Comenzamos una serie de consejos rápidos y útiles de WordPress con una serie de posts orientados a la seguridad Web. Estos consejos pretenden ser muy cortos y fáciles de entender.

Aunque con el ejemplo nos centremos en WordPress, este consejo es extensible a cualquier tipo de Web, solo que el método de aplicación será distinto.

Esconder la pantalla de Login

Uno de los métodos más empleados por hackers para hacerse con el control de tu página Web es el del ataque por fuerza bruta. Un ataque por fuerza bruta básicamente consiste en intentar averiguar el usuario y contraseña de un acceso privado a base de probar una y otra vez. El acceso privado por defecto de una página wordpress suele ser el del nombre del dominio de tu página seguido de “/wp-admin“. Si tu Web se llama www.panaderiapepe.com, el acceso privado a tu página (backoffice) sería www.panaderiapepe.com/wp-admin

Es fácil entender por tanto que si los hackers encuentran tu página Web, pensarán que hay muchas probabilidades de saber dónde está la pantalla de acceso a la parte privada. Por hacer la obligada analogía: Si el ladrón sabe dónde vives y puede ver la puerta de tu casa, aunque tenga que abrir la puerta, tendrá más posibilidades de hacerlo y robarte que si no supiera dónde vives ni tiene acceso a tu puerta.

Los hackers utilizan pequeños programas (scripts) que por decirlo de alguna manera, se plantan en la URL del backoffice de tu Web y realizan continuados intentos de acceso con cientos, miles o cientos de miles de combinaciones de usuario y contraseña hasta dar con la combinación correcta.

Esconder la pantalla de Login con un Plugin (método recomendado)

Existen multitud de plugins en WordPress para esconder la pantalla de Login. Uno de los que recomendamos es WPS Hide Login https://es.wordpress.org/plugins/wps-hide-login/

Lo que haremos con este plugin es cambiar la URL habitual de tu Backoffice por otro distinto. Esto resulta en una manera elegante y fácil de seguir utilizando el backoffice con una URL que solo conocerá el administrador de la Web.

Para poner en marcha este plugin, los pasos son muy sencillos:

  1. Ir a Plugins -> Añadir nuevo
  2. Buscar “WPS Hide Login”
  3. Descarga este plugin y actívalo.
  4. Al activar el plugin, tu página wordpress redirigirá a la sección de “Ajustes generales”
  5. En la página de “Ajustes generales” baja abajo del todo y donde pone “URL de acceso” pon una URL personalizada.

Otros métodos para proteger la pantalla de Login.

Existen diversas maneras de esconder o proteger la pantalla del backoffice. En SocialFuturo siempre  vamos a recomendar la más óptima para usuarios no expertos y en este caso es el procedimiento citado arriba. A continuación hacemos mención a otros métodos:

  • Con una contraseña .htppasswd
    Este método consiste en ponerle otra contraseña al acceso original del backoffice wp-admin. De esta manera no queda expuesta la pantalla original de login.Este método puede realizarse para añadir otra capa de seguridad a la del cambio de nombre del Backoffice. Para realizarlo:

    • Ir a la Web http://www.htaccesstools.com/htpasswd-generator/ y generando una contraseña.
    • Copia la contraseña generada y pégalo en un fichero de texto. El fichero de texto puedes  crearlo con el bloc de notas de Windows o textedit de MAC.
    • Renombra el fichero de texto .htpasswd y súbelo a la raiz de tu página Web.
  • Restringir el acceso de tu backoffice a direcciones IP concretas
    Este método puede impedir el acceso a tu Backoffice desde cualquier ubicación que no sea por ejemplo, el de tu casa u oficina. Es un método contundente y recomendado en caso de querer añadir otra capa de seguridad a la del cambio de nombre del Backoffice. Esta acción puede realizarse modificando manualmente el fichero .htaccess de la raiz de tu Web o contratando un servicio de cortafuegos Web (WAF) como el de Sucuri Inc.

    • Edita el fichero .htaccess de la raiz de tu Web y añade lo siguiente, sustituyendo las xxx por la dirección IP que quieras permitir acceso.:
      <Files wp-login.php>
      Order Deny, Allow
      Deny from all
      Allow from xx.xx.xx.xx
      </Files>
    • Entra en la carpeta wp-admin y edita o crea el fichero .htaccess si no existe, añadiendo también lo siguiente, sustituyendo las xxx por la dirección IP que quieras permitir acceso.:
      Order Deny,Allow
      Deny from all
      Allow from xx.xx.xx.xx