¿Quiere restringir el acceso a su archivo wp-login.php en WordPress a través de la dirección IP?
La página de inicio de sesión de WordPress a menudo es atacada por ataques DDoS y piratas informáticos para acceder a su sitio web. Al restringir el acceso a direcciones IP específicas, tales intentos pueden bloquearse de manera efectiva.
En este artículo, le mostraremos cómo restringir fácilmente el acceso a través de IP a su archivo wp-login.php en WordPress.
¿Por qué restringir el acceso a wp-login.php por dirección IP?
La página de inicio de sesión para un sitio web de WordPress (generalmente wp-login.php), es donde los usuarios inician sesión en su sitio.
Como propietario de un sitio web, le da acceso al área de administración de WordPress donde puede realizar el mantenimiento del sitio web, escribir contenido y administrar su sitio web.
Sin embargo, se sabe que los ataques comunes de fuerza bruta en Internet se dirigen a la página wp-login.php para acceder a sitios web. Incluso si no logran ingresar, aún pueden ralentizar o incluso bloquear su sitio web.
Una forma de lidiar con esta situación es bloquear las direcciones IP de las que provienen los ataques (hablaremos de esto más adelante en el artículo).
Una dirección IP es como un número de teléfono que identifica una computadora específica en Internet. Los piratas informáticos pueden usar software para cambiar su dirección IP.
Sin embargo, los ataques más sofisticados usan un grupo más grande de direcciones IP y es posible que no puedan bloquearlas todas.
En ese caso, puede restringir el acceso a direcciones IP específicas utilizadas por usted y otros usuarios en su sitio web.
Dicho esto, veamos cómo podemos restringir fácilmente el acceso al archivo wp-login.php a direcciones IP específicas usando 3 formas diferentes, incluido un firewall de seguridad en la nube.
1. Restrinja el acceso a la página de inicio de sesión de WordPress por dirección IP
Este método requiere que agregue algún código al archivo .htaccess.
El archivo .htaccess es un archivo de configuración de servidor especial ubicado en la raíz de su sitio web y accesible a través de FTP o la aplicación Administrador de archivos en su panel de control de alojamiento de WordPress.
Simplemente conéctese a su sitio de WordPress usando un cliente FTP y edite su archivo .htaccess agregando el siguiente código en la parte superior.
<Files wp-login.php>
order deny,allow
Deny from all
# whitelist Your own IP address
allow from xx.xxx.xx.xx
#whitelist some other user's IP Address
allow from xx.xxx.xx.xx
</Files>
No olvide reemplazar XX con sus propias direcciones IP. Puede encontrar fácilmente su dirección IP yendo a: ApoyoAliado página.
Si tiene otros usuarios que también necesitan iniciar sesión en su sitio web, puede pedirles que proporcionen su dirección IP. Luego también puede agregarlo al archivo .htaccess.
Aquí hay otro ejemplo del código anterior.
<Files wp-login.php>
order deny,allow
Deny from all
# Whitelist John as website administrator
allow from 35.199.128.0
#Whitelist Tina as Editor
allow from 108.59.80.0
# Whitelist Ali as moderator
allow from 216.239.32.0
</Files>
Ahora los usuarios con estas direcciones IP pueden ver el archivo wp-login.php e iniciar sesión en su sitio web. Otros usuarios ven el siguiente mensaje de error:
2. Bloquee el acceso de direcciones IP específicas a su sitio web
Este método es totalmente opuesto al primero.
En lugar de restringir el acceso a la página de inicio de sesión de WordPress a direcciones IP específicas, puede bloquear las direcciones IP utilizadas para atacar su sitio web.
Este método es especialmente útil para sitios web de membresía de WordPress, tiendas de comercio electrónico u otros sitios web donde varios usuarios deben iniciar sesión para acceder a sus cuentas.
La desventaja de este método es que los piratas informáticos pueden cambiar su dirección IP y seguir atacando su sitio web.
Afortunadamente, muchos de los intentos comunes de piratería de WordPress usan un conjunto fijo de direcciones IP, lo que hace que este método sea efectivo en la mayoría de los casos.
Paso 1: encuentre las direcciones IP ofensivas que desea bloquear
Primero debe encontrar las direcciones IP utilizadas para atacar su sitio web.
La forma más fácil de encontrar las direcciones IP infractoras es mirar los registros de su servidor. Simplemente vaya al panel de control de su cuenta de alojamiento y haga clic en el icono de registro de Raw Access.
En la página siguiente, haga clic en su nombre de dominio para descargar los registros de acceso. Esto descargará un archivo con extensión gz.
Debe extraer el archivo y abrirlo con un editor de texto como Notepad o TextEdit.
Desde aquí encontrará las direcciones IP que aparecen repetidamente en la página wp-login.php.
Copie y pegue las direcciones IP en un archivo de texto separado en su computadora.
Paso 2. Bloquea las direcciones IP sospechosas
A continuación, debe iniciar sesión en su panel de control de alojamiento de WordPress y hacer clic en el icono del bloqueador de IP.
En la siguiente pantalla, simplemente copie y pegue las direcciones IP que desea bloquear y haga clic en el botón Agregar.
Repita el proceso para bloquear otras direcciones IP sospechosas.
¡Eso es todo! Ha bloqueado con éxito el acceso a su sitio web para direcciones IP sospechosas.
Si luego necesita desbloquear una de estas direcciones IP, puede hacerlo fácilmente desde la aplicación de bloqueo de IP.
3. Proteja el inicio de sesión de WordPress con el firewall del sitio web
Como administrador de un sitio web, es posible que no desee dedicar demasiado tiempo a administrar las direcciones IP que acceden a su página de inicio de sesión de WordPress.
La forma más fácil de proteger sus páginas de inicio de sesión de WordPress es usar Sucuri. Es el mejor cortafuegos de WordPress que viene con un completo complemento de seguridad de WordPress.
El firewall del sitio web de Sucuri filtra automáticamente las direcciones IP sospechosas para que no accedan a archivos importantes del núcleo de WordPress sin que lleguen a su sitio web.
Este método también mejora el rendimiento y la velocidad de WordPress, ya que evita que la actividad sospechosa ralentice el servidor.
Además, Sucuri viene con una red CDN incorporada. Serviría automáticamente archivos estáticos como imágenes, hojas de estilo y JavaScript desde un servidor más cercano a sus usuarios.
Puede incluir fácilmente las direcciones IP de los usuarios en la lista blanca si no pueden acceder a las páginas de inicio de sesión de WordPress.
Alternativa: CDN gratuito de Cloudflare
Esperamos que este artículo le haya ayudado a aprender cómo restringir el acceso a su archivo wp-login.php por dirección IP. También puede consultar nuestra guía de seguridad completa de WordPress o estos consejos adicionales para proteger el área de administración de WordPress.
Si te ha gustado este artículo, suscríbete a nuestro Canal de Youtube para tutoriales en vídeo de WordPress. También puedes encontrarnos en Gorjeo y Facebook.