En informática siempre decimos que no hay un método de seguridad infalible. Que lo importante es añadir “capas de seguridad”. Es la suma de capas lo que securiza mejor el sistema. Hoy vamos a enseñaros a añadir otra más a vuestra web en WordPress: una contraseña adicional en tu backend (wp-admin o incluso wp-login si no tienes usuarios que usen el backend).
Proteger el backend de WordPress, wp-admin, con contraseña usando htaccess.
La idea es usar este artículo para generar dos cosas:
- un fichero .htpasswd que contenga un usuario y una contraseña encriptada. Puedes usar la web en el artículo para generarlo. Este fichero hay que ponerlo FUERA de la web, en un directorio al que el servidor pueda acceder pero que no sea público (en home o en cualquier otro).
- Un fichero .htaccess que debe llamar al fichero anterior, y que guardaremos en el directorio wp-admin de nuestra web (importante, no es el fichero .htacess de la raíz). De esta manera, cuando alguien escriba en el navegador tudominio/wp-admin el fichero htaccess verá que necesita usuario y contraseña, y abrirá una ventana solicitándolo. Comprobará lo que introduzcas con el fichero htpasswd.
Parece un poco lata, porque habrá 2 identificaciones (usuario y contraseña de htaccess y usuario y contraseña de WordPress). Pero recordad que significa que tenéis 2 “verjas” en el panel de administración de vuestra web. Además, este primer método elimina buena parte de los ataques de fuerza bruta a la web.
El fichero htaccess en el directorio wp-admin será algo como esto (puede variar):
AuthType Basic
AuthName "Acceso restringido con contraseña"
AuthUserFile "/home/user/.htpasswds/public_html/wp-admin/passwd"
require valid-user
La ruta del AuthUserFile puede ser la que querías. Por ejemplo /home/user/pepe/passswordsweb
Arreglos extra que hay que añadir.
Esta protección extra rompe alguna funcionalidad que puede (y puede que no) tenga tu tema. Rompe la API Ajax de WordPress. También las peticiones GET/POST.
Para arreglarlo tenemos que editar el fichero .htaccess creado en el directorio wp-admin (el que acabamos de crear) y añadir:
<FilesMatch "(admin-ajax|admin-post)\.php">
Order allow,deny
Allow from all
Satisfy any
</FilesMatch>Para que permita estas solicitudes.
Proteger wp-login con contraseña.
Sin no tienes usuarios que deban acceder a tu backend puede interesarte también proteger wp-login. No puedes hacerlo igual que en el caso anterior porque, en este caso, no es un directorio sino un fichero. Pero es similar, y también protege el admin (que es un login)
Tienes que editar el .htaccess del directorio raíz de tu web, el que crea WordPress y añadir:
# Stop Apache from serving .ht* files
<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>
# Protect wp-login.php
<Files wp-login.php>
AuthUserFile "/home/user/.htpasswds/public_html/wp-admin/passwd"
AuthName "Private access"
AuthType Basic
require user mysecretuser
</Files>
Como veis, cuando alguien quiere entrar en wp-login hace lo mismo que el fichero anterior. Hemos puesto la misma ruta del fichero, podéis tener otra. Y hemos puesto un usuario pero puedes poner valid-user.
Errores 404 o redirecciones infinitas.
Después de estos cambios pueden ocurrir errores 404 o redirecciones en la web. Para evitarlos edita el .htaccess del directorio raíz de tu web y añade:
ErrorDocument 401 defaultRecordad que todos estos casos, además de proteger la web, lo que hacen es mejorar el rendimiento de tu servidor. Porque estamos elminando muchas de las las peticiones de acceso “ilícitas” y los intentos de ataque (os sorprenderían la cantidad que hay).
Os recomendamos los siguientes productos relacionados con la informática:
HONOR Pad X8a - Tablet Wi-FI de 11 Pulgadas, 4 GB + 128 GB, Pantalla 90 Hz FullView, batería 8300 mAh, 4 Altavoces, Metal Body, Android 14, Space Grey
119,90 € (a partir de 25 noviembre, 2024 04:20 GMT +01:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
HP 200 - Ratón Inalámbrico (1000 dpi, Puerto USB, 2 Botones y Rueda de Desplazamiento, 12 Meses Duración Batería, Windows 7 y superiores, Mac OS 10.x y superiores, Chrome OS), Color Negro
7,99 € (a partir de 25 noviembre, 2024 08:54 GMT +01:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Samsung Galaxy Tab S6 Lite (2024), 128 GB, Tablet de 10.4”, Procesador Exynos 1280, 4 GB RAM, Wifi, Android 14, Gris - Versión española
298,95 € (a partir de 25 noviembre, 2024 08:53 GMT +01:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
WD 4TB Elements, Disco duro externo portátil, USB 3.0, Negro
108,63 € (a partir de 25 noviembre, 2024 08:53 GMT +01:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Lenovo Tab M10 (3rd Gen) - Tablet de 10.1" WUXGA (Unisoc T610, 4 GB de RAM, 64 GB ampliables hasta 2 TB, 2 Altavoces, WiFi + Bluetooth 5.0, Android 11) - Gris
109,00 € (a partir de 25 noviembre, 2024 08:53 GMT +01:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
XIAOMI Redmi Pad SE 11- 8GB/256GB Gris
177,99 € (a partir de 25 noviembre, 2024 08:53 GMT +01:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Apple Ratón Magic Mouse: Recargable, con conexión Bluetooth y Compatible con el Mac y iPad; Blanco, Superficie Multi-Touch (USB-C)
60,00 € (a partir de 25 noviembre, 2024 08:53 GMT +01:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Xiaomi TEJ4018GL - Impresora fotográfica portátil 300 PPP Pocket Mini AR con DIY Share 500 mAh, Blanco
36,99 € (a partir de 25 noviembre, 2024 08:53 GMT +01:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Xiaomi Redmi Pad SE 8,7" + Funda – Tablet de 8,7” LCD (MediaTek Helio G85, 4GB de RAM, 64GB de ROM, WiFi + Bluetooth 5.3, batería de 6650 mAh), Azul (Versión ES)
93,99 € (a partir de 25 noviembre, 2024 04:20 GMT +01:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)