Artículos en esta sección

Más información

Inicio de sesión de Wordpress - Brute Force Attack

Recientemente, hubo un ataque altamente distribuido a nivel mundial a WordPress. Este ataque era conocido por usar direcciones IP forzadas o falsificadas. Durante el ataque, bloqueamos activamente las direcciones IP atacantes más comunes en nuestra granja de servidores. Si este tipo de ataque se repite, volveremos a tomar las medidas apropiadas.

 

Medidas que puede tomar para prevenir ataques similares

Los siguientes pasos se pueden utilizar para proteger (por protección con contraseña) wp-login.php para todos los sitios de WordPress en su cuenta de cPanel. Esto ayudará a disuadir este tipo de ataque.

 

Cómo proteger con contraseña el archivo wp-login.php

Hay dos pasos para lograr esto. Primero debe definir una contraseña en el archivo .wpadmin y luego activar la seguridad en el archivo .htaccess


Paso 1: Crear el archivo de contraseña

Cree un archivo con nombre .wpadmin y colóquelo en su directorio personal, donde los visitantes no pueden acceder a él. (Tenga en cuenta que hay un punto antes del nombre del archivo.) El siguiente ejemplo es para cPanel. Plesk requeriría colocar el archivo en /var/www/vhosts/var/www/vhosts/domain.

EJEMPLO: /home/username/.wpadmin
(donde "username" es el nombre de usuario cPanel para la cuenta.)

Ponga el nombre de usuario y la contraseña cifrada dentro del archivo .wpadmin, usando el formato username:encryptedpassword

EJEMPLO: john:n5MfEoHOIQkKg
(donde "john" es un nombre de usuario de su elección y la contraseña mostrada está cifrada). 


Opción A: Generar archivo de contraseñas y cargar mediante el Administrador de archivos

Una forma de hacerlo es generar el archivo utilizando el sitio web vinculado a continuación, y luego subirlo a su sitio a través de FTP o Administrador de archivos. En las instrucciones a continuación, utilizaremos el Administrador de archivos, pero podrías usar FTP en lugar de eso, para aquellos que estén familiarizados con FTP.

  1. Visite: http://www.htaccesstools.com/htpasswd-generator/
  2. Utilice el formulario para crear el nombre de usuario y la contraseña.
  3. Inicie sesión en cPanel en otra ventana o pestaña.
  4. Haga clic en Administrador de archivos .
  5. Seleccione Directorio de inicio .
  6. Marque Mostrar archivos ocultos (dotfiles) si no está ya marcada.
  7. Haga clic en el botón Ir .
  8. Busque el archivo .wpadmin
    • Si existe, haga clic derecho en él y seleccione Edición de código para abrir el editor. Haga clic en el botón Editar para editar el archivo.
    • Si no existe, haga clic en Nuevo archivo en la parte superior de la página y especifique el nombre como .wpadmin (con el punto al frente) y haga clic en el botón Crear nuevo archivo .
  9. Pegue el código proporcionado desde el sitio web en el paso 2.
  10. Haga clic en el botón Guardar cambios cuando termine.
  11. Puede cerrar el archivo cuando termine.


Opción B: Creación del archivo de contraseña a través de SSH/línea de comandos

Para crear la contraseña cifrada necesitará usar una utilidad como el programa de línea de comandos htpasswd. Puede encontrar información técnica más detallada sobre htpasswd en http://httpd.apache.org/docs/current/programs/htpasswd.html.

Un ejemplo sería hacer esto:

htpasswd -c /home/username/.wpadmin john

A continuación, se le pedirá que introduzca la contraseña que desea utilizar para el nombre de usuario "john" para acceder a la página de inicio de sesión wp. A continuación, puede iniciar sesión en la interfaz de wp-admin como lo haría normalmente. Hay muchas otras herramientas en línea que se pueden utilizar para convertir contraseñas estándar a cifrado para este propósito.


Paso 2: Actualizar el archivo .htaccess

Todos los dominios en el directorio de inicio comparten el archivo .wpadmin (El comando listado en la Opción B anterior crea el /home/username/.wpadminarchivo debido a la -c.)

El último paso es colocar el siguiente código en el archivo /home/username/.htaccess:

ErrorDocument 401 "Unauthorized Access"
ErrorDocument 403 "Forbidden"
<FilesMatch "wp-login.php">
AuthName "Authorized Only"
AuthType Basic
AuthUserFile /home/username/.wpadmin
require valid-user
</FilesMatch>

Nota: reemplace "nombre de usuario" arriba con su nombre de usuario de cPanel.

¿Fue útil este artículo? Usuarios a los que les pareció útil: 0 de 0
Regresar al inicio

Artículos relacionados

¿No encontraste lo que necesitas?

  • Atendimento Online

    Atención al Cliente

    ¿Ya eres cliente? Comunicate directamente con nuestros analistas. Accede a nuestro chat en línea y recibe las orientaciones técnicas o el soporte financiero que necesitas.

    Iniciar Chat
  • Vendas Online

    Ventas en línea

    ¿Dudas sobre productos y/o servicios? ¡Ponte en contacto con uno de nuestros consultores y conoce cuál es la mejor solución para tu negocio!

    Hablar con un consultor
  • Ticket (e-mail)

    Ticket

    ¿Tienes alguna duda o necesitas solicitar algún servicio? Crea un ticket o envía tu solicitud a través de un formulario directamente en el Área del Cliente.

    Abrir Ticket

Hosting

Servicios

Comunidad

Companía