Desde Internavegacion.es

Os deseamos una Feliz Navidad muy “Wapa“.
Que lo paséis de la leche con la familia y amig@s estos días, que el/ella que tenga la suerte de tener cerca a la familia y amig@s, este/esta es y será muy afortunad@.

Un saludo a tod@s..!!

A vivir, que son cuatro días.!!!

Ya un poquito cansado……

Si por alguna razón, estás notando que intentan hackear tu sitio mediante el acceso al panel de control, en la caja de acceso a tu sitio, quizás deberías leer un poco más aún este artículo, igual te ayuda.

Creamos un error 403 al intentar llegar hasta el archivo wp-login.php

En corto plazo he hecho unas comprobaciones para ver si los robots de google penalizan este error y aparentemente no lo hacen. Digo aparentemente, pues es un corto periodo el que he comprobado y no veo errores del tipo “404” o de servidor.

No es que sea la opción más simple, de hecho existen otras y esta es algo laboriosa, pero creo que podrás irte de vacaciones y despreocuparte un poco hasta tu vuelta.

Lo vuelvo a recordar, es algo laboriosa pero creo que es muy efectiva.

Vamos a ponerselo un poco más dificil a los que intentan entrar sin permiso, pero os aconsejo una contraseña larga y complicada, también un seguimiento constante del sitio, es más seguro si no decidís seguir este radical y laborioso consejo.

Necesitamos editar el archivo “Htaccess”

Si vamos a seguir este consejo, deberemos familiarizarnos con este archivo, es muy sencillo.

Al acceder… al archivo wp-login.php que nos muestra el panel de acceso al escritorio wordpress, muestra un error 403.

Si añadimos estas líneas, las que muestro abajo, dentro del archivo htaccess, este denegará que el archivo sea visible, por que antes de que sea ejecutado, Apache negará el acceso a él, pues antes de cargar cualquier archivo de nuestro sitio web, se ejecuta el archivo de apache y lo deja muy claro…”SE NIEGA EL ACCESO AL ARCHIVO”

<Files wp-login.php>
deny from all
</Files>

Se puede permitir IPs dentro del archivo de Apache

Bueno, muchas veces suele haber problemas por que no tenemos claro que IP estamos usando, si es cambiante o no, se pueden escribir por rangos las Ips en htaccess, pero para usuarios menos experimentados igual este ajuste algo brutal le parezca pan en vez de tortas….o sea más fácil.

Como lo planteo..?? Igual es un tontería pero….

Así, tal y como está escrito arriba, incluso el administrador recibirá un error 403, pero editanto el archivo htaccess y comentando la línea así… #deny from all hasta que terminemos de hacer lo que estemos haciendo en el escritorio.

Luego terminado lo que estamos haciendo…

Sustituimos el archivo htacces de nuestro sitio ya editado denegando que sea visible…. sin cuadradillo

RESUMEN DE COMO LO PROPONGO…

1- Descargamos en el PC el archivo htaccess de nuestro sitio web, el de la raiz
2- Con un editor, comentamos el código en el archivo de Apache #deny from all
3- Luego, volvemos a subir el archivo comentado
4- Podemos entrar y trabajar
5- Terminado, descomentamos el código deny from all del archivo y lo volvemos a subir al sitio web y listo

Cómo podrás comprobar, el algo desquiciante, pero es muy efectivo.

El resultado al intentar ver en panel de acceso..

Si te acostumbras, al final parece algo menos tosco de lo que en realidad es.
Desde luego que si tus accesos al panel son constantes y diarios, al final esto te puede cansar, pero es bastante seguro.
El tema de las IP lo perfecciona, pero como dije arriba, con el tema de las Ips y host dinámicos, a mí se me atragantan y por eso hago salto de línea sobre ese tema.

TOSCO y AGOBIANTE, PERO PERO SEGURO.
Los que no se agobian son los robots y hackers maliciosos buscalineas, estos al final encuentran el modo de entrar si les interesa.

BPS-BulletProof Security

Es muy bueno… no es que sea un comercial de BPS, si siquiera tengo intereses con el desarrollo de este plugin de seguridad, simplemente lo aconsejo por que lo he probado, utilizado y he comprobado que hace muy bien su trabajo, que no es otro que mantener seguro nuestro sistema WordPress y bloquear ataques de “Fuerza Bruta” entre otras funciones de las que dispone.

Te gustará y te protegerá..!!

Muy configurable, no sé si viene en otro idioma que el inglés, no me he preocupado de mirar, pero si puedo decir que existe una versión gratuita y otra de pago.

Como siempre, las gratuitas de un modo y las de pago más completas y con soporte. Pero es increible las funciones elementales de las que dispone para proteger un sistema wordpress.

Vé y hechale un vistazo, y si no dispones de un plugin de seguridad para tu sitio si eres un propietario de una página web que se basa en wordpress, ya estás tardando. Hay algunos en internet, pero este destaca sobre otros.

Desde la zona de descargas de WordPress.org puedes verlo.

Como muchas veces, el programa puede ser algo complicado de manejar para la primera vez, pero date tiempo, ve a la página del desarrollador y mira algún vídeo y manual que tienen…se entiende fácil.

saludos

Configuraciones del servidor

Es un tema que todo el mundo comprende, dependiendo de cada alojamiento, los proveedores del hosting que contratemos crean un archivo de configuraciones “php.ini” diferentes, unos para sitios multiusuarios (compartidos) o dedicados.

