Cómo ocultar fácilmente su página de conexión de WordPress de hackers

Cambie su URL de conexión de WordPress y oculte su WP-Admin para superar a los piratas informáticos y evitar ataques de fuerza bruta … ¡es más fácil hacer que su sitio sea más difícil de romper de lo que piensa! No nos engañemos a nosotros mismos. Incluso los niños con escenarios saben que todo lo que tiene que hacer para hacer una vida al propietario de un sitio de WordPress es encontrar la página de autenticación de WordPress y adivinar el nombre de usuario y la contraseña. Por cierto, la adivinación de las contraseñas, por cierto, no es difícil de hacer, especialmente si usa las mismas contraseñas para la mayoría de sus autentificaciones y comparte toda su vida en las redes sociales.
WordPress es la plataforma CMS más popular del mundo y esto lo hacen un imán irresistible para hackers y intentos de conexión maliciosa. Incluso lo mejor de lo mejor puede ser derribado por un no conformista oculto, con acceso a herramientas de fuerza bruta, que intentará automáticamente adivinar su nombre de usuario y contraseña, presionando su página de autenticación de WordPress y varias veces. De nuevo. La mejor manera de combatir los ataques de las fuerzas brutas … ¡escóndate! Intentar intentos de conectarse a WordPress es tan común que incluso hay un código en Codex dedicado a este tema.
Pero … ¿por qué darles malos hackers y robots para intentar incluso adivinar los detalles de conexión? Simplemente oculte su página de autenticación de WordPress y la mayoría de sus golpes y software automatizados ni siquiera sabrán que su sitio existe. En este artículo, aprenderá cómo implementar una de las estrategias más simples y fáciles para proteger su sitio web de los malos piratas informáticos y los robots: cambiar la URL de WordPress, ocultar las páginas WP-Admin y WP-Login y la redirección. Visitantes no deseados lejos de su Página de conexión. Enumerarlo y los piratas informáticos se romperán. Ocultar página de autenticación de WordPress … ¡Sin ataque malicioso! ¿Por qué cambiar la URL de WordPress? Tengo un sitio estándar de WordPress que instalé hace unos años. Para llegar a la página de autenticación, todo lo que tiene que hacer es acceder /wp-admin o /wp-login.php. Este sitio no ve una tonelada de tráfico. En un mes regular, genera una pantalla de aproximadamente 5,000 páginas. Sin embargo, la página de conexión del sitio ve intentos de inicio de sesión muy previstos de manera regular. Tengo el complemento de defensa activado en este sitio y sigo el número de intentos de conexión bloqueados intencionales. Desde que comencé a ver la cantidad de intentos de autenticación bloqueados maliciosos, puedo ver que mi sitio administra cientos de intentos de autenticación maliciosa cada mes, en promedio aproximadamente 24 por día o un intento de conexión maliciosa cada 60 durante minutos.

Los intentos de conexión no tienen lugar a una velocidad normal de una por hora. Podemos pasar semanas sin un solo intento de conexión maliciosa para ser registrados. Luego, de repente, varios cientos o incluso varios miles de intentos de conexión se registrarán en un corto período de tiempo. La mayoría de los sitios de WordPress configurados como instalaciones estándar se enfrentan periódicamente con ataques de fuerza bruta que intentan autenticarse en el tablero de WordPress. Probablemente también lo haga, ya sea que lo sepa o no. Las fuerzas brutas atacan constantemente para ingresar a su sitio de WordPress, ya sea que lo sepa o no. La seguridad de WordPress a través de la oscuridad puede creer que el uso de autenticaciones inteligentes mantendrá su sitio seguro.
Los piratas informáticos pueden decir fácilmente si un sitio está alimentado por WordPress o no (a menudo solo miran la fuente de la página).

