Ocultar la administración de WP: Popular, complejo y poco eficaz

9 Min.
hide wp admin
Última actualización en

Casi todo el mundo sabe cómo llegar a la barrera de acceso al área de administración por WordPress defecto. Desde más del 34 por ciento de todos los sitios web WordPress es fácil para los hackers encontrar y atacar las áreas de acceso de estas páginas. Exactamente por esta razón, los hackeos correspondientes, como Brute Force los ataques, pertenecen a la los ataques más frecuentes en WordPress las páginas. Ocultar el área de administración de WP parece ser una simple medida de protección. Hoy les mostraré lo útil que es esta técnica y cómo pueden implementarla.

Brute Force Ataques son probablemente el tipo de ataque más común en WordPress las páginas en general. El proveedor de seguridad por sí solo Wordfence midió casi 1.000 millones de esos ataques en 2017 en unos pocos meses de este año, sin contar el número de ataques no denunciados. Para limitar el riesgo de seguridad de los Brute Force ataques, tiene sentido en principio restringir los intentos de acceso después de demasiados intentos fallidos. Además, muchos WordPress webmasters utilizan otro método: mueven la WP área de administración, para que no se encuentre más bajo el sufijo wp-admin.

Por lo tanto, muchos plugins de seguridad ofrecen una función correspondiente. que también se atreve a usar el archivo .htaccess. Pero esconder el área de administración de WP no es una buena medida de seguridad en sí misma. Pero puede ser una adición útil.

Ocultar la administración de WP: ¿Qué sentido tiene todo esto?

Detrás de la idea de ocultar el área de administración de WP está el principio seguridad a través de la oscuridad ("seguridad a través de la oscuridad/incertidumbre") - la idea de que la seguridad de un sistema es más fuerte mientras su funcionamiento permanezca en secreto. En otras palabras, si el atacante no sabe dónde está la puerta de entrada, puede entrar a hurtadillas en su casa, pero no puede entrar.

FREE DEV programa RAIDBOXES

Seguridad a través de la oscuridad - en la práctica un tigre sin dientes

Este enfoque se discute de forma controvertida entre los expertos, y no sin razón. En este caso, el hecho de que la información sea segura no significa que ya no se pueda acceder a ella en absoluto. Está disponible, pero escondido. Pero con las herramientas correctas, los hackers pueden encontrar tu nombre de usuariositio si quieren.

Y aquí viene el verdadero problema con seguridad a través de la oscuridad en el juego: A menudo el enfoque se utiliza para ocultar los problemas que en cambio deberían ser eliminados completamente. ¿Es su nombre de administrador admin y tu contraseña ¡Contraseña 123!el hacker estará en tu backend en poco tiempo si ha encontrado tu login ocultositio .

En resumen, un área de administración oculta no impide que los atacantes ataquen, sino que sólo prolonga el tiempo de trabajo necesario para llevar a cabo el ataque. Desafortunadamente, es imposible ocultar completamente el hecho de que sus WordPress proyectos son WordPress páginas. Esconder el WP-Admin no debería ser su única medida de seguridad. Quienquiera que te esté apuntando no podrá escapar.

El concepto seguridad a través de la oscuridad es por lo tanto idealmente una de las muchas capas de su concepto de seguridad. Intentos de acceso limitados (LLA), una contraseña fuerte con autenticación de dos factores y - si finalmente se utiliza una - una seguridad bien configuradaPlugin es una mezcla sensata. Esconder el área de administración es sólo la guinda del pastel.

En algunos casos, ocultar el WP-Admin tiene sentido, sin embargo...

Pero en realidad hay algunas situaciones en las que puede tener sentido ocultar el WP-Admin:

  • Ocultar el WP-Admin tiene una fuerte influencia en la seguridad percibida de un WordPress sitio. Especialmente si trabajas en nombre de un cliente, un WP-Admin oculto tiene sentido para maximizar la percepción de seguridad de tu cliente.
  • Si los hackers lanzan un Brute Force ataque a su sitio, su servidor web puede "sobrecalentarse" simplemente por el alto número de solicitudes. Si mueves el área de administración, le quitas el viento a las velas de al menos los Brute Force ataques primitivos desde el principio.
  • Puedes sorprender positivamente a algunos clientes ocultando el área de administración, por ejemplo, si la mueves bajo /nombre de la empresa. De esta manera puedes crear un pequeño pero agradable efecto de marca.

Como pueden ver, estas medidas son más bien de naturaleza cosmética. Pero a veces incluso una mayor seguridad percibida puede ayudar. Por lo tanto, le mostraré a continuación cómo puede asegurar su WP-Admin con y sinPlugins .

Plugins sólo para ocultar la administración, ¿tiene sentido?

Las grandes características de seguridadPlugins incluyen la capacidad de ocultar el área de administración y la naturaleza exacta de su sitio. Como dije antes, tengo una opinión críticaInstalar Plugin uno voluminoso sólo para cambiar una URL no resuelve todos tus problemas a la vez. Sólo después de un examen minucioso del tema puede decidir qué medidas de seguridad tienen sentido para su proyecto.

