Hay una serie de trucos que podemos realizar en nuestro blog Wordpress para impedir ataques que se aprovechen de vulnerabilidades conocidas. Ruben Colomer ha traducido 3 de estos trucos explicados por Matt Cutts y aquí los expongo.
1. Eliminar del código fuente del wordpress toda relación que apunte a la versión que estamos utilizando en el blog. Si conocen nuestra versión, resultará más fácil descubrir que agujeros de seguridad tiene la versión que estamos corriendo y atacarlo.
El código a eliminar, ubicado en el fichero header.php de nuestra plantilla es este …
<meta name=»generator» content=»WordPress <?php bloginfo(‘version’); ?>» />
que podemos dejar así …
<meta name=»generator» content=»WordPress» />
2. Proteger la carpeta de plugins creando un archivo vacío llamado index.html dentro de la carpeta. De este modo evitamos que puedan ver los que tenemos instalados.
3. Proteger la carpeta wp-admin añadiendo un fichero .htaccess donde solo permitamos acceso a las IPs de los usuarios que sepamos que deben acceder. El contenido del fichero sería este …
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# IP cuando estoy en casa
allow from xx.xxx.xxx.xx
# IP cuando estoy en el trabajo
allow from xx.xxx.xxx.xxx
allow from xxx.xxx.xxx.200
# IP de otro usuario con permisos
allow from xxx.xxx.x.xx
Donde xx.xx.xxx.xx es la IP con acceso.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
Oh, pero esos son solo algunos, hay muchas formas, y otras algo ‘tontas’ pero sirven para despistar a esos distraidos =D.
Pues nada Lorenzo, compártelos y actualizamos el post 😉
Muy bueno, gracias por los consejos =)
Dicho y hecho las dos primeras maestro, las de las IPs me pierdo, pero sigo leyendo.
muy util los datos.. pero tengo una duda..
es posible agregar solo ip por clase, osea si yo quiero dejar que solo un margen de IP pueden entrar..
192.168.xxx.xxx ?
y si no existe una ip estatica, sino que son dinamicas? como se hace?
Si tienes ip dinámica puedes hacerlo igualmente pero cada vez que cambie tendrás que entrar por ftp y cambiar la ip a la actual.
Pero es un tremendo dolor de cabeza, entrar cada vez que necesitemos administrar nuestro blog; entrar vía ftp, modificar la ip, volver a guardar el .htacces y recién ahí ingresar al admin del blog… No hay una manera mas simple?
Supongo que con el protocolo IPV6 esto se verá solventado al tener cada uno una IP ¿no?
Fernando, tenes algun codigo para agregar al archivo functions.php que nos haga esto?
Buenas Fernando, muchas gracias por los tips, soy un nuevo fan de esta bitacora y tengo una duda, con respecto a la visualizacion de la carpeta wp-admin ¿Habrá algún modo de colocar que en vez de validar la ip, se pueda validar mi dirección mac de mi pc?