerza bruta o métodos de desencriptación.
  • Lo tercero, y siempre que sea posible, utiliza el protocolo SFTP (SSH File Transfer Protocol) en vez de FTP, sobretodo cuando estás trabajando en un red pública o una red local en la que existen más personas o trabajadores.

Proteger wp-admin sin usar el panel de control del hosting

  • Renombrar la carpeta y cambiar la URL: existe un plugin llamado CLAU (Custom Login  and Admin URLs) pero que, según informa su autor, sólo puede hacerlo con la carpeta wp-login.php. En cambio, el plugin Lockdown WP Admin si que puede hacerlo. Testea primero ambos plugins -las changelogs no son muy seguidos- y si no te convences, puedes hacerlo manualmente tal y como se muestra en el vídeo, reemplazando en los archivos las cadenas que contienen "wp-admin" por el "nuevonombredeurl".

  • Bloqueo de acceso a wp-admin a través de IP con htaccess: este método ya lo vimos en el post sobre .htaccess. Muy útil cuando administras tu blog desde casa o la oficina pero con una IP fija. Lihtsalt, tienes que editar el fichero .htaccess y añadir el siguiente código (sustituye tu.direccion.ip.aqui por el valor númerico de tu IP):

order allow,deny
deny from all
allow from tu.direccion.ip.aqui

Proteger wp-admin usando cPanel como panel del hosting

Võite proteger la carpeta con un simple click. Tan sólo debes loguearte en tu panel de administración del hosting que incluya cPanel e ir a la siguiente sección:

proteger directorios en cpanel

¿Y qué pasará? Pues que primero deberás introducir un user/pass (que previamente crearás) para acceder al directorio wp-admin y luego deberás poner el usario admin de wordpress y su password para entrar a wp. Digamos que es como una doble verificación bajo un sistema de seguridad de nivel medio. Si no tienes cPanel, tanto DirectAdmin kui Plesk poseen esta característica en sus respectivas versiones.

Mõnikord, esto devuelve un viga 404 por diferente motivos: falta algo en el .htaccess del wp-admin, que la IP que tengas sea estática (la más frecuente), que la ejecución de wp-admin lo haga el usuario Apache del server (habría que permitir la IP del hosting, como se hace en los módulos de seguridad o en las iptables de los firewalls).

Este error se da mucho en usuarios que tiene DirectAdmin como panel, así que el código que les ayudará a reparar el error es el siguiente:

ErrorDocument 401 default

AuthType Basic
AuthName "Restricted Area"
AuthUserFile /home/admin/domains/tudominio.com/public_html/wp-admin/.htpasswd
require valid-user

Si tienes otro panel de administración, revisa el .htaccess del wp-admin y añade arriba del todo la secuencia:

ErrorDocument 401 default

Jaga seda postitust sõpradega tus!
Postitaja SeguridadWP ja Julgeolekunõukogu
Tags: , , , , , ,

Muud teemad kaaluda (Seotud)

  • Nr seotud sisu :(

6 Kommentaar

  1. PC-SERVEIS, Diseño Web ütleb:
    05/04/2012 juures 9:34 pm

    Muchas Gracias por tus Consejos Seguridad WP!!

    Realmente todas las Publicaciones son muy interesantes ;)

    He realizado todos los pasos que comentas y además he agregado un plugin llamado Captcha para evitar robots.

    Un Saludo desde Barcelona ! !

  2. Josue Alain ütleb:
    18/04/2012 juures 12:42 juures

    Yo actualmente tengo un htaccess por ip.

    No se si con este es mas que suficiente o habria que implementar mas de los aqui publicados.

  3. SeguridadWP ütleb:
    18/04/2012 juures 5:29 juures

    Hola Josué, gracias por tu colaboración. Si trabajas en una red local y siempre en tu casa, no hay problema con limitar el acceso por ip. Si usas Cloudflare, hay que configurar que PageRules. Regards.

  4. Còmic ütleb:
    17/05/2012 juures 12:00 pm

    UfMuchas gracias por el esfuerzo de compartir!!

  5. Carlos ütleb:
    15/06/2012 juures 1:07 juures

    Es mejor utilizar una clave con espaciospara evitar robos

  6. Daniel (OCG) ütleb:
    19/11/2012 juures 7:09 juures

    Gracias. Me sirvio mucho lo del .htaccess y la corrección del archivo.

Kirjuta kommentaar

SI mida saab kasutada HTML koodi ja emotikonide kommentaarides.
NO solvanguid lubatud, Spam linke ja sõnumeid SMS-vormingus.

Sinu kommentaar modereerib esimene kord, kui sa seda. Pärast seda ei ole vaja, kui kasutate samu andmeid.