comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Securizar el acceso a wp-admin de WordPress

  • 1 Respuestas
  • 1641 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado BlackDead

  • *
  • Underc0der
  • Mensajes: 13
  • Actividad:
    0%
  • Reputación 0
  • si lo haces aslo bn y mejoralo
    • Ver Perfil
« en: Agosto 07, 2013, 12:15:01 am »

Siguiendo un poquito con la temática WordPress hoy quería tratar el tema de la securización del acceso a la zona de administración. Tiene lógica que al tratarse de la puerta de entrada a toda la gestión de nuestro sitio queramos tenerla lo más securizada posible.

Por defecto, la entrada a la zona de administración (ejemplo.com/wp-admin/) tiene un sistema de autenticación interno de WordPress que funciona contra la base de datos. El administrador, por defecto accede con el usuario “admin”, si dejamos este valor por defecto, el atacante ya tiene el punto de partida para intentar acceder. Por este motivo se recomienda:

Establecer una clave lo suficientemente compleja para el usuario administrador.
Cambiar el nombre del usuario administrador de “admin” a uno personalizado. Para ello podemos usar el plugin WP-Optimize, que además nos sirve para otras cosas como mantener optimizada y limpia la base de datos. Si no queremos instalar el plugin, bastará con crear un nuevo usuario con rol de administrador y posteriormente borrar el original “admin”. Ojo, con esta última opción no borréis los artículos de “admin”, sino asociarlos al nuevo usuario. También se podría cambiar directamente en la base de datos, desde la shell de MySQL o phpMyAdmin.
Una vez que nuestro usuario administrador está securizado, lo mejor es proceder a añadir una segunda capa de autenticación para la ruta wp-admin, de modo que lo primero que se encuentre el atacante sea la barrera de autenticación básica de Apache, y en el hipotético caso de que la sobrepasara tuviera que enfrentarse también a la de WordPress.

Lo que hacemos entonces es crear, vía el fichero .htaccess dentro de la carpeta “wp-admin” una capa de autenticación. Creamos el fichero con el siguiente contenido:

Citar
AuthName "Acceso restringido"
AuthUserFile /home/foo/bar/.htpasswd
AuthType basic
require user miusuario

Nota importante: El fichero .htpasswd, que contendrá los usuarios y passwords con acceso autorizado, debe ubicarse fuera de la ruta pública del sitio web. Podemos añadir los usuarios al mismo desde línea de comandos con el comando htpasswd:
Citar
# htpasswd -cb /home/foo/bar/.htpasswd  miusuario mipassword

En este ejemplo, nos generaría el fichero .htpasswd siguiente:

Citar
# cat .htpasswd
miusuario:ktRS/8rW/AFm3as3l0/Y

Si no disponéis de un equipo Unix con el comando htpasswd, podéis usar cualquiera de las webs que permiten generar este fichero a través de asistentes.

Con estos dos ficheros ya tenemos una nueva capa de autenticación para acceder a la administración de WordPress. En el caso de que utilicemos las funcionalidades Ajax de la administración de WordPress se recomienda añadir también lo siguiente al fichero .htaccess del directorio “wp-admin”:
Citar
<Files admin-ajax.php>
    Order allow,deny
    Allow from all
    Satisfy any
</Files>

Y finalmente, si tras realizar estos cambios recibimos un error 404 al acceder a la administración o un bucle “Too many redirects error”, añadimos la siguiente línea al fichero .htaccess principal del sitio (ojo, al principal, no al de wp-admin):

Citar
ErrorDocument 401 default

Existen otras opciones, como modificar el nombre del directorio “wp-admin” para dificultar aún más su exposición a ataques, no obstante con lo comentado en esta entrada debería ser suficiente para tener seguro nuestro acceso a la administración.

Desconectado ZanGetsu

  • *
  • Underc0der
  • Mensajes: 325
  • Actividad:
    0%
  • Reputación 0
  • I ZanGetsu
    • Ver Perfil
  • Skype: thenicox
  • Twitter: black_zangetsu
« Respuesta #1 en: Agosto 07, 2013, 01:19:51 am »
muy bueno blackdead, sigue asi !

 

¿Te gustó el post? COMPARTILO!



Herramienta de test de penetración para WordPress o Joomla!

Iniciado por graphixx

Respuestas: 0
Vistas: 2127
Último mensaje Octubre 16, 2015, 07:24:41 am
por graphixx
Brute Force en paneles de administración WordPress con WPScan

Iniciado por BrowserNet

Respuestas: 2
Vistas: 2070
Último mensaje Junio 01, 2016, 01:31:11 am
por BrowserNet
Como subir shell en Wordpress

Iniciado por AΞRCRΞA

Respuestas: 1
Vistas: 3942
Último mensaje Noviembre 13, 2013, 03:14:53 am
por alexander1712
Cómo encontrar Malware en su web de WordPress

Iniciado por morodog

Respuestas: 0
Vistas: 1651
Último mensaje Marzo 11, 2015, 05:27:43 am
por morodog
DoS en Wordpress con xmlrpc.php

Iniciado por ZanGetsu

Respuestas: 0
Vistas: 3048
Último mensaje Septiembre 09, 2014, 03:26:33 pm
por ZanGetsu