Uno de los intentos de ataque más comunes a cualquier web es tratar de acceder mediante fuerza bruta o denegación de servicio a la pantalla de acceso, wp-login.php en WordPress. Y un modo de evitar este tipo de intentos es limitar el acceso a esta página decidiendo qué IPs de usuario pueden acceder y cuáles no.
Aquí tienes dos maneras de afrontar este tipo de ataques…
Permitir el acceso al login de WordPress solo a ciertas direcciones IP
Si tienes claro que solo los usuarios desde ciertas direcciones IP deben tener acceso a la administración de WordPress, desde la pantalla de wp-login.php, añade un código como el siguiente al archivo .htaccess en un servidor Apache:
<Files wp-login.php> order deny,allow Deny from all # IP de administrador de Fernando en lista blanca allow from 81.35.92.134 # IP de editora de Mar en lista blanca allow from 85.26.11.91 # IP de gestor de tienda de Hector en lista blanca allow from 115.232.46.8 </Files>
Todo usuario cuya IP no esté en lista blanca no podrá acceder a wp-login.php y el servidor le mostrará un error «403 – Prohibido»
Impedir el acceso al login de WordPress solo a ciertas IPs
El otro enfoque ante este asunto es justo el contrario, permitir el acceso a wp-login.php a todas las direcciones IP, excepto a las que quieras bloquear.
Lo primero es identificar IPs atacantes o sospechosas, bien desde listas como la Blacklist de Hackrepair.com, o analizando los intentos de acceso a tu web desde el registro de errores del hosting, IPs de comentarios malintencionados, etc.
Una vez localizadas IPs sospechosas, conviene comprobar su procedencia, para no bloquear tráfico legítimo, de bots de Google, o similares, con herramientas como Lookup de ICANN.
Cuando tengas claro qué IPs puedes bloquear con seguridad, hay empresas de hosting que ofrecen herramientas para hacerlo fácilmente. En SiteGround puedes hacerlo de 2 maneras:
Bloquear el acceso por IP o rango de IPs
Solo tienes que copiar y pegar la IP o rango de IPs y añadirla(s) a la lista. A partir de este momento la IP o IPs de la lista ya no podrán acceder ni siquiera a la web.
Bloquear el acceso por países
Otra posibilidad que ofrece el panel de SiteGround es bloquear países enteros.
Aquí la restricción es mucho más amplia, pero también mucho más fácil de implementar, y te quitarás no solo muchos intentos de acceso, sino también muchos comentarios spam y tráfico indeseado.
En cualquier caso, da igual el método que elijas, úsalo con precaución, no te vayas a bloquear a ti, ni bloquees tráfico legítimo 😉
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
Gracias por tus continuas aportaciones, Fernando. ¿Qué harías ante un ataque de denegación de servicio una vez te haya tumbado la web?
En ese caso bloquear todo el tráfico posible por países y, si tengo activo CloudFlare, activar el modo Under Attack.
Muchas gracias Fernando! 😉
Muy interesante.
Para evitar robots hay otra opción para gente menos solvente técnicamente que es cambiar el URL de la página de login y, como siempre en Wordpress, hay un plugin que se encarga de eso: https://es.wordpress.org/plugins/wps-hide-login/
Puedes usar ejemplo.com/poraquientroyoyniunmoscamas/ que eso los chinos no lo van ni a oler. 🙂
Sabe si es compatible con Ultimate Member?
No lo sé…
Si a Ultimate Member se le puede especificar una página de acceso distinta de la estándar de Wordpress es posible que funcione; si intenta llevar a los miembros a wp-login.php va a entrar en bucle y se va a detener.