Cómo proteger mi página de intentos de hackeo en WordPress

Hola han intentado entrar a mi wordpress mas de 20 veces que se puede hacer para preteger mi pagina

Simplemente algun pillo intenta adivinar el pass cambiale la url del login para q sea mas privado

es super común jaja, cuando instale un plugin de seguridad a los 2 días ya tenia mas de 100 intentos fallidos de login en el registro, cambia la url de login con algún plugin de seguridad

yo uso All In One WP Security

SoyENP dijo:

es super común jaja, cuando instale un plugin de seguridad a los 2 días ya tenia mas de 100 intentos fallidos de login en el registro, cambia la url de login con algún plugin de seguridad

yo uso All In One WP Security

Hacer clic para expandir...

Disculpa mi ignorancia puedes decirme uno?

cronicas dijo:

Disculpa mi ignorancia puedes decirme uno?

Hacer clic para expandir...

te lo agrege al comentario, el plugin se llama all in one wp security

Cambia el user "admin" a otro como "admin dev" o "admin del blog" (si, asi con espacios)
Y listo, asi no dan con el usuario administrador 😉

Alguien se obsesionó con tu web, aplica lo que te dicen. Estos fanáticos xD

Los intentos de Hackeo en WordPress son el pan nuestro de cada día, no es casaulidad puesto que tiene una cuota de mercado entre los CMS muy elevada.

Ahora, como te han comentado y viendo el tipo de Admin que usas, es fácil darse cuenta de que estás comenzando a usar WordPress.

Tranquilo, todos pasamos por esa etapa.

¿Qué debes hacer?

Lo primero que deberías hacer es cambia ese tipo de admin que usas, los hacker ya tienen la mitad del acceso a tu web, como el cambio de admin requiere un poco de conocimiento y no sé si los tienes, la mejor salida es cambiar la url del login tal y como han mencionado varios distinguidos foreros.

El plugins All In One WP Security está muy bien cuando empiezas, pero luego vas conociendo mejores opciones y luego te explico porqué.

Para cambiar la url del login puedes usar este plugins:

1. https://es.wordpress.org/plugins/wps-hide-login/

Esta muy bien valorado y tiene cerca de un millón de instalaciones activas, un detalle muy importante y que siempre debes considerar.

En cambio este otro que también puede servir:

2. https://wordpress.org/plugins/hide-wp-login/

Solo tiene 500 instalaciones, de ahí que es mejor usar el número 1.

Por qué no me gusta el All In One WP Security, porque al ser una suite completa, pesa mucho y te va a ralentizar la web.

Hay muchísimas medidas que se pueden tomar sin necesidad de sobrecargar la web con plugins pesados, es mejor poner 5 plugins livianos que uno pesado:

1. Jamás usar usar Admin como user en WordPress.

2. Cambiar la url de acceso.

3. Colocar Snippets en el .htaccess para restringir el acceso a indeseables.

4. Colocar Snippets en el config.php para restringir el acceso a indeseables.

5. Usar una pass fuerte, un detalle que de por si WordPress se encarga de controlar.

6. Usar Themes y Plugins legales, es decir, evita usar Plugins o Themes Nulled, sin importar si los descargas de webs supuestamente reconocidas.

Recuerdo el caso de un Seo famoso que regalaba un theme, pero que llevaba un enlace a su web, no había daño, pero tenías un enlace saliente de tu web y el Seo recibía muchísimos enlaces a cambio del Theme.

Afortunadamente solo era un enlace, pero así como te cuyelan un enlace, también te pueden colar una Shell y ya veras el Vía Crucis cuando tengas una Shell en tu web.

Buenmo, no sé si se me queda algo en el tintero, pero con estas seis ideas puedes blindar más o menos tu web.

Ahora bien, aun y con todas esas medidas los ataques van a continuar, la diferencia es que vas a estar mejor preparado para evitar que violen tu web.

Te voy a enumerar cosas que deberías hacer:

1. Instala el plugin BBQ Firewall


2. Instala el plugin Security Headers


3. Instala el plugin WPS Hide Login


4. Instala el plugin Limit Login Attempts Reloaded


5. Instala el plugin LH HSTS


6. Añade a tu archivo htacces lo siguiente:

# BEGIN Deshabilitar listado de directorio
Options -Indexes
# END Deshabilitar listado de directorio
# BEGIN Encabezados de seguridad Protección X-XSS
Header set X-XSS-Protection "1; mode=block"
# END Encabezados de seguridad Protección X-XSS
# BEGIN Encabezados de seguridad Tipo de contenido X nosniff
Header set X-Content-Type-Options nosniff
# END Encabezados de seguridad Tipo de contenido X nosniff
# BEGIN protect xmlrpc.php
<files xmlrpc.php>
order allow,deny
deny from all
</files>
# END protect xmlrpc.php
# BEGIN Proteger el archivo wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# END Proteger el archivo wp-config.php
# BEGIN Restrict access to htaccess
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
# END Restrict access to htaccess
# BEGIN Denegar acceso a htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
# END Denegar acceso a htaccess
<Files 403.shtml>
order allow,deny
allow from all
</Files>

Ya me cuentas cómo te fue.

Bloquea esa IP en tu servidor

Seguro no has compartido tu usuario y contraseña con alguien más? Lo ideal es que cambies el usuario y contraseña dese el cPanel y reforzar la seguridad instalando plugin de confianza para contra restar tal situación.

Si no cambias el usuario la mejor opción sería cambiar la URL del login aunque en mis sitios nunca uso el "admin" Como nombre de usuario lo que sí hago es cambiar la URL del login

Eso pasan asi, yo uso el plugin "simple history" me muestran los datos de intentos fallidos, aparecen en india o paises orientales, han intentado de entrar usando "admin" y no funcionaron porque la contraseña que puse es muy largo con números y símbolos.

Te recomiendo que uses el plugin, WPS hide login para la seguridad.

Menos mal eres precavido, esa gente no se cansa de intentar lo mismo de siempre!

Siempre pasa, con todos los blogs... asi que nunca uses al Admin como usuario y ten a la mano el plugin para bloquear la IP despues de varios intentos... pero cuidado jaja no te vayas a bloquear a ti mismo