Protegiendo su Panel de Administración de WordPress de Hackers con .htaccess
Si está utilizando WordPress como la plataforma detrás de su blog o sitio web, probablemente sepa que ha habido muchos agujeros de seguridad, no solo en el software en sí, sino también en los complementos. A la luz de estos problemas, veremos cómo prevenir los intentos de piratería bloqueando la carpeta de administración..
El servidor web Apache tiene un mecanismo incorporado que le permite asignar una contraseña requerida para una carpeta, que es independiente de su contraseña de WordPress.
Consejos rápidos de seguridad para blogs
La seguridad es tan importante que sentí que era necesario incluir algunos consejos adicionales aquí. Esto no es de ninguna manera una lista completa, pero debería examinarlos de todos modos.
- Asegúrese de que está ejecutando la última versión de WordPress y todos sus complementos.
- Debería considerar suscribirse a BlogSecurity.net, un blog que intenta cubrir noticias de seguridad sobre plataformas de blogs..
- Asegúrese de que sus permisos de archivo estén configurados correctamente de acuerdo con las directrices de WordPress.
- Asegúrese de que está utilizando contraseñas difíciles para todas las cuentas.
- Asegúrese de que está realizando una copia de seguridad de toda su instalación y base de datos de WordPress.
- Bloquee su carpeta de administración con las reglas de acceso .htaccess (cubiertas aquí)
Asignar una contraseña al directorio wp-admin manualmente
Cree un archivo llamado .htaccess en su directorio wp-admin y agregue el siguiente contenido:
Nombre de autor "Área restringida"
AuthType Basic
AuthUserFile /var/full/web/path/.htpasswd
AuthGroupFile / dev / null
requiere usuario valido
Deberá ajustar la línea AuthUserFile para usar la ruta completa al archivo .htpasswd que crearemos en el siguiente paso. Puede encontrar la ruta completa usando el pwd comando desde el indicador de shell.
A continuación, deberá utilizar la utilidad de línea de comandos htpasswd para crear el archivo de contraseña. También le recomendaría que utilice una cuenta de usuario y contraseña diferentes a las que usa para su instalación de WordPress.
$ htpasswd -c .htpasswd mi nombre de usuario
Nueva contraseña:
Reescriba nueva contraseña:
Agregando contraseña para el usuario myusername
Querrá asegurarse de estar en el directorio especificado por AuthUserFile y cambiar "myusername" a algo único para su sitio. Esto creará un archivo con contenidos similares a los siguientes:
mi nombre de usuario: aJztXHCknKJ3.
En este punto, se le debe solicitar una contraseña cuando navegue a su panel de administración de WordPress. Notará que "Área restringida" es el texto del archivo .htaccess, que podría cambiarse a cualquier otra cosa.
Si recibe un error del servidor, probablemente debería eliminar el archivo .htaccess y comenzar de nuevo..
Por último, debe asegurarse de eliminar los permisos de escritura de ambos archivos con el comando chmod como una capa más de seguridad.
chmod 444 .htaccess
chmod 444 .htpasswd
.Contraseña de htaccess generador de archivos
Hay una gran herramienta de Dynamicdrive que hará todo el trabajo de crear el archivo por ti. Esto es especialmente útil si no tiene acceso de shell a su servidor, ya que solo puede cargar los archivos a través de su cliente FTP / SFTP.
http://tools.dynamicdrive.com/password/
Todavía debe asegurarse de eliminar el acceso de escritura una vez que se cargan los archivos.