Siguiendo este sencillo tutorial paso a paso, podrás proteger WordPress de hackers que intenten acceder a tu blog o página web mediante brute-force attacks

Desde hace unos meses estoy sufriendo un ataque de fuerza bruta (Brute-Force Attack) en uno de mis blogs, por lo que he decidido proteger WordPress de hackers y evitar males mayores.

Ataque de fuerza bruta

Me enteré de este ataque gracias a que tengo instalado el plugin Securi Security y recibí un email con los datos. No le presté mucha atención, pero poco a poco mi bandeja de entrada se llenó de emails con nuevos intentos.

Decidí cambiar el acceso a la parte trasera del blog, del predeterminado wp-admin o wp-login a otro más complejo. Para ello instalé otro plugin, en este caso Rename wp-login.php. Todo iba como la seda durante el siguiente mes, hasta que volví a recibir emails de accesos erróneos, las arañas habían encontrado el nuevo acceso. Era la guerra.

Proteger login con .htpasswd y .htaccess

Decidí ponerme serio y crear una clave de acceso para llegar hasta el panel de WordPress. Estos son los pasos:

Tutorial para proteger WordPress de hackers

Lo primero es desactivar el redireccionamiento del login si lo tienes instalado y activado. En mi caso desactive el plugin Rename Wp-Login, aunque hay otros.

Abre el archivo .htcaccess mediante ftp (está en el root). Yo uso FileZilla aunque se puede hacer mediante otros programas o directamente en el panel del hosting. Una vez abierto hay que pegar:

<Files “protected.html”>
AuthName “Username and password required”
AuthUserFile /home/fullpath/.htpasswd
Require valid-user
AuthType Basic
</Files>

Crea un archivo en esa misma carpeta, con el nombre, por ejemplo ruta.php y pega lo siguiente:

<?php
echo realpath(dirname(__FILE__));

Guarda el archivo.

Es el momento de abrir dicho archivo en un navegador para conocer la ruta. La url sería la siguiente:

http://www.tublog.com/ruta.php

Al abrir el archivo en el navegador te aparecerá una dirección parecida a esta:

/homepages/XX/XXXXXXXXXX/htdocs/wordpress

Copia la dirección y borra el archivo para que no puedan acceder a él. Ojo, es muy importante, bórralo después de copiarlo y antes de continuar.

Ahora pega esa dirección sustituyéndola en el archivo .htaccess en lo que hay seguido a AuthUserFile, es decir, por:

/home/fullpath/.htpasswd

Quedaría algo parecido a esto:

/homepages/XX/XXXXXXXXXX/htdocs/wordpress/.htpasswd

Antes de guardar y cerrar, cambia la línea:

<Files “protected.html”>

Por la dirección de acceso, como por ejemplo:

<Files “wp-login.php”>

 OJO, NO GUARDES AÚN EL ARCHIVO.

Ahora crea un archivo .htpasswd y ábrelo. Hay que generar el encriptado de las claves de acceso, por lo que pincha aquí. Te llevará a una página para crear el encriptado.

Rellena los campos usuario y contraseña. Te dará el texto encriptado para copiar en el archivo .htpasswdSerá tal que así:

Fulanito:XXXXXXXXXXXXXXXXXXXXXXXXXXXX/XXXXXXX.

Puedes hacerlo tantas veces como usuarios tengas en el blog, o dejar una sola clave de acceso para todos.

Guarda ahora los dos archivos y/o súbelos al servidor, tanto el .htpasswd como el .htaccess.

Listo. Con esto habrás puesto otro granito de arena para proteger WordPress de hackers.

Por Pedro Luque

Summary
Article Name
Tutorial para proteger WordPress de hackers
Author
Description
Siguiendo este sencillo tutorial paso a paso, podrás proteger WordPress de hackers que intenten acceder a tu blog o página web mediante brute-force attacks