En este ocasión os contaré 2 procesos fundamentales para añadir un poco más de seguridad a nuestra página web evitando que nuestro directorio wp-admin sea accesible para todo el mundo.
Que la gente pueda saber que cms usamos se ha convertido en un punto de vulnerabilidad muy importante, usar cms estándar como podría ser Wordpress, Joomla, Magento etc, supone que los hackers sepan en todo momento los agujeros más vulnerables en el sistema.
Las rutas de administración por defecto que se producen con el acceso al backend después de una instalación en Wordpress es http://www.dominio.com/wp-admin, o por ejemplo en joomla que la URL es http://www.dominio.com/administrator .Sabiendo estas rutas ya nos pueden intentar entrar por fuerza bruta a nuestro panel de administración web.
¿Qué podemos hacer al respecto?
1. La mejor manera de evitar que entren al directorio wp-admin, es renombrando todos los ficheros y directorios que contengan este nombre y llamarlo de otra manera por ejemplo “administraciónweb”.
2. Fundamental, poner una “prelogin” para poder acceder a dicho directorio. Esta acción es más conocida por el nombre de proteger directorios mediante htaccess. Para realizar este proceso debes seguir los siguientes paso:
a. Crear una carpeta en directorio raíz del ftp una carpeta que se llame por ejemplo “contraseñawp”
b. Deberemos copiar un archivo con el formato .htpasswd y dentro de este fichero poner nuestro nombre de usuario y contraseña. Para ello entramos en http://www.htaccesstools.com/htpasswd-generator/ y creamos un nuevo de usuario y contraseña, una vez realizado esta acción, nos saldrá nuestros datos encriptados, esos mismos datos tenemos que copiarlos en un bloc de notas y guardar el fichero como .htpasswd. Este fichero lo meteremos en la carpeta creada en el paso a, en este caso la carpeta era “contraseñawp”.
c. Ahora tenemos que crear el archivo .htaccess dentro del directorio /wp-admin/ (en caso de que todavía tengamos el directorio por defecto con la instalación), este fichero lo que hará es que cuando alguien intente acceder a este directorio, le aparecerá una caja de acceso pidiéndole nombre de usuario y contraseña.
¿Qué debemos insertar en el .htaccess?
Primero debemos conocer el directorio raíz de nuestro ftp, cada hosting tiene una dirección distinta. Si tienes dudas de cuál es el directorio, lo mejor es mirarlo en tu panel de hosting. Ahora bien una vez sepas este dato debemos copiar lo siguiente en el .htaccess
AuthUserFile /ruta/completa/hacia/contraseñawp/.htpasswd
AuthName Acceso
AuthType Basic
Require user nombredeusuario
Explicación:
AuthUserFile: es la ruta del ftp hacia la carpeta donde hemos metido el .htpasswd
AuthName: Es el title que nos aparecerá en el cuadro de login, aquí podemos poner lo que queramos.
AuthType: Es el tipo de autentificación, lo debemos dejar en Basic
Require User: es el nombre de usuario que usamos para encriptar y ponerlo en el .htpasswd
Una vez hayamos copiado los datos, guardamos el documento con el nombre “.htaccess” y lo metemos dentro del directorio /wp-admin/
El resultado será el siguiente:
Al entrar con el usuario y contraseña que hemos añadido ya nos aparecería la página normal de acceso, wp-login.php:
0 comentarios:
Publicar un comentario