DESARROLLO WEB CON WORDPRESS

TE AYUDO A CONVERTIR TUS GRANDES IDEAS EN REALIDAD

SERVICIOS FORMACIÓN

Restringir el acceso a wp-admin en WordPress

Es muy común que todos los blogs y sitios con WordPress sean gestionados por varios usuarios. Algo importante es poder controlar a qué tiene acceso cada uno, tomando medidas de seguridad para que no gestionen aspectos que no queremos, como puede ser el escritorio. También es una medida preventiva ante posibles ataques externos. Veamos algunas posibilidades para estar más tranquilos.

Hay algunos plugins que restringen el acceso al Escritorio de WordPress, uno de ellos es el WP Secure, que permite bloquear según el tipo de usuario o también la dirección IP.

Para casos en que el sitio es actualizado siempre desde un mismo ordenador se puede limitar el acceso con el archivo .htaccess, especificado el IP de la terminal autorizada. Se puede ingresar al directorio /wp-admin y crear el .htaccess. Allí podemos especificar las IP a las cuales daremos autorización con el siguiente código:

 

order deny,allow

deny from all

# IP AUTORIZADA 1

allow from xx.xx.xx.xxx

# IP AUTORIZADA 2

allow from xx.xx.xx.xxx

 

Siguiendo con las opciones de código podemos especificar los tipos de usuario a quienes les daremos acceso. Con el siguiente ejemplo bloqueamos el acceso a todos los que están por debajo de la jerarquía de administrador:

 

function restringir_login(){

global $current_user;

get_currentuserinfo();

if ($current_user->user_level <  4) {

wp_redirect( get_bloginfo(‘url’) );

exit;

}

}

add_action(‘admin_init’, ‘restringir_login’, 1);

 

Hay algunas opciones más como eliminar el usuario “admin”, que es creado por defecto al instalar WordPress. Podemos crear un administrador y eliminar el admin. Además es posible eliminar el mensaje de error que aparece al querer ingresar que especifica si el nombre de usuario y/o contraseña son incorrectos, ya que esto podría dar algún tipo de información. Para esto tenemos el código:

 

add_filter(‘login_errors’,create_function(‘$a’,’return null;’));

 

Si aún queremos mayor seguridad contra posibles ataques existe el plugin Hide Login, que permite crear direcciones URL personalizadas con las cuales ingresar, no pudiendo acceder desde otra diferente.