tambien me interesa, ya que ultimamente estan creando users en mis sitios y no se como lo hacen
Raro esto que comentas. Si son usuarios que se dan de alta en tu sitio registrandose correctamente lo entendería, pero si no es así tiene pinta de que tengas algún tipo de compromiso.
Tendrías que investigarlo más a fondo, pero no huele bien.
Saludos.
---------- Post agregado el 06-nov-2013 hora: 00:11 ----------
Nosotros usamos este plugin, que es bastante completo y fácil de configurar AIO WP Security & Firewall Plugin, y podrás hacer como te decía el compañero de cambiar las tablas wp_ (lo único cuidado, no se si esto se puede hacer sólo con nuevas instalaciones o ya puedes cambiarlo posteriormente).
Desde luego la recomendación nº1 es quitar todo usuario que se llame admin, administrador, o cosas así.
Un saludo y suerte!
Tomo nota del plugin para ver que posibilidades tiene. Lo investigaré. He visto que Better WP Security es otro actor en este campo. Investigaré los dos.
Gracias por comentar.:encouragement:
Saludos.
---------- Post agregado el 06-nov-2013 hora: 00:18 ----------
algo que encontré hace un rato es evitar que entren desde otra ip al admin... creando un .htaccess con esto
Insertar CODE, HTML o PHP:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
# IP desde que entras, tu casa por ejemplo, sin son otras las agregas abajo
allow from TU.NUMERO.DE.IP
allow from Otra ip trabajo ejem.
y guardarlo en wp-admin
La verdad es que si te desenvuelves con el archivo .htaccess puedes conseguir tener un control muy fino y las posibilidades son innumerables. Ahora bien, no todo el mundo tiene el conocimiento para trabajarlos (yo me incluyo). Como todo, es cuestión de ponerse y tener ganas claro.
Entiendo que, sin necesidad de recurrir a hilar fino en el .htaccess, podemos conseguir asegurar nuestro wordpress lo suficiente como para no tener un disgusto, no se si estáis de acuerdo.
Gracias por el apunte. :encouragement:
Saludos.
---------- Post agregado el 06-nov-2013 hora: 00:20 ----------
He visto que este plugin es bastante popular para este asunto.
Lo probaré.
Saludos.
---------- Post agregado el 06-nov-2013 hora: 00:33 ----------
Ciao
Es complicado porque los plugins de seguridad no solo no son nada seguros (por ser de codigo abierto y por tanto estudiables por cualquiera), sino que además algunos está en la lista de plugins vulnerables, yo programo desde .htaccess y pongo permisos de carpetas y ficheros restrictivos.
Pero a mi juicio lo más importante és estar en un servidor bien configurado y seguro, porque de que te sirve tener tu web segura si te entran por una web de otro que comparte tu servidor?
Interesante lo que planteas sobre los plugins pero concluir que no son nada seguros por ser de código abierto y por tanto estudiables por cualquiera no me termina de convencer. Todo el software libre pecaría de lo mismo, algo que no es así. Por otro lado, si tienen vulnerabilidades, le tocará al desarrollador mediar en el asunto, entiendo que es una práctica coherente. Con el software privativo lo mismo.
Lo que comentas de: "lo más importante és estar en un servidor bien configurado y seguro".
¿Presuponemos que un proveedor de hosting compartido es seguro de por si? ¿Todos sin seguros? ¿Cómo sabes eso?
Si eres del gremio de IT puedes tener más argumentos para tratar de valorar si el servidor está bien configurado y es seguro, pero si no eres de IT, ¿Cómo lo sabes?
Nota. Presuponemos profesionalidad y buenas prácticas en todos los hosters.
Gracias por comentar.
Saludos.
---------- Post agregado el 06-nov-2013 hora: 00:35 ----------
Las que recuerdo son:
Cambiar el prefijo wp_ de la base de datos.
Algún plugin que bloquee los inicios de sesión por fuerza bruta.
Y hay otro plugin que cambia los "wp-admin", "wp-content", "wp-login" etc por otras URL personalizadas. :encouragement:
Gracias por la respuesta.
Tomo nota.
Saludos.
