Protegiendo blogs Wordpress de ataques - ¿Eliminar wp-login.php??

  • Autor Autor benny
  • Fecha de inicio Fecha de inicio
benny

benny

1
Ni
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Suscripción a IA
buenas gente, les comento que tengo una cantidad determinada de dominios en un vps en banahosting, el asunto es que por lo visto estan tratando de acceder de forma constante al archivo wp-login.php de los wordpress que hace que se sobre cargue todo el VPS.

hablando con la gente de soporte que lo detecto, me recomienda que elimine y/o renombre el archivo wp-login.php para que dejen de acceder...

es esto una solucion?, que se puede hacer en estos casos??

agrego más info, mi principal preocupación es que tengo redactores que necesitan entrar a esos blogs para obviamente escribir... si renombro los archivos no pueden ingresar.....................
 
Última edición:
Si renombras, solo le dices que se ha actualizado y que se entrará por una nueva url, es mejor tu seguridad y estabilidad que otras cosas :distant:
 
Sustituye el nombre de usuario del administrador 🙂

Agregado estas lineas a tu archivo .htaccess solo permitirás el login desde la ip que pusiste.

PHP: 
<Files ~ ^wp-login.php>
Order deny,allow
Deny from all
allow from XXX.XXX.XXX.XXX
</Files>

debería quedar así:

PHP: 
<Files ~ ^wp-login.php>
Order deny,allow
Deny from all
allow from 294.567.065.123
</Files>

En donde están los números pondrás tu IP

Y para darle acceso a tus redactores no se si tienes que agregar una coma después de tu IP
ejemplo:
PHP: 
<Files ~ ^wp-login.php>
Order deny,allow
Deny from all
allow from 294.567.065.123, 189.343.765.788, 199.644.877.865
</Files>

No se si así puedas darle acceso a tus redactores o añadiendo de nuevo las lineas a tu archivo .htaccess

ejemplo:
PHP: 
<Files ~ ^wp-login.php>
Order deny,allow
Deny from all
allow from 294.567.065.123
</Files>
<Files ~ ^wp-login.php>
Order deny,allow
Deny from all
allow from 294.567.065.123
</Files>
<Files ~ ^wp-login.php>
Order deny,allow
Deny from all
allow from 294.567.065.123
</Files>

Habrá que probar eso 🙂

Deja busco un plugin, creo haber visto uno.
 
gracias, pero en caso de que los redactores cambien de IP?.... tendría que re-hacer todo el proceso de nuevo desde cero... estaría toda la semana agregando IPs, no?

Daster dijo:
Sustituye el nombre de usuario del administrador 🙂

Agregado estas lineas a tu archivo .htaccess solo permitirás el login desde la ip que pusiste.

PHP: 
<Files ~ ^wp-login.php>
Order deny,allow
Deny from all
allow from XXX.XXX.XXX.XXX
</Files>

debería quedar así:

PHP: 
<Files ~ ^wp-login.php>
Order deny,allow
Deny from all
allow from 294.567.065.123
</Files>

En donde están los números pondrás tu IP

Y para darle acceso a tus redactores no se si tienes que agregar una coma después de tu IP
ejemplo:
PHP: 
<Files ~ ^wp-login.php>
Order deny,allow
Deny from all
allow from 294.567.065.123, 189.343.765.788, 199.644.877.865
</Files>

No se si así puedas darle acceso a tus redactores o añadiendo de nuevo las lineas a tu archivo .htaccess

ejemplo:
PHP: 
<Files ~ ^wp-login.php>
Order deny,allow
Deny from all
allow from 294.567.065.123
</Files>
<Files ~ ^wp-login.php>
Order deny,allow
Deny from all
allow from 294.567.065.123
</Files>
<Files ~ ^wp-login.php>
Order deny,allow
Deny from all
allow from 294.567.065.123
</Files>

Habrá que probar eso 🙂

Deja busco un plugin, creo haber visto uno.
Hacer clic para expandir...
 
utiliza este plugin

limit login attempts

puedes configurarlo para despues de dos intentos de contraseña incorrecta bloquear por 5, 10 15 o los minutos que quieras, yo lo utilizo y es muy bueno.

aparte te marca de que ip se estan bloquendo los intentos
 
CrewArty dijo:
Si renombras, solo le dices que se ha actualizado y que se entrará por una nueva url, es mejor tu seguridad y estabilidad que otras cosas :distant:
Hacer clic para expandir...

probé en renombrar, por ejemplo me queda así... dominio.com/wp-acceso-login.php hasta todo 10 puntos pero por lo visto sigue cargado y busca el archivo wp-login.php y como no lo encuentra me manda directo al home de cada blog.... puede ser esto?

- - - Actualizado - - -

jose roman 1316 dijo:
utiliza este plugin

limit login attempts

puedes configurarlo para despues de dos intentos de contraseña incorrecta bloquear por 5, 10 15 o los minutos que quieras, yo lo utilizo y es muy bueno.

aparte te marca de que ip se estan bloquendo los intentos
Hacer clic para expandir...

ese lo tengo... y asi y todo me sigue pasando...
de hecho lo tengo para que los bloquee por más de 2000 minutos...

- - - Actualizado - - -

buscando en los archivos de error_logs doy con estos dos puntos que se repiten constantemente....

[06-Oct-2014 21:47:01 UTC] Error MySQL server has gone away de la base de datos de WordPress para la consulta SELECT option_value FROM wp_options WHERE option_name = 'widget_pages' LIMIT 1 realizada por require('wp-load.php'), require_once('wp-config.php'), require_once('wp-settings.php'), do_action('init'), call_user_func_array, wp_widgets_init, do_action('widgets_init'), call_user_func_array, WP_Widget_Factory->_register_widgets, WP_Widget->_register, WP_Widget->get_settings, get_option
Hacer clic para expandir...

[06-Oct-2014 21:56:37 UTC] Error Lost connection to MySQL server during query de la base de datos de WordPress para la consulta SELECT option_value FROM wp_options WHERE option_name = 'widget_calendar' LIMIT 1 realizada por require('wp-load.php'), require_once('wp-config.php'), require_once('wp-settings.php'), do_action('init'), call_user_func_array, wp_widgets_init, do_action('widgets_init'), call_user_func_array, WP_Widget_Factory->_register_widgets, WP_Widget->_register, WP_Widget->get_settings, get_option
Hacer clic para expandir...
 
Instala el plugin Wordfence, entre otras cosas te muestra las ip´s (país) desde dónde tratando de accesar al administrador, puedes bloquear esas ip´s.
 
el tema es que es recurrente el problema... se la pasan mandando solicitudes a wp-login.php, ya probe con bloquear las IP y no pasa nada....
 
algo de eso habia leido... te agrdezco
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

PedroTRI
Problema de acceso a WordPress con dominio y /wp-login.php
Respuestas
12
Visitas
2K
PedroTRI
PedroTRI
jeffvv
Problemas con la carga de wp-login.php
Respuestas
7
Visitas
4K
qcdar
Q
S
Problema con wp-login.php en WordPress
Respuestas
5
Visitas
984
jmnm
jmnm
T
Access denied to wp-login.php
Respuestas
6
Visitas
4K
Edumanmx
Edumanmx
L
¿Por qué solo se indexa wp-login.php?action=lostpassword en mi sitio?
Respuestas
8
Visitas
1K
DMR
D
Atrás
Arriba