En las ultimas semanas 6 sitios WP de distintos clientes han sido atacados por varias IP’s alrededor del mundo, para un secuestro de datos y pedir rescate o ransomware. Mantener seguro tu WordPress es parte de la rutina, y proteger bloqueando el acceso al directorio wp-admin no debe ser pasado por alto. Es por eso que creamos este artículo de manera que puedas aprender a bloquear al público el acceso al panel administrador de WP.
A partir de que apliques estos cambios que vamos a contarte ahora mismo, solo tú y/o tus colaboradores tendrán acceso a wp-admin. Esto es importante tanto para proteger tu sitio web de ataques de ingreso por fuerza bruta al administrador, como para evadir visitas indeseadas a tu pantalla de login.
La URL wp-admin, wp-login.php o admin-ajax.php está consumiendo demasiados recursos.
Es posible que hayas llegado a esta nota por curioso. Si es así, bienvenido y es genial que estés buscando información y mejoras de forma proactiva o preventiva. Pero si por el contrario llegaste aquí porque tu WP te envía correos de un elevado intento de login (esto al usar un plugin para identificar los intentos fallidos) o bien el hosting te informa que tu WordPress está consumiendo más recursos de la cuenta, y puntualmente esto se produce en las URL de wp-admin, wp-login.php o admin-ajax.php, lo más probable es que estés siendo blanco de un ataque de ingreso por fuerza bruta, o un ataque para anegar el acceso a tu sitio web.
¡Pues manos a la obra y vamos a bloquear el acceso al público de tu wp-admin!
Bloquear y cambiar la URL del wp-admin de WordPress con un plugin.
Entre varios plugins o complementos de WordPress que probamos para bloquear o cambiar la URL del wp-admin, podemos recomendar WPS Hide Login. Este plugin te permite cambiar la ruta y ocultarla fácilmente.
Este plugin no hace cambios en el core, sino solo trabaja interceptando las solicitudes web a wp-admin y enviándolas a un error 404. El directorio wp-admin y la página wp-login.php se vuelven inaccesibles, y solo podrás ingresar recordando la dirección web que definas y si olvidas la URL personalizada de tu admin podrás volver atrás deshabilitando el plugin.
WPS Hide Login es compatible con WordPress Multisite, pero devido a las distintas versiones de otros plugins podría causar algún conflicto, esto siempre es posible.
Dentro de tu admin de WordPress ingresa a la sección de plugins y busca WPS Hide Login. Luego instálalo y actívalo como lo haces regularmente con cualquier otro plugin.
También recomendamos cambiar el usuario de siempre “admin” por otro más elaborado, la instalación de un Firewall como All In One Security y también el Limit Login Attempts para limitar el intento de accesos no autorizados y crear una lista negra de IP’s.
Si has hecho las cosas bien, cierra la sesión, y cuando quieras acceder a https://tusitio.com/wp-admin ya no debería mostrarte la pantalla de login sino un error 404. Ahora ve a la ruta que definiste y ahí sí aparecerá el login.
En resumen:
Esisten otras opciones para obtener resultados similares, como manipular el .htaccess de lo cual no hablamos en este artículo. Como lo dijimos al inicio de esta nota, cambiar la URL de wp-admin de tu WordPress, o limitar el acceso al público, son una buena práctica si deseas mantener tu WordPress seguro y no dejar espacio a una sorpresa desagradable.
Si necesitas más información o una consultoría en seguridad, ponte en contacto en nuestro formulario o usando nuestro chat.