Seleccionar p谩gina
Seguridad en WordPress para Principiantes
Seguridad en WordPress para Principiantes
PODCAST 4 de Seguridad en WordPress para Principiantes
/

 
 

Episodio 4 de Seguridad en WordPress para Principiantes.

Hoy hablo de…

 

C贸mo bloquear IPs desde WordPress o por .htaccess

En sitios web WordPress que tiene el foco de geolocalizaci贸n a nivel nacional, regional o local es importante mantener saneados los accesos de forma que el tr谩fico hacia la web sea fluido.

Plantearse cu谩l es la forma m谩s adecuada de bloquear IPs o rangos de IPs ayudar谩 a que tu sitio web no colecte demasiados datos en las tablas de la base de datos correspondientes al plugin que gestione estos filtrados de IPs.

Por ello, alternativas como la gesti贸n de listas de Ips en el archivo .htaccess se presentan como soluciones m谩s ligeras, a pesar de tener que ser gestionadas y mantenidas manualmente, pero aportando como ventaja la descarga de esta tarea a WordPress por medio de plugins.

 

驴C贸mo bloquear IPs desde .htaccess?

Sin entrar en detalles de porqu茅 s铆 o porque no bloquear por medio de htaccess, quiero que veas que el bloqueo de una o varias IPs, o inclusive un rango de IPs por .htaccess es un proceso tan sencillo como r谩pido de aplicar, y no genera carga extra en tu instalaci贸n de WordPress.

Las reglas de bloqueos de IPs debes crearlas siempre fuera del c贸digo de .htaccess para WordPress que es el siguiente:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

 

Bloquear una IP espec铆fica:

El siguiente c贸digo te permite bloquear determinada IP estableciendo dicho bloqueo mediante un deny from IP:

order allow,deny
deny from 200.108.100.20
allow from all

 

Bloquear varias IPs:

Esto mismo lo puedes hacer extensivo a varias IPs:

order allow,deny
deny from 200.108.100.20
deny from 174.120.1.50
deny from 10.200.130.100
deny from 104.218.13.155
allow from all

 

Bloquear un Rango de IPs:

Si por ejemplo quieres bloquear un rango de IPs que pueda ser usado desde un origen espec铆fico, aplicas la siguiente regla de bloqueo en .htaccess:

order allow,deny
deny from 200.108.100.
allow from all

De esta forma, todo el rango desde la IP 200.108.100.1 a la IP 200.108.100.254 estar谩n bloqueadas autom谩ticamente y no podr谩n visualizar la web WordPress alojada en el Hosting donde apliques la regla en el archivo .htaccess

Debes tener cuidado con los bloqueos por rangos, no vaya a ser que por error acabes bloqueando IPs leg铆timas o tu propia IP (si operas con IPs din谩micas dentro de una red de fibra 贸ptica donde se reparten las IPs din谩micas por cajas de distribuci贸n de conexiones en bloques de viviendas o calles, por ejemplo).

 

Bloquear un Host espec铆fico:

order allow,deny
deny from baidu.com
allow from all

Esto bloquear铆a todo el tr谩fico procedente del host del buscador chino Baidu.

 

Bloquear el accesos a una instalaci贸n WordPress en otra carpeta:

En un escenario en el que tu Hosting tiene varias webs, separadas en carpetas, y quieres restringir a una determinada IP, rango o pa铆s, a una instalaci贸n de una carpeta, por ejemplo /public_html/pruebas lo 煤nico que debes hacer es editar el archivo .htaccess de esa instalaci贸n (si no existe lo creas) y a帽adir fuera del siguiente c贸digo:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

La siguiente regla de bloqueo cuya sintaxis es la siguiente:

deny from [DIRECCI脫N IP]

Nota: El formato de IP debe ser en IPv4.

Lo ideal ser铆a antes del bloque #BEGIN WordPress a帽adir el c贸digo que bloquee la IPs o el rango, tal como te expliqu茅 anteriormente:

order allow,deny
deny from 200.108.100.20
allow from all

Esto bloquear谩 a la IP 200.108.100.20 el acceso a la instalaci贸n alojada en la carpeta /public_html/pruebas pero no impedir谩 que acceda a otras instalaci贸n del Hosting si las hubiera.

 

驴C贸mo bloquear IPs mediante un plugin?

Existen numerosos plugins para aplicar bloqueos de IPs, unos espec铆ficos (solo se dedican a esta tarea) y otros como parte de una herramienta de seguridad o hardening m谩s amplia, donde una de las pol铆ticas de seguridad es el bloqueo de IPs.

