(24-03-2014, 01:23 AM)Sir Andrew Perkins escribió: [ -> ]Algo que leí y me pareció genial, incluso debería estar por defecto de esta manera en todo WP
Es indicar mediante .htaccess las IP aprobadas para entrar a wp-login.php
Código PHP:
<Files wp-login.php>
Order Deny, Allow
Deny from all
Allow from xx.xx.xx.xx aquí tu IP
</Files>
Con esto en teoría ya no hay posibles hackeos, pones la tuya y ya no puede entrar nadie salvo tú.
Sin duda es una excelente opción, aunque el problema se presentaría si tenemos ip dinámica.
@Sir Andrew Perkins @
rafffael efectivamente, bloquear todas las ips puede causar el problema de que si la nuestra cambia, jodidos estamos. Una buena opcion es implantar algun sistema que bloquee ips tras x intentos fallidos. wordfence lo hace e
ithemes security tambien. Este ultimo ademas provee de una forma super "user-friendly" de proteger nuestras instalaciones de wordpress (se pueden tener los 2 a la vez, no son incompatibles).
Quiero decir, está la forma "manual" de tocar los htaccess, permisos, etc etc etc que no solo puede ser complicada para muchos, si no francamente pesada de implementar y actualizar (sobre todo si se manejan muchos sitios). Yo antes lo hacia asi (y estoy contenta con los resultados). Así , que yo recuerde, es importante bloquear (se hace desde htaccess) el listado de directorios, la ejecución/subida de determinados archivos en determinadas carpetas... y alguna cosa mas que ahora mismo no me acuerdo xD. Lo que me ha gustado de este plugin (que es gratis y esta en el repositorio, y no, no gano nada con promocionarlos xD ) es que te muestra un listado de fallas de seguridad y las puedes ir corrigiendo una a una con unos pocos clicks.
Lo encontré porque tras poner el wordfence me han estado llegando toneladas de emails de "se ha bloqueado tal ip tras 10 intentos fallidos, trataba de entrar con el user "admin" " y queria cambiar la url de wp-login, pero no conseguía que me funcionara bien trasteando el htaccess de marras.
Ah! ambos plugins son perfectamente compatibles con tener puesto el que comenté de cambiar el username al admin(dado que se ejecuta una vez y ya, no es una funcion que esté coriendo todo el rato) y con el pedazito de codigo que puse por ahi para quitar el mensaje de "user incorrecto" o "pass incorrecta" , dado que no se llama igual la fuinción (al menos a mi no me ha dado ningun problema).
Para evitar la sobrecarga de plugins, si habéis creado el user admin es tan fácil como crear otro usuario dándole permisos de administrador y luego os logeais con ese nuevo usuario y borráis el user admin (acordaros de pasar los posts del user admin al vuestro).