Pero en asuntos Plugins que básicamente tienes dos opciones:

  • delgadoPlugins, que fueron desarrollados sólo para ocultar el área de acceso
  • Pluginsque incluyen la ocultación del área de acceso, pero puede hacer mucho más

La seguridadPlugins integral es más voluminosa debido a su funcionalidad extendida. Por eso en principio sólo tienen sentido si se sabe lo que se quiere conseguir con ellas: por ejemplo, bloquear IPs muy específicas, utilizar el Web Application Firewall (WAF) o Plugins aprovechar la información de la También respondemos a la pregunta de cuán sensata es la seguridadPlugins realmente en este artículo.

Instalar Plugin uno grande sólo para ocultar el área de administración es exagerado. Su velocidad de carga se resiente y apenas tiene valor añadido. Y no es un sustituto para lidiar con las características de seguridad.

Ocultar el área de administración con uno Plugin es sólo aconsejable si puedes usarlo sin grandes pérdidas de rendimiento o funcionalidad - como un Es bueno tener. Extra para este uno grande Plugin como iThemes Security o Wordfence para instalar, no lo recomendaría.

En cambio, aquí hay algunas alternativas más delgadas para ocultar su área de administración:

WPS Ocultar Login

wps esconder login
El WP-Admin puede ser escondido con el WPS Hide LoginPlugin , por ejemplo.

Este libre Plugin hace exactamente a Cosa: Cambia las dos URLs /wp-admin y /wp-login.php a las direcciones que especifiques. Esto añade un obstáculo para los hackers y hace que su sitio sea un poco más seguro. Con más de 400.000 instalaciones activas y un promedio de 4,9 estrellas (¡con más de 1.100 clasificaciones!) esto Plugin se ha demostrado en la práctica.

Proteja su administración

proteger a su administrador
Opcionalmente, esto también funciona con el Plugin programa "Protege tu administración".

EstaPlugin , a pesar de algunas otras características, es una de las más sencillas del mercado y permite especificar una URL personalizada para /wp-admin y /wp-login.php. Si intentas acceder a estas dos páginas, terminarás en tu página de inicio. 40.000 usuarios Plugin tienen actualmente instalado esto, el promedio de clasificación es de 3,8 estrellas. Una actualización pagada activa algunas características adicionales como un contador de intentos de acceso.

Escaneo de seguridad, antispam y malware de Cerber

cerber security antispam malware scan
La seguridad de Cerber también Plugin vigila al administrador de WP.

Esto plugin oculta /wp-login.php entre otras cosas y muestra un mensaje de error 404 en su lugar. Pero puede hacer mucho más, por eso vale la pena examinar detalladamente la herramienta. La clasificación es actualmente de 4,9 estrellas y hay unos 100.000 usuarios activos. Eso plugin es gratis.

WP Hide & Security Enhancer

wp hide security enhancer
Otra alternativa es el algo más voluminoso Plugin WP Hide Security Enhancer.
 

Esta gratuita Plugin oculta el hecho de que su sitio web también WordPress está funcionando. Si esto tiene sentido en principio es discutible (con una herramienta como BuiltWith puede salir a la luz rápidamente), pero al mismo tiempo cambia las URLs /wp-admin y /wp-login.php a cualquier otra URL. Más de 50.000 webmasters Plugin lo utilizan actualmente, la calificación media es de 4,3 estrellas.

No hay miedo al código del mal: Asegurando con el .htaccess

Si quieres ocultar el hecho de que tu sitio es una WordPress -instalación, puedes Plugins hacerlo a través de algunos de los que se acaban de enumerar. O puedes ir directamente al archivo .htaccess. Es uno de los archivos más importantes de WordPress las instalaciones que se ejecutan en los servidores Apache (Atención: RAIDBOXES-las páginas no se ejecutan en los servidores Apache, por lo que el .htaccess no tiene influencia en el servidor web) Por ejemplo, el .htaccess define qué archivos y directorios de su sitio son visibles y quién tiene acceso a qué.

Con pequeños cambios en este archivo puedes darle a tu sitio web una capa extra de seguridad. Específicamente, puedes añadir fragmentos de código que restrinjan el acceso a wp-config.php o bloqueen ciertas IPs. Le recomiendo que antes de hacer cualquier cambio, se asegure de que tiene un Backup de este archivo - si algo sale mal, puedes volver rápida y fácilmente al estado original. Y con el .htaccess, incluso un pequeño error en el código puede ser suficiente para paralizar su sitio.

autores de ootb buscados blog

Variante 1: Permitir sólo ciertos PI

Con un .htaccess puedes en principio proteger cada directorio - en este caso quieres proteger el área de administración. Por lo tanto, subes un nuevo .htaccess en el directorio wp-admin. Si en lugar de ello, especifica en el directorio raíz de WordPress ese directorio que sólo tienen acceso ciertas IPs, excluye todas las demás de todo su sitio en lugar de sólo el área de administración.

