• Resuelto WordPress_User

    (@jbn_wordpress)


    Cuando no me atacan con un virus me hacen otra cosa, pero cada dos por tres surge alguna complicación. Me veo que ahora todas mis páginas, alojadas en Hostinger, han sido bloqueadas debido al siguiente aviso:

    Recientemente ha habido un ataque de fuerza bruta a gran escala hacia el archivo wp-login.php de WordPress, proveniente de una gran cantidad de IPs distribuidas alrededor del mundo. Una gran botnet de alrededor de 90,000 servidores comprometidos ha estado intentando entrar a sitios basados en WordPress tratando de adivinar el nombre de usuario y la contraseña para acceder al escritorio de WordPress. Hostinger ha deshabilitado temporalmente el acceso a /wp-login.php en todos los servidores. Tengan en cuenta que esto no tiene relación con la seguridad del servidor, sino con el funcionamiento propio de WordPress. Desde Hostinger se ha tomado esta medida para evitar graves problemas en sus sitios.

    Ahora no puedo acceder al escritorio de ninguna, pero es que tengo otra en 1&1 y recientemente me la tuvieron que dar de baja ya que le metieron un virus de estos por inyección que estaba infectando a todo aquel que entraba pese a que utilizo hasta el último plugin de seguridad habido y por haber.

    ¿Se sabe si están trabajando en ello?

Viendo 7 respuestas - de la 1 a la 7 (de un total de 7)
  • Te recomiendo para esos casos ni bien instalas un wordpress agregar algunos plugins para seguridad, como el de limitar el acceso a wp-admin, el user admin eliminalo y agrega otro como administrador, tambien usa las keys que vienen para completar en el wp-config y que el servidor tenga las normas basicas de seguridad.
    Lamentablemente debido a la gran cantidad de gente que usa wordpress los atacantes se ven cada vez mas tentados a infectar este tipo de sitios.
    Espero sirva mi pequeña ayuda.
    Saludos

    Mario

    Iniciador del debate WordPress_User

    (@jbn_wordpress)

    Yo uso wordfence y bulleproof security, el wordfence me bloquea cualquier intento al escritorio que no sea yo, pero no sé ya qué más meterles… aparte que nunca dejo los admins por defecto, les pongo mis propios nombres y les meto passwords de tropecientos caracteres extraños

    Más o menos hago lo que ya comentas, pero es que es exagerado…

    Gracias por tu respuesta 😉

    Otra forma es personalizar el archivo .htaccess usando comandos como:
    <files readme.html>
    Order allow,deny
    Deny from all
    </files>

    <files readme.txt>
    Order allow,deny
    Deny from all
    </files>

    <files install.php>
    Order allow,deny
    Deny from all
    </files>

    <files wp-config.php>
    Order allow,deny
    Deny from all
    </files>

    Además añado al .htaccess de la raíz:

    IndexIgnore *

    para evitar que listen directorios.

    Y añado otro .htaccess en el directorio de «uploads», para evitar que me ejecuten código, en el caso que consigan subirlo:

    <Files ~ «.*\..*»>
    Order Allow,Deny
    Deny from all
    </Files>
    <FilesMatch «\.(jpg|jpeg|jpe|gif|png|tif|tiff)$»>
    Order Deny,Allow
    Allow from all
    </FilesMatch>

    Saludos,

    Hola, gracias por vuestros consejos, pero tengo unas dudas…
    Como dice maritin: «ni bien instalas un wordpress agregar algunos plugins para seguridad…». Si esto es así, ¿los plugins de seguridad pueden difilcultar la posterior configuración de mi Theme?
    Me gustaría saber (soy principiante), cuáles son los plugin imprescindibles de seguridad, que si o si debería usar en mi instalación. Ya que he estado mirando y hay demasiada información y nadie termina de ser categórico con esto.
    Quiero instalar un Theme sobre 3.5.2

    Muchas gracias de antemano.
    Saludos

    Marito de Madrid,
    Yo te aconsejaria algunos plugins
    http://wordpress.org/plugins/limit-login-attempts/
    http://wordpress.org/plugins/better-wp-security/
    y/o
    http://wordpress.org/plugins/rublon/
    Borrar el user admin y agregar uno administrador pero con otro nombre y usar un password seguro. (letras numeros y simbolos, no menos de 8 caracteres).
    Verificar qeu el servidor donde estamos tenga lo basico en seguridad, register globals en off y varias cosas mas.
    Eso seria un posible comienzo y no no te tendria que dar problemas para trabajar con tu theme.

    Saludos!!

    Muchas gracias maritin!
    Seguiré tus consejos a ver que tal….
    Un saludo!

Viendo 7 respuestas - de la 1 a la 7 (de un total de 7)
  • El debate ‘¿Se van a terminar alguna vez los problemas de seguridad en WordPress?’ está cerrado a nuevas respuestas.