En informática siempre decimos que no hay un método de seguridad infalible. Que lo importante es añadir “capas de seguridad”. Es la suma de capas lo que securiza mejor el sistema. Hoy vamos a enseñaros a añadir otra más a vuestra web en WordPress: una contraseña adicional en tu backend (wp-admin o incluso wp-login si no tienes usuarios que usen el backend).
Proteger el backend de WordPress, wp-admin, con contraseña usando htaccess.
La idea es usar este artículo para generar dos cosas:
- un fichero .htpasswd que contenga un usuario y una contraseña encriptada. Puedes usar la web en el artículo para generarlo. Este fichero hay que ponerlo FUERA de la web, en un directorio al que el servidor pueda acceder pero que no sea público (en home o en cualquier otro).
- Un fichero .htaccess que debe llamar al fichero anterior, y que guardaremos en el directorio wp-admin de nuestra web (importante, no es el fichero .htacess de la raíz). De esta manera, cuando alguien escriba en el navegador tudominio/wp-admin el fichero htaccess verá que necesita usuario y contraseña, y abrirá una ventana solicitándolo. Comprobará lo que introduzcas con el fichero htpasswd.
Parece un poco lata, porque habrá 2 identificaciones (usuario y contraseña de htaccess y usuario y contraseña de WordPress). Pero recordad que significa que tenéis 2 “verjas” en el panel de administración de vuestra web. Además, este primer método elimina buena parte de los ataques de fuerza bruta a la web.
El fichero htaccess en el directorio wp-admin será algo como esto (puede variar):
AuthType Basic
AuthName "Acceso restringido con contraseña"
AuthUserFile "/home/user/.htpasswds/public_html/wp-admin/passwd"
require valid-user
La ruta del AuthUserFile puede ser la que querías. Por ejemplo /home/user/pepe/passswordsweb
Arreglos extra que hay que añadir.
Esta protección extra rompe alguna funcionalidad que puede (y puede que no) tenga tu tema. Rompe la API Ajax de WordPress. También las peticiones GET/POST.
Para arreglarlo tenemos que editar el fichero .htaccess creado en el directorio wp-admin (el que acabamos de crear) y añadir:
<FilesMatch "(admin-ajax|admin-post)\.php">
Order allow,deny
Allow from all
Satisfy any
</FilesMatch>Para que permita estas solicitudes.
Proteger wp-login con contraseña.
Sin no tienes usuarios que deban acceder a tu backend puede interesarte también proteger wp-login. No puedes hacerlo igual que en el caso anterior porque, en este caso, no es un directorio sino un fichero. Pero es similar, y también protege el admin (que es un login)
Tienes que editar el .htaccess del directorio raíz de tu web, el que crea WordPress y añadir:
# Stop Apache from serving .ht* files
<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>
# Protect wp-login.php
<Files wp-login.php>
AuthUserFile "/home/user/.htpasswds/public_html/wp-admin/passwd"
AuthName "Private access"
AuthType Basic
require user mysecretuser
</Files>
Como veis, cuando alguien quiere entrar en wp-login hace lo mismo que el fichero anterior. Hemos puesto la misma ruta del fichero, podéis tener otra. Y hemos puesto un usuario pero puedes poner valid-user.
Errores 404 o redirecciones infinitas.
Después de estos cambios pueden ocurrir errores 404 o redirecciones en la web. Para evitarlos edita el .htaccess del directorio raíz de tu web y añade:
ErrorDocument 401 defaultRecordad que todos estos casos, además de proteger la web, lo que hacen es mejorar el rendimiento de tu servidor. Porque estamos elminando muchas de las las peticiones de acceso “ilícitas” y los intentos de ataque (os sorprenderían la cantidad que hay).
Os recomendamos los siguientes productos relacionados con la informática:
kacbuy Memoria USB 982GB Alta Velocidad USB 3.0 Pen Drive Portátil Pendrive Metal Disco Duro Externo para Computadora TV Portátil Tableta Almacenamiento, con Llavero
21,99 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Aioneus Cable Cargador iPhone 1M, Cable iPhone Carga Rápida MFi Certificado Cable Lightning, Nylon Trenzado USB Cable iPhone Compatible con iPhone 14 13 12 11 Pro XS MAX XR X 8 7 6S 6 Plus 5 5S, iPad
4,99 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Funda de tela para Amazon Kindle Paperwhite | Compatible con el Kindle Paperwhite de 11.ª generación (modelo de 2021), Diseño fino y ligero, Azul Vaquero
39,99 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
1200 Mbps Repetidor WiFi inalámbrico Utilizado para Ampliar la Cobertura de la Red, admite WiFi Extensor de Red de 2,4 GHz y 5 GHz, WPS / Ap / Blanco
13,99 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
TP-Link UB500 Adaptador Bluetooth 5.0 USB, Tamaño Mini para Ordenador, Portatil, Auriculares, Altavoz, Teclado, Compatible con Windows 11/10/8.1/7, Multicolor
12,99 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
EMTEC X150 Power Plus Unidad de Estado sólido 2.5" 120 GB Serial ATA III - Disco Duro sólido (120 GB, 2.5", 520 MB/s, 6 Gbit/s) Negro
16,70 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Cooler Master IC-Essential E1 - Pasta térmica, Alto rendimiento, Edición gris, 3.5ml, RG-ICE1-TG15-R1
4,49 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Metapen A8 Lapiz para Tablet iPad 2018-2023, Recarga Rápida, Rechazo de Palma, Detección de Inclinación, Pencil iPad Compatible con iPad 10/9/8/7/6, iPad Pro 11"/12.9", iPad Air 3/4/5, iPad Mini 5/6
21,99 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
302XL Cartuchos de Tinta Remanufacturado para HP 302 XL Cartucho de Tinta Negro 302XL Impresora Compatible para Envy 4524 4520 4527 DeskJet 3630 2130 2134 OfficeJet 3831 3835 5230(Negro y Color
29,99 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)