Los piratas informáticos pueden decirle fácilmente si su sitio se está ejecutando en WordPress, pueden determinar sus conexiones inteligentes y pueden darle golpes aún más grandes. Una vez que un hacker sabe que su sitio se está ejecutando en WordPress, él sabe cómo encontrar su conexión de WordPress (alerta de spoiler: la conexión predeterminada de WordPress se encuentra ingresando su nombre de dominio, seguido de / wp-login.php). El comportamiento predeterminado de WordPress carga la página de autenticación al acceder a wp-login.php. En su lugar, ingrese el WP-Admin y será redirigido automáticamente a WP-Login.php.
Si no sabe cómo cambiar el nombre de usuario de su administrador, su amable hacker de suegra también sabrá que su nombre de usuario es muy probable que sea algo así como Admin. Todo lo que el hacker tiene que hacer ahora es adivinar la contraseña. Incluso si no puedo adivinar la contraseña, pero continúa intentándolo, esto puede usar los recursos de su servidor y puede destruir su sitio. Si los piratas informáticos bailan ilegalmente alrededor de sus conexiones sabias el tiempo suficiente, probablemente generarán éxitos suficientes para adivinar su contraseña. Si no puedo verlo, no puedo romper muchos hackers son oportunistas y buscan maduros y fáciles de elegir.

Si no quieres que la gente robe tu fruta, esconde tu árbol. Continuando con esta analogía verdaderamente débil (cuando la vida le da limones …), su página de conexión de WordPress ofrece a los usuarios acceso a todo el huerto, por lo que, como parte de nuestra estrategia para crear “seguridad por obscuridad”, esconamos la url de la página de conexión a todos. algo más que el administrador. Paso opcional: instale WordPress en su propio directorio si está tratando con una nueva instalación de WordPress o un sitio web existente de WordPress, cuando sea posible, considere instalar WordPress en un subdirector. Aunque esto no evitará que los piratas informáticos encuentren su página de autenticación de WordPress si eligen deliberadamente apuntar a su sitio, desanimarán a muchos robots y usuarios al azar al azar que buscan objetivos fáciles para comenzar a golpear el sitio: su UL y sacudir su eje para ver qué cae. .
Por lo tanto, instalar su sitio de WordPress en un subdirector es un buen primer paso para crear “seguridad a través de la oscuridad”. Como siempre, antes de hacer algo más, como siempre, si mueve una instalación existente de WordPress, cree una copia de seguridad completa de su sitio y guárdela en un lugar donde no la eliminará o cambiará accidentalmente. (Empatado: cómo hacer niños de repuesto para la protección de balas) Una cosa más. Al crear un subdirector, elija un nombre que no sea demasiado predecible, como http://example.com/wordpress o http://example.com/wp. En su lugar, elegir algo único que nadie pueda adivinar como http://example.com/dwiiw (un acrónimo de ICRECTORY D W HERE I ODRESIÓ Difícil -Director difícil de encontrar. Si elige instalar WordPress en un subdirector o no, como medida de seguridad adicional, depende del siguiente paso es ocultar su URL de su inicio de sesión (y opcionalmente para redirigir wp-login.php a otra página desde su sitio ). Hay algunas formas en que puede ocultar su página de inicio de sesión de WP por otros usuarios:

Use un complemento para enmascarar la URL de conexión (la forma más simple)
Enmascarar la URL de WordPress sin un complemento (modo tacilar)
Cambie el archivo .htaccess (el modo “Tengo que codificar todo desde cero”)

