Seguridad pre-login con .htaccess

Podemos aumentar la seguridad de nuestro sitio habilitando un pre-login por medio de .htaccess.



Seguridad pre login Sordpress
 
Es una medida muy recomendable cuando no sea necesario habilitar el acceso a otros usuarios por medio de un formulario de entrada. De esta forma nos curamos en salud ante posibles ataques de fuerza bruta.
 
Los ataques de Fuerza bruta son realizados por potentes máquinas que realizan repetidos intentos de acceso, variando el usuario introducido y el password, hasta que dan con la combinación correcta. En WordPress, este tipo de ataques se dan en /wp-admin/ y wp-login.php.

Los ataques de fuerza bruta también pueden provocar problemas de rendimiento debido a que vuelven loco a nuestro servidor por la cantidad de peticiones por minuto que pueden llegar a realizarse.
 
Pre-login para evitar un ataque de fuerza bruta
 
ataque fuerza bruta - consumo recursos servidor
 
Si utilizas un hosting de calidad como Webempresa, ellos detectarán el problema y lo bloquearán por medio de nuevas reglas en su Firewall. Después te informarán.
 

 

El pre-login en htaccess puede habilitarse de esta forma:

# Protect wp-login
<Files wp-login.php>
ErrorDocument 401 default
AuthName "Private Access"
AuthType Basic
AuthUserFile /home/usuario/public_html/directorio_de_la_web/.htpasswd
require valid-user
</Files>

–> Donde pone usuario hemos de poner el usuario que tenemos configurado en nuestro cpanel.
–> Donde pone directorio_de_la_web, hemos de poner el directorio adecuado donde se encuentra el archivo .htpasswd.

 

Crear el archivo .htpasswd y cifrar las contraseñas de usuarios

Como podemos ver, la directiva AuthUserFile es la que recogerá la contraseña cifrada del archivo .htpasswd.
En dicho archivo .htpasswd, hemos de introducir el usuario y su contraseña cifrada.

Para cifrar la contraseña podremos hacerlo en la web de htaccess Tools (herramientas para .htaccess), su generador de contraseñas para el archivo .htpasswd nos servirá a la perfección.

Pre login htaccess - Generador contraseñas htpasswd
 
Introducimos el usuario y su contraseña, y esta aparecerá cifrada.

Ahora hemos de ir a nuestro archivo .htpasswd y simplemente introducimos el usuario en cuestión (importante no utilizar el usuario admin, pues es una vulnerabilidad, ya que es el usuario por defecto que cualquier atacante probará), y la contraseña cifrada, de esta forma:

pre login - htpasswd usuario contraseña
 

Así, al acceder a administrar nuestra web, el pre login comenzará a funcionar:

proteger wordpress pre login htaccess
 
También es posible evitar ataques de fuerza bruta en WordPress por medio de plugins. Aunque si puedes evitarte la instalación de un plugin ¿por qué no hacerlo?
 

 

Conclusión

 
Un pre login por medio de .htaccess es una medida añadida de seguridad que toda web debería implementar.
 


No cuesta más de 10 minutos y las ventajas son enormes. Sino lo crees, espera a ser la victima de algún ataque brute-force. Tu servidor dejará de responder y tendrás unos picos de sobrecarga que parecerán montañas; también lo notarán tus visitantes, tu web funcionará lenta como un módem  y aumentará la latencia con que responda a las peticiones.
 


No seas perezoso e implementa una protección del login para tu web!