Me gustar铆a se帽alar que no merece la pena instalar un plugin que realice m煤ltiples tareas diferentes si solo quieres aplicar bloqueos a IPs o rangos, es desperdiciar el potencial del plugin y sobrecargar tu instalaci贸n.

 

Plugins para banear IPs o rangos en WordPress:

Existen muchos m谩s plugins para bloquear IPs espec铆ficas, rangos de IPs o bloques de pa铆ses para evitar que desde esas IPs o pa铆ses se acceda a tu sitio web WordPress pero 驴es la soluci贸n adecuada?.

Es evidente que muchos de los plugins conocidos como Wordfence, Sucuri Security, iThemes Security, etc., adem谩s de realizar otras tareas, permiten gestionar el bloqueo de IPs, pero acaban siendo como elefantes en una tienda de porcelanas. Se convierten en plugins pesados, que en muchos casos acaban duplicando funcionalidades de seguridad que el propio servidor de alojamiento ya aplica.

[piopialo vcboxed=禄1″]隆Pregunta a tu Hosting qu茅 medidas aplica! no est谩 dem谩s y posiblemente te ahorrar谩s alg煤n que otro plugin.[/piopialo]

 

驴Es necesario tener listas negras de IPs?

Cada vez es m谩s com煤n recibir ataques (o intentos de ataques) de fuerza bruta, con diccionario, etc., principalmente contra formularios de acceso de WordPress, pudiendo llegar de 1, 5 a 20.000 ataques en apenas unas horas sin que tu llegues a percibirlos, lo que no quiere decir que no se produzcan.

Este hecho y otros muy similares justifican la creaci贸n de Listas Negras de IPs que se puedan filtrar en reglas de .htaccess o a trav茅s de un plugin de WordPress, de forma que mitigues los intentos de ataque y adem谩s liberes al servidor donde se alojen tus webs de la cantidad de tr谩fico que este tipo de ataques generan.

Lo ideal ser铆a poder bloquear autom谩ticamente aquellas IPs que sean detectadas como responsables de ataques de fuerza bruta, DDoS o similares, de manera que no tengas que estar haci茅ndolo manualmente ya que el volumen puede llegar a ser abrumador.

 

Para estos casos pueden ser 煤tiles plugins como:

El plugin IP Blacklist Cloud te permite listar las direcciones IP desde tu sitio web de WordPress. Te env铆a el enlace del sitio web a la base de datos de IP Finder que le da a otros usuarios la posibilidad de ver cu谩ntos sitios han bloqueado la IP espec铆fica y ver sus comentarios.

Dispone de una funci贸n al complemento que te permite bloquear los nombres de usuario de los correos basura (comentarios) en tu sitio web.

Monitoriza los intentos fallidos de autenticaci贸n que muestran el usuario y la direcci贸n IP, ID de usuario/nombre de usuario y la fecha/hora del intento fallido de inicio de sesi贸n en tu sitio web.

Tiene la capacidad de bloquear autom谩ticamente los intervalos de direcciones IP que intentan iniciar sesi贸n con un nombre de usuario v谩lido.

 

Conclusiones

Bloquear IPs para reducir el n煤mero de peticiones al servidor donde se aloja tu sitio web y de paso bajar el nivel de estr茅s al que se ve sometida una instalaci贸n, por constantes intentos de ataques de diversa naturaleza contra formularios como el de acceso al dashboard de WordPress, es una medida preventiva y paliativa que va ayudar bastante a reducir el marco de ataques que podr铆an producirse contra tu sitio web.

M茅todos para aplicar estas restricciones de IPs van a depender de tu pericia para aplicar directivas en .htaccess o decantarte por un plugin que te facilite el proceso de alta de IPs de forma autom谩tica en tu Lista Negra.

 

Hasta aqu铆 el 4潞 PODCAST de Seguridad en WordPress para Principiantes dedicado a ti que acabas de empezar con tu Blog, tu Tienda online con WooCommerce o tu que tienes muchas dudas con la seguridad de tu sitio web y no sabes c贸mo mejorarla.

Recordarte que este PODCAST lo puedes escuchar desde tu dispositivo en iTunes o iVOOX.

 

Este PODCAST ha sido patrocinado por:

nosolocodigo.com

Si necesitas resolver problemas con infecciones o hackeos en tu web WordPress, en nosolocodigo.com encontrar谩s un grupo de profesionales que te ayudar谩n a resolver este problema y segurizar mejor tu web.  NOSOLOCODIGO.COM

 
[piopialo vcboxed=禄1″]Tu feedback y comentarios son el combustible que alimenta estos PODCAST de Seguridad en #WordPress.[/piopialo]

Nos vemos en el pr贸ximo #PODCAST dedicado a WordPress y su seguridad!!

 
 

A %d blogueros les gusta esto: