GoDaddy Ayuda

Hicimos lo mejor que pudimos para traducir esta página para ti. La página en inglés también está disponible.

Bloquear ataques comunes de WordPress

Hay dos archivos que se usan comúnmente para los ataques de fuerza bruta de WordPress: xmlrpc.php y wp-login.php. Este artículo detallará cómo puedes bloquear estos ataques.

Advertencia: ¡No todas las direcciones IP son maliciosas! Bloquear la IP incorrecta puede causar tiempo de inactividad (es decir, bloquear una IP de CDN).

¿Cómo puedo detener un ataque xmlrpc?

  • Usa un complemento para deshabilitar xmlrpc .
  • Deshabilitar xmlrpc.php a través del.htacess archivo.
  • En tu archivo .htaccess, agrega este código:
    Archivos xmlrpc.php > Solicitar permiso, Denegar Denegar a todos /Archivos >

¿Funcionó?

Si bloqueaste correctamente el acceso a xmlrpc.php, el registro de acceso tendrá entradas similares a:

[Mar 02 de agosto 02: 37: 11.052622 2022] [authz_core: error] [pid 1449: tid 140380133652224] [cliente 220.85.221.65:51590] AH01630: cliente denegado por la configuración del servidor: /var/www/vhosts/acoolexample.com/ httpdocs/xmlrpc.php [Mar 02 de agosto 02: 37: 11.962665 2022] [authz_core: error] [pid 1449: tid 140380007773952] [client 134.122.112.76:51696] AH01630: Cliente denegado por la configuración del servidor:/var/www/vhosts /acoolexample.com/httpdocs/xmlrpc.php [Mar 02 de agosto 02: 37: 14.016124 2022] [authz_core: error] [pid 1329: tid 140380243957504] [client 14.232.245.48:51854] AH01630: Cliente denegado por la configuración del servidor:/ var/www/vhosts/acoolexample.com/httpdocs/xmlrpc.php

¿Cómo puedo detener un ataque wp-login.php (wp-admin)?

  • Usa un complemento para limitar los intentos de inicio de sesión .
  • Limitar el acceso a la página de inicio de sesión de WordPress por dirección IP a través del.htacess archivo.
  • En tu archivo .htaccess, agrega este código:
    Archivos wp-login.php > pedido denegado, permitir permitir de xx.xxx.xx.xxx denegar de todos /Archivos >
Nota: Cada IP autorizada (tú, tu desarrollador, etc.) deberá tener una regla de permiso agregada.

Siguientes pasos

Estas son algunas otras sugerencias que puede usar para ayudar a bloquear el tráfico malicioso:
  • Bloquear IP en el firewall del servidor
  • Cambiar el usuario predeterminado de 'admin' a otro nombre
  • Bloquear el acceso a xmlrpc.php y/o wp-login.php en la configuración de Apache