Ocultar la exoneración de la página de sesión de inicio de sesión de su sitio antes de comenzar, la estrategia distribuida a continuación no se recomienda si su sitio requiere una página de conexión que debe seguir siendo fácil de encontrar para otros usuarios (como ser un sitio de membresía). Si su sitio no es un El sitio de membresía y los intentos de inicio de sesión se limitan a una docena o menos por administradores, autores, editores y colaboradores, luego ocultar su página de conexión lo ayudará a proteger su sitio contra intentos de conexión maliciosa. Ocultar wp-login.php usando un complemento Hay varios complementos de WordPress gratuitos que le permitirán ocultar la URL del inicio de sesión. Algunos de estos complementos también le permitirán redirigir sus visitantes WP-Login.php a otra página de su sitio. Simplemente visite WordPress.org Director de complementos y busque la lista de complementos de seguridad “Ocultar la autenticación WP” que pueda usar. Para este tutorial, utilizaremos el complemento de defensa de WPMU Dev. El defensor le permite ocultar y redirigir WP-Login.php e incluir muchas otras características de seguridad de seguridad.
El defensor protege su sitio web contra hackers y ataques de fuerzas brutas. Puede descargar GRATIS Defender Defender desde WordPress Plugin Warehouse o, si es un miembro de WPMU Dev, continúa e instala Defender Pro desde su centro de gestión de sitios de WordPress.
Instale el complemento de seguridad de WordPress Defender WordPress y haga que su página de autenticación de WordPress sea invisible para hackers.Nota: Para obtener instrucciones completas de instalación y configuración, consulte la sección Documentación del complemento del departamento.Después de instalar y activar el complemento, navegue el menú principal del tablero de WordPress y vaya al defensor> el tablero.Encuentre la sección “Área de conexión de máscara” y haga clic en el botón “Activo” para activar la función. Active el “Área de conexión de máscara” para ocultar la dirección de conexión WP.Haga clic en el botón “Finalizar configuración” para mostrar la pantalla con opciones de enmascaramiento de URL.
Haga clic en el botón y activemos la función de WordPress. Mueva la página de inicio de sesión.Esto muestra la pantalla de herramienta avanzada.
El defensor de la pantalla “Herramientas avanzadas”. En la sección de enmascaramiento de URL, ingrese una nueva Slug URL donde los usuarios de su sitio irán a iniciar sesión o registrarse en su sitio. Le recomiendo que elija algo para recordar fácilmente, pero todos los demás no podrán adivinar al azar. Para este ejemplo, para usar el mismo método de acrónimo utilizado anteriormente para encontrar el nombre del director de DWIIW y el nombre de nuestra nueva URL de WordPress, como: http://example.com/dwiiw/gli en este caso. Gli significa G et l Ogged en y cumple el propósito de ser simultáneamente fácil de mantener y difícil de adivinar. Haga que su nueva URL de WordPress sea difícil de adivinar a los piratas informáticos. Guarde sus cambios e inicie sesión desde su sitio de WordPress. Ahora intente iniciar sesión nuevamente a través de la página de inicio de sesión predeterminada en sudomain.com/wp-login.php. ¿Sabes qué? ¿Dónde está el cuadro de inicio de sesión de WordPress? Normalmente, la tipo de WP-Admin en un navegador web redirige automáticamente a los usuarios a wp-login.php. El defensor también desactiva esta función.
Ayuda … ¡Soy un hacker, déjame ir! Solo los usuarios con acceso a la URL enmascarada ahora verán la página de conexión de WordPress. La URL de su página de inicio de sesión de WordPress ahora está enmascarada. Consejo: Como un toque agradable adicional para sus usuarios, recomendamos personalizar su página de inicio de sesión de WordPress, instalar complementos para usuarios mejorados o permitir a los usuarios conectarse a WordPress utilizando una dirección de correo electrónico. Si solo ciertos usuarios pueden acceder a su sección de administración, puede limitar el acceso a la página de autenticación para ciertos usuarios a través de direcciones IP. Una página de autenticación de WordPress personalizada. Sin beneficio de seguridad, pero niiiiic! Paso opcional: redirigir wp-login.php Usando el método presentado anteriormente, cualquiera que intente visitar la página de autenticación de WordPress predeterminada (es decir, wp-login.php) se encontrará con un mensaje de error (“Esta característica está desactivada”). Si desea enviar a los visitantes y usuarios (o incluso a los piratas informáticos) a otra página (por ejemplo, la página de almacenamiento, la página de contacto, la sección de preguntas frecuentes o cualquier otra página en su sitio), puede redirigir el wp- login.php predeterminado utilizando el Función de redirección de tráfico del defensor. Para redirigir la página WP-Login.php, vaya al menú del tablero WP y seleccione Defensor> Herramientas avanzadas> Iniciar sesión de máscara. Active la redirección 404 en la sección de redirección de tráfico, ingrese el trabajo de la página al que desea enviar a los visitantes y haga clic en Guardar cambios para actualizar su configuración.