En el .htaccess del directorio de administración ahora tienes la posibilidad de bloquear IPs específicas para acceder a este directorio. Si usted mismo utiliza una IP estática, se recomienda que excluya todas las IPs excepto la suya. De esta manera sólo tú tendrás acceso al área de administración.

Por cierto, puedes hacer lo mismo para excluir las IPs de la página wp-login.php. Las IPs no autorizadas pueden ser redirigidas a un 404sitio (o a cualquier otro sitio de su elección) y no podrán acceder a la pantalla de inicio de sesión. Esto puede hacerse insertando el código apropiado.

  • En WordPress Códice se describe cómo puede proteger los directorios individuales de su WordPress instalación
  • Los colegas de WP-Beginner Mostrar en detalle cómo proteger el WP-Admin a través del .htaccess
  • El productor del plugin wpmudev muestra en una guía completacómo puedes usar el .htaccess para proteger tus sitios

Variante 2: Configurar la protección de la contraseña (o la autenticación de dos factores)

Otra posibilidad muy utilizada para proteger el área de administración con .htaccess es crear una autenticación HTTP adicional. El servidor ya requiere los datos de acceso adecuados para llegar a su WordPress página de acceso.

Esto significa un poco más de trabajo para usted para entrar, pero muchos atacantes tirarán la toalla en este punto. Brute Force Los ataques son bloqueados antes de que hayan comenzado. Sin embargo, incluso esta protección no es completamente infalible, ya que muchos ataques se llevan a cabo a través de la Interfaz XMLrpc correr. Esta interfaz, implementada por defecto, permite a los hackers ejecutar DDoS y Brute Force Ataques correr. Los ataques son similares a los del wp-adminsitio , pero aquí se pueden solicitar cientos de combinaciones de logins y contraseñas simultáneamente. Por lo tanto, hay que decir en este punto que la protección más sensata no es un login adicional, sino una autenticación de dos factores

Pero para añadir una protección adicional con contraseña necesitas otro archivo además del .htaccess, el llamado .htpasswd. Contiene los datos de acceso necesarios para la autenticación. Para crearlo, puedes apropiado en líneaHerramientas uso. Cifran la contraseña deseada (por ejemplo Günterdergrosse86) según el formato MD5 (Günterdergrosse86 tiene el siguiente aspecto: $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 es uno de los cinco formatos de contraseña con los que puede trabajar el servidor Apache. Pero sólo tienes que recordar la contraseña no encriptada - el servidor hará el resto automáticamente.

El .htpasswd creado de esta manera se pone al mismo nivel que el .htaccess, normalmente el nivel superior del WordPress directorio.

El alojamiento positivo WordPress para el clima

En el .htaccess se define ahora que la autenticación HTTP debe tener lugar al acceder a wp-login.php y se crea un enlace al .htpasswd a través de un fragmento de código. Esto permite al servidor acceder a las credenciales previamente definidas en el otro archivo. Se explica cómo se hace esto, por ejemplo aquí explicado.

El .htaccess especifica entonces que se requiere autorización para acceder a /wp-login.php y dónde puede el servidor encontrar los datos de acceso correspondientes (a saber, en el .htpasswd). Además, también está prohibiendo el acceso a los archivos .htaccess, .htpasswd y wp-config.php para asegurarse de que nadie más que usted pueda reconfigurar su instalación.

¿Todo parece bastante complicado? Lo es. Además, puede suceder que esta protección adicional con contraseña Compatibilidad de Plugins los discapacitados. Por eso siempre recomendaría una autenticación de dos factores. Esto se establece Plugin rápidamente a través de un y también ofrece aún más protección contra la intrusión no autorizada. Porque los códigos de autenticación se transmiten a través de un sistema externo.

Conclusión: Ocultar el WP-Admin puede ser mucho trabajo - y trae más beneficios cosméticos

Lo ideal sería que protegieras tu área de administración de WP de la forma más delgada posible. Sólo debes instalar un gran plugin de seguridad si configuras y utilizas sus otras funciones con sensatez. Si sólo quieres ocultar el WP-Admin, te recomendamos una versión reducidaPlugin. Todo lo demás sería exagerado.

Como medida de seguridad separada, ocultar el WP-Admin es insignificante de todos modos. En principio, nadie puede Plugin sustituir una contraseña fuerte y el conocimiento de las lagunas de seguridad WordPress más importantes. Y cada nuevo Plugin lleva el peligro de introducir agujeros de seguridad en el código. Por lo tanto, es importante sopesar cuidadosamente qué y cuántos se instalan.

La protección al 100% no existe para ningún sitio web. En nuestra opinión, ocultar la sección de wp-admin no aporta más seguridad. Pero puede contribuir enormemente a la seguridad percibida. Especialmente si trabajas para un cliente, no debes subestimar el poder de la percepción del cliente. Sin embargo, no es en absoluto suficiente como medida de seguridad única o central. Sin embargo, si la URL cambiada está diseñada como una de las muchas capas de su sistema de seguridad, puede ser una adición útil a su concepto de seguridad.

Artículos relacionados

Comentarios sobre este artículo

Escriba un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con * marcado.