Como proteger el acceso al login de WordPress

WORDPRESS

Como seguramente sabes el pasado 11 de abril se produjo un ataque global a miles de blogs WordPress en todo el mundo basado en acceso de fuerza en bruto para averiguar usuario y contraseña y apoderarse del blog para después (según empresas de seguridad) inyectar código malicioso y atacar a otros WordPress, aunque todo son especulaciones y aun no se sabe nada claro sobre el asunto.

Por eso no está demás tomar medidas de seguridad para ayudar a proteger nuestros WordPress, contraseñas seguras (con números, letras mayúsculas y minúsculas, símbolos), no utilizar el usuario admin o Admin (en el post anterior tienes la forma de cambiarlo), utilizar algún plugin de seguridad contra ataques de fuerza bruta como Wordfence, actualizar nuestra versión de WordPress, los plugins y los temas, pero además podemos reforzar aun mas la protección sobre este tipo de ataques protegiendo el archivo wp-login.php con usuario y contraseña de seguridad para poder acceder al login, poniendo así una capa extra de seguridad.

Vamos a crear dos (.wpadmin y .htaccess) archivos en dos pasos que subiremos a nuestro hosting que a la postre serán los que protejan el archivo wp-login.php, el primer paso es crear un archivo que llamaremos .wpadmin y lo subiremos o lo crearemos en nuestro hosting dentro del directorio home del hosting (Ejemplo home/usuario/.wpadmin donde usuario es tu nombre de usuario de cPanel) NO dentro de la carpeta public_html, justo un directorio antes, seguidamente vamos a introducir un usuario y una contraseña encriptada dentro de este archivo, para eso vamos a crearlo en http://www.htaccesstools.com/htpasswd-generator/  y en el formulario ponemos un usuario y una contraseña segura que será encriptada (te recomiendo que no pongas las mismas que las del login de tu WordPress, vamos a ponérselo difícil) y pulsamos el botón Create .htpasswd y obtendremos una linea similar al siguiente Ejemplo: pepitodelospalotes:$apr1$Vo5OdtZe$irw0TeFV.ImpUFKIVDL/A. es decir el usuario seguido de dos puntos y la contraseña que escribimos ya encriptada por esta herramienta, esta linea la pegamos dentro del archivo anteriormente creado .wpadmin.

El siguiente paso es crear un archivo .htaccess dentro del directorio home en la misma ruta que antes (Ejemplo home/usuario/.htaccess) y ponemos la regla de seguridad siguiente dentro del archivo:

htaccessDonde usuario lo sustituimos por el nombre de usuario de nuestro cPanel.

Para subir o crear estos dos archivos, si utilizas cPanel puedes crearlos directamente desde el cPanel con la herramienta Administrador de archivos, entra en tu cPanel y ve a la sección Administrar archivos, hacemos clic en el icono y seleccionamos las tres opciones siguientes:

Administrar ficheros1- Directorio/home para ir a la raiz del hosting.

2- Mostrar ficheros ocultos para ver las extensiones dotfiles como las dos que vamos a crear.

3- Pulsar Ir.

Una vez dentro solo tenemos que pulsar en el menú superior el botón Nuevo archivo para crear nuestros archivos y pegar el contenido arriba explicado en cada uno de los archivos creados.

La otra opción es hacerlo por ftp, en ese caso recuerda que el directorio home es el primero que te aparece al conectarte, estos archivos NO van dentro del directorio public_html como el resto de archivos de tu web, van justo un directorio antes, si lo haces por ftp los archivos debes crearlos antes y subirlos posteriormente.

De esta forma el archivo wp-login.php estará protegido con usuario y contraseña, cada vez que nosotros o alguien intente acceder al login de nuestro WordPress será necesario introducir las claves de acceso para poder acceder a la página del login, creando así una capa extra de seguridad.