Ok Hackers, es hora de ver si el crimen realmente está pagando … Ahora, cualquiera que intente visitar la dirección de conexión predeterminada se redirigirá a la publicación o página que especificó. Vamos hackers … ¡dale hasta que duele! Notas: Puede usar cualquier combinación de AZ y 0-9 en el servidor.

No puede agregar URL completas (esto evita enviar sus 404 errores a otro dominio).

Oculte la página de inicio de sesión de WordPress sin un complemento Si desea ocultar su página de autenticación sin usar un complemento, todo lo que necesita es un editor de texto, acceso a sus archivos de instalación de WordPress (FTP, Cpanel File Manager), luego haga lo siguiente: 1- Haga una copia de seguridad de su archivo wp-login.php. Mientras esté en esto, vaya más allá y haga una copia de seguridad de todos los demás, ¡porque está a punto de confundir el código e ingresar al área de peligro!

Haga una copia de seguridad del archivo wp-login.php y copie todo el código en el portapapeles. Nota: Si está buscando un excelente complemento para la copia de seguridad y la restauración de archivos y el sitio de WordPress, recomendamos usar nuestra propia instantánea. Luego abra el archivo wp-login.php. Seleccione y copie el código completo en el portapapeles. 2 – Cree un nuevo archivo de autenticación PHP. Cree un archivo nuevo usando el editor de texto. Llame a este archivo lo que desee (por ejemplo, “canny-login.php”, “langer-zone.php”, etc.). Pegue el código del archivo wp-login.php existente en el nuevo archivo y guarde. Como alternativa, abra el archivo WP-Login.php y “Guardar como” el nuevo nombre del archivo.

Su archivo WP-Login renombrado. El mismo código, nombres de archivo nerviosos. 3-Search y reemplace la cadena “WP-Login.php” en el nuevo código de archivo. Busque y reemplace cada instancia de “WP-Login.php” en el código con el nuevo archivo de conexión. Corte y reemplace todas las canchas “WP-Login.php” con su nuevo archivo de conexión. Devuelva el archivo con el código modificado. 4 – Cargue el nuevo archivo de conexión al servidor. Inicie sesión en su servidor y cargue el nuevo archivo de inicio de sesión en la carpeta o directorio raíz que instaló WordPress. Elimine el archivo WP-Login.php original en su servidor Reemplace wp-login.php en su servidor con el nuevo inicio de sesión. 5 – Actualice la conexión implícita y las URL de desconexión. El último paso es conectar los filtros Login_URL y Logout_URL para actualizar nuestro archivo. Agregue el siguiente código a funciones.php de su tema (preferiblemente en el tema del niño): add_filter (‘logOut_url’, ‘custom_logout_url’);

Función custom_logout_url ($ predeterminado)


{

return str_replace (‘wp-login’, ‘danger-zone’, $ default);

}
add_filter (‘login_url’, ‘custom_login_url’);
Función custom_login_url ($ predeterminado)
{

return str_replace (‘wp-login’, ‘danger-zone’, $ default);

