Uno de los modos más habituales de intento de hackeo que podemos sufrir en WordPress es el ataque por fuerza bruta, intentando acceder a nuestra administración de manera masiva.
Parece lógico, en consecuencia, limitar el acceso masivo, y para eso hay muchos plugins que permiten evitar accesos masivos o incluso bloquear el acceso durante un tiempo determinado.
Pero, teniendo en cuenta que este tipo de ataques suelen provenir siempre de los mismos países ¿no sería una buena estrategia limitar el acceso para que solo esté permitido a visitantes de ciertos países?
Además, esta utilidad no solo sería interesante para parar ataques, sino que puede formar parte de una estrategia comercial, en la que solo permitamos registrarse y acceder a nuestro sitio, habitualmente con ventajas para el usuario, a visitantes de países concretos.
En cualquiera de estos casos hay un plugin que nos ayudará de un modo genial, Limit login countries.
Su funcionamiento es muy sencillo, una vez instalado y activo nos ofrece una página de configuración en «Ajustes -> Login countries» donde bien añadiremos países a la lista blanca (Whitelist) o a la lista negra (Blacklist).
El concepto es que vamos a poder incluir (lista blanca) o excluir (lista negra) países, lo que mejor se adapte a nuestras necesidades. De este modo, si queremos defendernos de ataques, por ejemplo, haríamos una lista negra de países sospechosos y, para una estrategia comercial, haríamos una lista blanca de los países de procedencia de nuestros visitantes a los que queramos poder acceder. Es solo una idea de posibles usos.
Una vez decidamos si nuestra lista va a ser blanca o negra solo queda ir añadiendo países en el campo siguiente, donde usaremos el código de dos dígitos de los países a incluir en la lista.
Para terminar, tenemos que descargar la base de datos de geolocalización, para lo que tenemos un enlace directo. Una vez descargada hay que subir a la carpeta de carga de archivos de tu WordPress, normalmente «uploads«, de manera que lo detecte el plugin. El fichero que descargamos vendrá en formato comprimido, y hay que descomprimirlo y subir el archivo denominado GeoLiteCity.dat.
Si no lo detecta el plugin le diremos en el campo al efecto donde localizarlo.
Guardas los cambios y ya está, ahora solo podrán acceder a tu administración de WordPress los usuarios cuyos países no estén bloqueados (lista negra) o hayas permitido (lista blanca).
Si, por cualquier motivo, te equivocas y no puedes acceder tu mismo tiene fácil arreglo, añade la siguiente línea al fichero wp-config.php
:
define('LIMIT_LOGIN_COUNTRIES_OVERRIDE', TRUE);
En resumidas cuentas, un sistema sencillo e inteligente para limitar el acceso a la administración de WordPress por países, el uso que se le dé ya es cosa tuya.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
La mejor solución si tienes apache y tienes acceso a los ficheros del server, es configurar en los virtualhost la limitación de wp-login.php por IPs para poder acceder al backend, solo desde las IPs que le digas y olvidarse uno de plugins.
Aún así, muchas gracias por el artículo.
Saludos.
Muy parecido a IQ block country, este más completo como definición de mensajes, si front o backend, etc
a que te refieres a si front o backend ?
Esta muy bien, pero con una vpn que tenga muchas ips podría saltarse el bloqueo. Lo mejor es hacerlo como dice el colega desde el cpanel.
Esto no bloquearía tb a los motores de busqueda?
A esos países si, lo que no es malo sino todo lo contrario
IQ block country no me bloquea los paises y si lo hace pero cuando le da la gana! alguien que me diga que estoy haciendo mal
Una consulta y no se donde publicarla, por eso aprovecho y la dejo aqui a ver si me responden.
Estoy lanzando un proyecto en Patreon contra las fake news (trabajo freelance en ese mundillo)
No he encontrado ningun plugin que vincule wordpress con las membresias que uno puede ofrecer en Patreon y queria saber si conocen algun plugin vinculante o en ultimo caso si conocerian alguna forma de poder mantener la suscripcion de usuarios digamos por 30 dias y si no renueva en Patreon darlo de baja del sitio y si renueva que siga siendo usuario registrado.
Me gusta Patreon porque los apoyos son de por vida, y no como los sitios de crowdfunding que son limitantes.
Agradeceria una respuesta, muchas gracias y genial sitio
Se puede hacer por .htaccess, que solo desde cierto pais pueden acceder al wp-admin o wp-login.php