El acceso al administrador de Wordpress (wp-admin) esta protegido por un formulario de acceso. Para entrar al escritorio tienes que escribir tu nombre de usuario y contraseña; sin embargo si te tomas en serio tu sitio web —y debes hacerlo— esta medida de seguridad es insuficiente.
Sin la protección adecuada, un ataque de fuerza bruta revelará tu nombre de usuario y contraseña. Y una vez el atacante consigue entrar al escritorio puede inutilizar tu sitio o —aún peor— puede atacar a otros sitios, robar tu base de datos usuarios o distribuir código malicioso (malware).
Y ¿cómo puedes proteger el wp-admin de un atacante? Te voy a enseñar una técnica 100% efectiva para bloquear accesos no deseados basada en averiguar y bloquear la dirección IP del atacante.
Bloquear el wp-admin por IP
Una IP —o dirección IP— es un número que identifica los equipos conectados Internet. Así cada vez que te conectas a Internet, tu proveedor de comunicaciones te asigna una dirección IP que es única y sirve para comunicarse con los servidores que albergan las páginas web.
Una dirección IP tiene este aspecto:
1.2.3.4
Todos los que estamos conectados a Internet —incluidos los atacantes— tenemos una dirección IP que nos identifica inequívocamente. Así pues, conocida la dirección IP del atacante puedes bloquear su acceso para evitar que continúe el ataque.
Bloquear una IP atacante
Si estás sufriendo un ataque de fuerza bruta desde una determinada dirección IP —la encontrarás en los registros del plugin Wordfence— es posible bloquear su acceso creando un fichero .htaccess dentro de la carpeta public_html con este código:
order allow,deny
deny from 1.2.3.4
allow from all
Antes de guardar el fichero sustituye 1.2.3.4 por la dirección IP que quieres bloquear.
El fichero .htaccess es un fichero de texto que sirve para configurar los servidores web dando instrucciones especiales. Colocalo dentro del directorio que quieres configurar usando el administrador de ficheros de cPanel.
Bloquear varias IPs
También es posible bloquear mas de una dirección IP añadiendo más líneas de bloqueo, como en este ejemplo:
order allow,deny
deny from 1.2.3.4
deny from 1.2.3.5
deny from 1.2.3.0/24
allow from all
Puedes utilizar este código mientras los hackers están atacando tu sitio pero no evitará futuros ataques de fuerza bruta. El siguiente método protege el acceso al escritorio de una forma más activa, evitando ataques antes de que se produzcan.
Bloquear todas las IPs excepto la tuya
Si eres el único usuario que entra al escritorio de WordPress es la protección ideal. El primer paso es averiguar cual es tu dirección IP para luego subir a la carpeta wp-admin un fichero .htaccess con este código:
order deny,allow
allow from 1.2.3.4
deny from all
Sustituye 1.2.3.4 por tu dirección IP. El código da instrucciones al servidor web para bloquear todas las conexiones al escritorio excepto la tuya.
Añade todas las direcciones IP desde las que te conectas, la de tu casa y la de la oficina.
Esta técnica tiene un pero. Y es que, tú mismo no vas a poder entrar al escritorio si tu dirección IP cambia o cuando estás de viaje. En estos casos, tendrás que actualizar el fichero .htaccess al que añadirás la nueva dirección IP desde la que estás conectado.
El bloqueo del wp-admin por IP sirve para proteger de forma preventiva tu WordPress y es una técnica de seguridad básica que puedes utilizar en cualquier momento.
¿Te ha gustado? Mándame ánimos con un comentario. ¡Gracias!
Mabel.
