WordPress Hacked. Denegar el acceso a través de administrador - útil o no?

Navega tus respuestas
2

¿Realmente ayuda a mantener un sitio más seguro para denegar todo acceso al administrador de WP y hacer cambios directamente en el FTP?

Nuestro WP ha sido hackeado dos veces ahora. Parece que todo el mundo tiene una idea diferente sobre cómo mantener WP seguro y, como parte de los servicios de seguridad, recibimos que uno de los consultores recomendó bloquear todos los accesos de administrador.

Avancemos unos meses y es difícil administrar el contenido de los invitados porque al final tenemos que hacerlo (los escritores invitados no saben cómo usar el FTP, también nos preocupa el hecho de proporcionar acceso).

Entonces tenemos 3 opciones: - Mantente bloqueado a todos. - Permitir sólo ciertas direcciones IP - Acceso abierto a todos

Estoy agradecido por cualquier orientación.

    
pregunta Rae 24.03.2014 - 13:03
fuente

2 respuestas

1

Como dijo Nick, realmente debería revisar sus registros y determinar cómo se comprometió su sitio para aprender a mitigarlo mejor avanzando.

No creo que el bloqueo del acceso al administrador sirva de mucho, excepto para incomodar a quien tenga la tarea de mantenerlo. Espero que no se haya adivinado la contraseña y que se instale un complemento como All In One WP Security mitigará los ataques de fuerza bruta.

Si tuviera que cubrir una apuesta, supondría (sin más detalles de lo que mencionó anteriormente) que se explotó una vulnerabilidad en su sitio web (es decir, Timthumb (vulnerabilidad)) o tiene un agujero de seguridad en el servidor que aloja la máquina.

Si limita el acceso de administrador a las conexiones locales, solo still puede no mitigar el ataque. Pídale a su asesor de seguridad que encuentre la causa de la infracción y luego trabaje para parchear.

    
respondido por el DKNUCKLES 24.03.2014 - 19:39
fuente
0

Si usas un plug-in llamado SEO Todo en Uno, probablemente fue el punto más débil. Aquí hay un artículo sobre su última falla de seguridad.

Reglas generales:

  1. Use un navegador seguro (con protección XSS)
  2. Proteja su / wp-admin ( guía )
  3. Mantente al día.
respondido por el AK_ 03.06.2014 - 00:57
fuente

Lea otras preguntas en las etiquetas

¿La red del operador se autentica a sí misma en la tarjeta SIM? Guardar el token de inicio de sesión de inicio automático de la aplicación en la computadora