En el caso de alojamiento compartido

En este caso, casi sguro 100% el archivo php.ini no lo vamos a poder modificar a nuestra conveniencia, pues es un archivo para pocos o muchos sitios web y normalizarán algún standar global, tanto si les viene bien a unos como a otros, pero no está perdido todo.

Cabe comprender, qué cada sitio web funcionan con sus propios sitemas, y lo que a unos les es imprescindible, a otros no les aporta ningún beneficio… simplemente.

Si usas wordpress y este es uno de tus quebraderos de cabeza, posiblente no hayas visto esta solución en internet y estás ahora aquí, prueba este método, probablemente te funcione y logres eliminar algún problema que otro, pero de lo que si estoy seguro es que harás tu web más segura…. aparte de que te aconsejo actualices tu versión php del sitio (si puedes) después de revisar que todo funcione al 100%.

Por esto aconsejo

Tener el sistema en local (en el PC), para ver, hacer pruebas, modificar y probar cosas que nos beneficiarán en nuestro sitio en internet. Es una buena idea.

Crearemos un archivo “php.ini”
Vamos a imaginar que estos ajustes no nos perjudican después de subirlo a nuestro sitio.

En los sistemas wordpress, hasta las pruebas que yo personalemnte he hecho, funciona bien añadiendo el archivo alternativo php.ini en el directorio de “wp-admin“.

Funciones encendidas, por lo general en alojamientos comunes

Consejo, mirar primero antes de apagarlas, si no son necesarias en nuestro sitio y podemos prescindir de ellas.

allow_url_fopen = On
display_errors = On
expose_php = On
mysql.allow_persistent = On


Como crear un archivo php.ini

Muy sencillo, creamos un archivo de texto, escribimos las funciones de arriba si las queremos apagar, le cambiamos el “on” por el “off” que he puesto en el ejemplo de arriba, quedándose como lo pongo aquí debajo;

Olvidé escribir que hay que renombrar el archivo donde vamos a escribir este ajuste con el nombre, php.ini. Disculpas, lo olvidé.

allow_url_fopen = off
display_errors = off
expose_php = off
mysql.allow_persistent = off


Y no hay más…!!

Si necesitas más, o menos funciones a apagar, edítalo a tu modo y súbelo al directorio arriba indicado, dentro de la carpeta “wp-admin“, asegúrate de que al subirlo con el programa que lo estés haciendo, no te indique que se va a sobreescribir otro archivo con el mismo nombre (en ese caso abortar) y listo.

Digo “Abortar”, por que pudiera ser que ya existiese otro archivo de configuraciones similar, en ese caso aconsejo descargarlo y hecharle un vistazo para comparar y luego decidir.
 
Un saludo y espero que te sirva este consejo. Si te ha gustado…escribe un comentario indicándolo…se agradece.

Antes de nada, “Manualmente”

Vale… todo hay que decirlo, pues debes saber que es tan fácil hacerlo manualmente como automáticamente, éste último, algo más cómodo…. luego decides tú mism@.

Manualmente;

Te preocupas y te fijas los plugins u otros temas a actualizar que son requeridos en tu wordpress local, y cojes las direcciones (Link, Urls) del desarrollador o desde donde se descarga, luego mediante FTP los sustituyes por el caducado… sistema, plugins o lo que se necesite.

Algo más laborioso esta forma de hacerlo pero es seguro y efectivo, siempre y cuando no tengas ninguna duda de lo que estás haciendo… eso queda claro.

¡¡Ha sido imposible conectar con el servidor FTP localhost!!

Bien, aquí es donde quiero meter las manos. Si tienes en un sistema linux y un servidor local instalado en tu PC y encuentras problemas al actualizar una instalación de wordpress, igual esto te puede ayudar.

Vamos a imaginar que tenemos Xampp instalado y hay nuestras webs. Y resulta que necesitamos o no, actualizar los plugins y nos apetece hacerlo, y al intentarlo…

No te preocupes, espero que este ajuste te ayude a ti también.

Ve al archivo de configuraciones “wp-config.php“, ábrelo con editor que dispongas y añade dentro este define;

define(‘FS_METHOD‘, ‘direct’);

Hazlo antes del siguiente texto.

/* ¡Eso es todo, deja de editar! Feliz blogging */
Y si no consigues lograr que el actualizador de wordpress termine la actualización y se queda pegado como la imagen de debajo…

Y después..!!

Es hora de mirar a ver si la carpeta donde tienes alojadas tus webs locales, tienen permiso de lectura y escritura.

En caso de no tenerlos, dales los permisos que necesitan e igual te funciona.

Que tienes dudas y no sabes cómo..!!

Abre tu terminal y entra como root, puedes hacerlo escribiendo sin las comillas “sudo su“, luego escribes tu pasww y si estás utilizando Xampp, probablemente te funcione así….

ESCRIBE:    sudo chmod -R 755 /opt/lampp/htdocs/aquí tus webs uo archivos

Si te fijas, los permisos son “755” e igual todavía por la razón que sea sigue sin funcionar bien.

Pues se valiente y dale 777, que leches… las urls de descargas hasta donde yo llego suelen ser seguras. Otro tema es que instales cosas de procedencias extrañas.

Después de todo esto…..

Lo que se a conseguido así…!!!

Es cambiar el método de actualización en vez del método “FTP” por el “HTTP“, pero esto es otra historia.

¡¡RECUERDA QUE LO PUEDES HACER MANUALMENTE!!

Si te a servido decirlo no está nada mal, no señor…y se agradece.