} 6 – Pruebe la nueva URL de conexión Pruebe su nueva URL del inicio de sesión. Cualquiera que visite la página WP-Login.php predeterminada encontrará un error. Aquí no hay conexiones sabias para los piratas informáticos ocultos, a menos que sepan cómo navegar en la carretera hasta el área peligrosa. Para volver a la página de inicio de sesión original, simplemente restaure el archivo wp-login.php desde la copia de seguridad y elimine el nuevo archivo en el servidor. WordPress Connection URL .htaccess Hacks Hay formas de “ocultar” los detalles de la conexión de WordPress utilizando el archivo .htaccess. Sin embargo, ocultar la URL de WordPress no necesariamente significa ocultarla a los demás. Por ejemplo, echemos un vistazo a lo que sucede al agregar la redirección de URL a .htaccess. Recuerde hacer una copia de seguridad completa de su sitio antes de hacer cualquier cambio en su archivo .htaccess. Página de conexión de WordPress con URL de redireccionamiento Puede cambiar la ubicación de su página de autenticación cambiando su archivo de autenticación de WordPress utilizando el módulo Mod_rewrite en un servidor Apache. Para hacer esto, agregue la línea a continuación a su archivo .htaccess (nota: reemplace “NewLogInpage” con cualquier alias y cambie la URL Ejemplo.com: Rewriterule ^NewLogInpage $ http: // www. Ejemplo.com/wp-login.php [NC, L] En este ejemplo, agregaremos un alias llamado “Dancekevindance” y recargaremos el archivo .htaccess en nuestro servidor:

Reescribamos las reglas y veamos si podemos ocultar nuestros sabios inicios de sesión.Ahora regrese al sitio e ingrese la nueva URL.La redirección de la URL no oculta la URL WP, sino que solo baila alrededor del problema.Como puede ver, el método anterior no oculta la URL de WordPress predeterminada, sino que solo crea un alias que permite a los usuarios conectarse al tablero de WordPress utilizando una dirección web que es más fácil de recordar que HTTPS:
//yourexample.com/wp-login.php. Oculte su página de conexión de WordPress con el código idealmente, recomendamos usar un complemento si desea cambiar su URL de WordPress, ocultar las páginas wp-admin.login.php o redirigir a los usuarios lejos de la página de inicio de sesión. Default. Cambiar el código puede causar problemas de compatibilidad, ralentizar el sitio y crear otros problemas. Si desea ver otras opciones que involucren código, vea esta publicación que escribí sobre ocultar a sus WordPress Hackers WordPress. No permita que lo lleven directamente a la zona de peligro de WordPress es un hackers y robots maliciosos, por lo que es importante comprender las mejores prácticas de seguridad de WordPress e implementar más estrategias de seguridad de WordPress para proteger su sitio. Los piratas informáticos y ataques con fuerza bruta. Esto incluye seguridad a través de la oscuridad. Cuando se usa como parte de una estrategia de seguridad más completa, la oscuridad puede ser útil. Sin embargo, como acabo de ver, ocultar la página de inicio de sesión de WordPress no es suficiente para garantizar que verá cero intentos de conexión intencional. Si realmente no cambia su URL de WordPress, su sitio y redirige a los visitantes no deseados como WP-login.php y WP-Admin, los piratas informáticos y los robots aún podrán encontrar su página de autenticación e intentar adivinar sus detalles de inicio de sesión. Cambiar el código puede causar problemas de compatibilidad, ralentizar el sitio y crear otros problemas.
El uso de un complemento como el defensor es la forma más fácil de ocultar a los piratas informáticos de WordPress y hacerlo casi invisible para la gran mayoría de los intentos de conexión maliciosa. Para proteger su sitio contra lo peor de lo peor, necesita ayuda de lo mejor de lo mejor. Si aún no es miembro de WPMU Dev, únase a nuestro grupo de elite de los principales desarrolladores de WordPress y propietarios de sitios web con nuestro intento libre de riesgos y obtenga acceso a todas las herramientas de seguridad, funciones de protección y asistencia. La zona de peligro. ¿Oculta su URL de inicio de sesión de WordPress o usa la URL de conexión WP-login.php estándar? ¿Las botas llegan a su sitio? Si ha ocultado su URL de conexión, ¿ha notado una disminución cuantificable en las pruebas de conexión maliciosa después de hacer el cambio? Comparta sus pensamientos y sugerencias en los comentarios a continuación.
Etiquetas:
defensor
Página de inicio de sesión de WordPress
Seguridad de WordPress