¿Cómo proteger su inicio de sesión de WordPress de ataques de fuerza bruta? ¿Enfoque simple?
Para iniciar sesión en el panel de administración de su blog de wordpress, wp-login.php es el archivo que debe visitar. Muchos spammers fuerzan brutamente las contraseñas hasta que las tienen correctas. Esto no solo pone en riesgo la seguridad de su blog, sino que también consume el ancho de banda del tráfico.
Puede verificar su registro de visitas y prohibir ciertas IP ; sin embargo, esta solución podría no ser general y efectiva si los ataques provienen de IP múltiples/distribuidas, por ejemplo, DDOS. La siguiente solución es simple y, sin embargo, poderosa/efectiva. Funciona ocultando el wp-login.php o poniendo un candado extra, que solo tú conoces.
El enfoque es editar las funciones de wordpress.php (preferiblemente en la carpeta de la plantilla del tema secundario) y agregar las siguientes líneas de código PHP :
Simplemente guarde el archivo, y la próxima vez, si desea iniciar sesión en su tablero, debe llamarlo así:
/wp-login.php?secret=helloacmPuede cambiar el par de clave y valor según su favorito. Si no se pasan los valores secretos, se redirigirá a los usuarios a la página de inicio; sin embargo, para mejorarla, es posible que desee devolver un error 404: no encontrado, que puede confundir/engañar a los atacantes para que abandonen los ataques de fuerza bruta.