Cómo eliminar el login de una web de forma segura

ramonjosegn · 26 Sep 2015

Hola chicos/as.

Tengo una web que desarrollé para un cliente, hasta dentro de un buen tiempo no ingresaré a actualizar (está con auto-actualización), y el cliente tampoco usará el blog para publicar noticias.

Entonces me gustaría saber si hay alguna forma de eliminar el login, aunque es evidente que si se auto-actualiza quizás se vuelva a instalar el archivo de login.

En fin, me gustaría saber si existe alguna solución para evitar que el login sea usado mientras no tenga intención de ingresar a la plataforma durante varios meses.

Gracias.

wcasiq · 26 Sep 2015

tengo la misma pregunta gracias

visitardubai · 26 Sep 2015

Cambia la contraseña de admin y listo, mas fácil que eso nada.

Cicklow · 26 Sep 2015

instala hide wp-login.php y cambia el login por otro ejemplo (sitio.com/pepe-login) y solo tu sabes como entrar... sino tocaria editar el .htaccess y bloquear el acceso a ese file...

PHP:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$
RewriteRule ^(.*)$ - [F,L]
</IfModule>

eso bloquearia para siempre el acceso al login (hasta que elimines ese code)

Luis Hermida · 26 Sep 2015

comparto la idea de cicklow es un poco tedioso hacerlo pero asi solo tu sabras la url de login. Saludos

ramonjosegn · 26 Sep 2015

Gracias [MENTION=9679]cicklow[/MENTION]

¿Se supone que así ya no podrían ingresar bots tampoco?

Cicklow · 26 Sep 2015

ramonjosegn dijo:
Gracias [MENTION=9679]cicklow[/MENTION]

¿Se supone que así ya no podrían ingresar bots tampoco?

nadie (hablando de bots) podria ingresar de ninguna de las dos maneras...

ramonjosegn · 26 Sep 2015

cicklow dijo:
nadie (hablando de bots) podria ingresar de ninguna de las dos maneras...

Ok, pero es raro porque tengo el plugin para añadir una imagen "patrón" al usuario/contraseña del admin y pese a ello tuve un montón de alertas de acceso en Wordfence, no sé si es que Wordfence no reconoce el campo de imagen, o si es que han encontrado una forma de saltarse ese campo.

Voy a consultarlo con los autores del plugin a ver qué opinan al respecto...

Cicklow · 26 Sep 2015

ramonjosegn dijo:
Ok, pero es raro porque tengo el plugin para añadir una imagen "patrón" al usuario/contraseña del admin y pese a ello tuve un montón de alertas de acceso en Wordfence, no sé si es que Wordfence no reconoce el campo de imagen, o si es que han encontrado una forma de saltarse ese campo.

Voy a consultarlo con los autores del plugin a ver qué opinan al respecto...

mmm el wordfence usa un hook, no detecta el captcha o lo que sea que le metas al login... el hook actua cuando se envian los datos al login... entonces un bot puede enviar esos datos sin siquiera entrar al sitio. desde un code enviar los intentos de login, sin saber si usa captcha o demas. luego el otro plugin verificara si se ha colocado bien o no el patron, pero antes se enviaron los datos y el wordfence con su hook vio que no pudo entrar...

No se si se entiende lo que digo, pero basicamente, el wordfence no detecta lo que coloques en el login (plugin), el solo detecta si enviaron los datos y son incorrectos.

ramonjosegn · 26 Sep 2015

No sé [MENTION=9679]cicklow[/MENTION] si eso realmente así, ya que sino se pasa el patrón no se habilita el envío de datos... ya que el envío da error, por lo que no sé hasta qué punto se pueden enviar datos.

No sé si quieras testearlo, https://wordpress.org/plugins/wp-graphic-captcha-protection/

Igualmente consultaré con los autores, es que si realmente se pudieran enviar los datos tendría avisos a diario de acceso creo yo (claro que no es un sitio altamente visitado), pero rara vez me llegan avisos la verdad... sólo que ayer me llegaron muchísimos y de varias ips... era evidente que era una especie de intento de hackeo...

Cómo eliminar el login de una web de forma segura

ramonjosegn

wcasiq

visitardubai

Cicklow

Luis Hermida

ramonjosegn

Cicklow

ramonjosegn

Cicklow

ramonjosegn

Temas similares