WordPress tiene una sencilla página de login que permite a los administradores del sitio web realizar alteraciones de todo tipo, con un sistema de gestión de permisos bastante seguro y miles de plugins que ayudan a aumentar sus funcionalidades.

El problema es que esa página de login es el objetivo de hackers que intentan entrar en la sección de administración, y debemos protegerla al máximo para evitar tanto una invasión como una cantidad excesiva de accesos a la base de datos. Aunque la web esté protegida por contraseña, si alguien intenta realizar un ataque de fuerza bruta, se probarán miles de combinaciones en poco tiempo, saturando al servidor, que tendrá que verificar todas ellas en la base de datos, consumiendo recursos.

Aquí tenéis tres cosas que deben hacerse siempre para proteger dicha puerta de entrada:

1 – Proteger el directorio wp-admin: Para ello basta con crear un archivo .htpasswd y ponerlo en algún directorio dentro del servidor.

Una vez creado al archivo, es necesario crear un .htaccess dentro del directorio wp-admin y añadir las siguiente lineas:

AuthName “texto”
AuthType Basic
AuthUserFile “/home/username/example.com/.htpasswd” (con el camino en el que se ha guardado el htpasswd)
Require valid-user

2 – Proteger el archivo wp-login.php: La entrada a WordPress puede realizarse también por el archivo wp-login, por lo que debe protegerse desde el archivo .htaccess del sitio web usando:

3 – Bloquear el acceso desde la app móvil de WordPress: Aunque los directorios y archivos estén protegidos, los hackers podrán intentar entrar usando la app móvil de WordPress, ya que dicha app no usa las páginas tradicionales. En este caso será necesario bloquear el acceso al archivo xmlrpc.php desde el .htaccess, responsable por la actualización e identificación desde plataformas terceras. Las lineas de código son sencillas, también en el .htaccess principal del sitio web:

En este caso se ha liberado el acceso a la IP 123.123.123.123 , para que solo quien tiene dicha IP pueda realizar las actualizaciones desde la aplicación deseada.

Estos tres sencillos pasos permitirán dar más seguridad sin necesidad de instalar ningún plugin.