Proteja su carpeta de administración en cualquier sitio web de WordPress

La carpeta de administración en WordPress contiene la clave para acceder a todo su sitio web. Los piratas informáticos siempre intentan ingresar a la carpeta Admin para piratear un sitio. Se informaron numerosos casos de piratería de sitios web en los que se descubrió que los piratas informáticos tomaron posesión de la carpeta WP-Admin y, por lo tanto, tuvieron acceso al resto del sitio web.

Por lo tanto, algunas personas se lo piensan dos veces antes de crear un sitio web en WordPress. Pero si ya tiene un sitio web de WordPress, puede proteger su carpeta de administración en WordPress limitando el acceso en .htaccess.

Hay varias formas de proteger su carpeta de administración en WordPress limitando el acceso en .htaccess. Puede hacerlo mediante complementos, pero el método recomendado es configurar el archivo .htaccess manualmente.

Cuando lo hace manualmente, existen varias medidas de seguridad que puede tomar para evitar diferentes tipos de intentos de piratería. Tenga en cuenta que .htaccess es un archivo muy poderoso que no solo lo ayuda en cuestiones de seguridad, sino que también tiene las configuraciones para mejorar drásticamente el rendimiento del sitio.

Cómo proteger su carpeta de administración en WordPress limitando el acceso en .htaccess (por complementos)

WordPress es popular por sus complementos y hay complementos para literalmente todo. WP Security Scan es un complemento que necesitará para proteger su carpeta de administración en WordPress al limitar el acceso en el archivo .htaccess.

Vaya a la opción Complementos en el menú de la izquierda del Tablero y haga clic en la opción Agregar nuevo. En el cuadro de búsqueda, escriba el nombre del complemento que es WP Security Scan.

Una vez que se encuentra e instala el complemento, vaya a la configuración del complemento. Encontrará .htaccess en el informe de análisis de archivos y puede establecer la configuración de permisos del archivo y las subpartes para proteger su carpeta de administración.

Aunque el complemento no se actualizó durante un par de años, es completamente funcional y el único complemento en el mercado que le permite cambiar la configuración en el archivo .htaccess.

Recomienda las acciones correctivas que puede tomar y, por lo tanto, no tiene que ser un experto para hacer los cambios. Oculta la versión de WordPress, proporciona seguridad de la base de datos y medidas de seguridad y protección del administrador de WordPress.

Aparte de eso, también puede instalar complementos de seguridad populares como All In One WP Security & Firewall como Wordfence Security.

Cómo proteger su carpeta de administración en WordPress limitando el acceso en .htaccess (manualmente)

Con los complementos, tiene configuraciones limitadas y si uno de esos complementos es pirateado, su sitio web también se volverá vulnerable.

Por lo tanto, siempre se recomienda tomar las riendas y configurar el archivo .htaccess usted mismo. Además, hay muchas medidas de seguridad que puede tomar al insertar fragmentos de código.

Acceso al archivo .htaccess

Necesitaría un software FTP para acceder a sus archivos y carpetas de su sitio web. FileZilla es el mejor software FTP. Instálelo y ábralo y luego inicie sesión en su cuenta de cPanel. Tenga en cuenta que es posible que vea un archivo .htaccess diferente en diferentes carpetas o en el directorio raíz. No los edites en absoluto.

Tienes que editar solo el archivo .htaccess que reside dentro de la carpeta WP-Admin. Por lo tanto, muévase dentro de la carpeta WP-Admin y localice el archivo .htaccess. En caso de que no tengas uno, tienes que crearlo con el nombre .htaccess. Asegúrese de hacer una copia de seguridad del archivo antes de editarlo. Así es como se ve .htaccess.

1. Restricción del acceso de administrador

Lo primero que debe hacer es restringir el acceso de cualquier otra computadora o dispositivo a su sitio web como administrador que no sea su dispositivo o computadora. Puede lograr esto permitiendo solo su dirección IP. Si tiene varios dispositivos, puede permitir la dirección IP de cada uno de ellos.

Desde el punto de vista de la seguridad, es el paso más estricto que puede tomar, pero también le impide acceder a su panel de administración desde la computadora de otra persona.

Agregue el siguiente código debajo de #END WordPress, que es la última línea en el archivo .htaccess. Coloque sus direcciones IP correspondientes a la declaración de permiso y podrá tener tantas declaraciones de permiso como desee.

2. Protege wp-config.php

Wp-config.php es el archivo más importante y tiene información vital sobre su sitio web. Debe asegurarse de que el archivo no llegue a los piratas informáticos de ninguna manera; de lo contrario, su sitio web será pirateado.

Puede denegar el acceso a su wp-config.php a cualquiera que no sea usted mismo. Pegue el siguiente fragmento de código en el .htaccess al final de todas las líneas.

3. Prohibir usuarios maliciosos por su dirección IP

Hay algunos usuarios que son piratas informáticos potenciales e intentan utilizar métodos de ataque de fuerza bruta y otros medios de piratería. Debe prohibir a esos usuarios por sus direcciones IP.

Simplemente instale cualquier complemento de seguridad liviano y simple y recibirá notificaciones con la dirección IP cuando alguien intente iniciar sesión en su sitio web con un sistema de ataque de fuerza bruta. Utilice el siguiente fragmento de código para completar ese objetivo.

4. Deshabilitar la ejecución de PHP

A veces, algunos de los temas tienen puertas traseras para que los piratas informáticos pirateen su sitio web si usa esos temas. La mayoría de los archivos de puerta trasera se almacenan en diferentes directorios, como wp-includes y uploads.

Incluso cuando su sitio web es pirateado y se recupera de él, los piratas informáticos pueden crear ingeniosamente algunas puertas traseras colocando códigos PHP en algunos archivos o guardando carpetas internas que son indetectables. Puede detener eso deshabilitando la ejecución de PHP en ciertas carpetas. Utilice el siguiente fragmento de código para lograrlo.

5. Deshabilitar la exploración de directorios

Los piratas informáticos navegan en diferentes directorios de su sitio web de WordPress y realizan trabajos maliciosos, como colocar fragmentos de código para crear puertas traseras, eliminar archivos importantes y similares. Puede deshabilitar el acceso a cualquier carpeta con el siguiente fragmento de código.

6. Restricción del acceso al contenido de WP

La carpeta más importante para un sitio web de WordPress es WP-Content, donde se almacenan todas las imágenes, archivos de temas y archivos de complementos. Si alguien obtiene acceso a esa carpeta y elimina todo y no tiene una copia de seguridad, su sitio web desaparecerá. Además, los piratas informáticos pueden colocar malware y virus en esa carpeta y su sitio web puede desmoronarse.

Coloque el siguiente fragmento de código en el archivo .htaccess y podrá denegar a todos el acceso a la carpeta wp-content.

Aparte de eso, puede deshabilitar los enlaces directos de imágenes para evitar que otra persona se vincule a sus imágenes y ralentice su sitio web. También se puede configurar la redirección general y las redirecciones 301 a través del archivo .htaccess para que los visitantes sepan que ha movido el contenido a una nueva ubicación.