¿Cómo evitar el hackeo de wp-admin en WordPress?

Hay muchas maneras de recibir un hackeo de wp-admin en tu WordPress. La razón es, que estoy sufriendo durante esta última semana ataques por fuerza bruta o intentos de acceder al panel de administración de nogueratech.com.

Estoy probando diferentes sistemas de autodefensa en WordPress y quiero que sea de ayuda para quien necesite defenderse de estos ataques a su WordPress.

Podemos proteger el archivo .htaccess, cambiar el usuario de administrador de WordPress (muy recomendado durante la instalación), cambiar la dirección de acceso a wp-admin o cambiar el modo de acceso al panel de administración de WordPress, entre otras tantas.

Yo me he decantado por esta última opción, aunque hay muchas maneras con las que te pueden dar un dolor de cabeza, por eso el título tan general de este artículo.

Cambia el modo de acceso a WP-Admin con Clef

Tal y como acabo de comentar, existen muchas maneras de mejorar y proteger tu CMS de WordPress para saber cómo evitar el hackeo de wp-admin en WordPress. Y la más sencilla sin conocimientos técnicos es Clef.

  1. Para instalarlo es como cualquier otro plugin, lo buscas en el amplio catálogo de plugins de WordPress y lo instalas.
  2. Ahora sigue los pasos para configurarlo junto con tu dispositivo Android o iOS.

Una vez completados los anteriores pasos, cada vez que accedas al wp-admin te mostrará una especie de código de barras en movimiento que usa la tecnología de las criptomonedas como el bitcoin junto con claves privadas cifradas con RSA 2048-bit que se validan en el momento de escanearlo con la aplicación móvil Clef (para Android y iOS).

Para mantener la seguridad en las apps móviles, cada vez que se abra solicitará un PIN. Incluye un registro de logins (correctos y fallidos) a tu wp-admin.

Al principio mantuve la opción de acceder mediante usuario y contraseña más el acceso con Clef.

Añadiendo Clef reduje a la mitad los intentos de hackear el acceso wp-admin de WordPress, ya que el acceso por usuario y contraseña queda en segundo plano y no es accesible desde el principio.

Un extra, a través de las opciones del plugin de Clef, podemos desactivar el acceso mediante usuario y contraseña del administrador y únicamente habilitando el acceso a Clef. Estas son las opciones que recomiendo activar:

  1. Disable passwords for all users and hide the password login form
  2. Disable passwords for Clef users

Con estas dos opciones, limitamos el acceso únicamente mediante el validador Clef. De esta forma, reduje a cero los ataques de acceso al wp-admin de WordPress.

Y a partir de ahora, wp-admin lo tendrás cubierto contra ataques de phishing (suplantación de identidad), ataques de fuerza bruta, keylogging, brechas de seguridad en el servidor o robos de tu teléfono móvil, tablet o portátil.

Seguridad extra con Sucuri Security Plugin

Por una parte ya tengo protegida la seguridad del panel de acceso wp-admin, pero quiero un poco más.

Investigando un poco me encontré con Sucuri Security Plugin para WordPress. Dispone de multitud de opciones la versión gratuita (y para mi suficientes) con las que realizar un seguimiento y análisis de lo que se cuece en tu blog.

Las características más llamativas para mi son:

  • Registro de cualquier actividad dentro de WordPress
    • Logins correctos
    • Logins fallidos
  • Ataques de fuerza bruta
  • Escáner remoto de malware
  • Monitoreo de tu blog en las listas negras por malas prácticas
  • Auditoria de Seguridad en ámbitos generales
  • Notificaciones de seguridad

Con estas características puedo estar tranquilo ante cualquier ataque o intento de ataque, ya que seré notificado en tiempo real ante un ataque de ese tipo y podré tomar las decisiones más oportunas.

Al igual que Clef, es un plugin y sólo necesitarás instalarlo, una breve configuración y ajuste al guste (de las notificaciones) y ya estará protegiéndote.

La versión de pago incluye muchísimas más características de seguridad como un Firewall y mejora sustancialmente todas las características que he indicado, pero como he dicho, para mi es suficiente la versión gratuita.

En resumen…

Desde el aumento de visitas durante el 2015, he estado esperando estos pequeños guiños de debilidad en la seguridad de nogueratech.com, que podían atacar y tirar todo el esfuerzo en estos 2 años.

Tanto por la parte de mi hosting de Webempresa (enlace de afiliado), como por la plataforma WordPress, me han demostrado que son capaces de aguantar sin pestañear algunos pequeños ataques tanto por fuerza bruta como por un posible phishing.

Espero que siga siendo así y seguiré implementando otros sistemas de seguridad, aunque siempre nos quedarán los backups de respaldo y nuestro tiempo de trabajo para restablecer todo. Espero no llegar a tal punto.

Con estas soluciones, evitamos mejor el hackeo de wp-admin en WordPress, aunque esto sea el pez que se come la cola…

¿Han intentado algún hackeo en tu WordPress?

¿Cómo te proteges tú ante este tipo de ataques?

Una respuesta a “¿Cómo evitar el hackeo de wp-admin en WordPress?”

  1. Pingback: Bitacoras.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *