Uno de los problemas que traen de cabeza a los usuarios de WordPress es el relacionado con la seguridad. Puedes encontrar docenas y docenas de plugins y utilidades para WordPress ideadas para hacer más seguro tu sitio, desde captchas hasta contadores de intentos de login. Sin embargo, podría decirse que uno de los métodos más radicales para conseguir asegurar tu sitio es éste: limitar el acceso a wp-login.php mediante IP.
Lo que implica esta técnica es sencillamente efectivo: cada vez que alguien intente acceder al login de tu blog, el servidor echará un vistazo a su IP. Si la IP es la tuya entonces se puede acceder al login. En caso contrario se deniega el acceso. De esta forma creas un muro difícilmente de franquear.
Aclaremos que esta idea no garantiza al 100% que tu blog esté a salvo, siempre hay técnicas para saltar esta técnica, pero requiere de conocimientos más avanzados, así que reducimos sensiblemente las probabilidades de tener problemas, mejor aún que con otras técnicas de seguridad más simples que se aplican habitualmente.
Modificando el .htaccess para limitar por IP
El truco que estamos aplicando funciona añadiendo unas simples líneas al siempre práctico archivo .htaccess
Para ello puedes utilizar un programa de FTP normal y corriente para descargarlo y un editor de texto plano ASCII.
Lo único que tendrías que hacer es añadir estas líneas al final del archivo:
order deny,allow
deny from all#Substituye las X por tu dirección IP aquí abajo
allow from xxx.xxx.xxx.xxx
Si analizas un poco el código, lo que hacemos es decirle al servidor que deniegue el acceso a wp-login.php a todo el mundo. Luego le damos acceso (‘allow’) a tu IP.
En el caso de que tengas varias IPs puedes añadir más líneas ‘allow from’ debajo de la primera y asegurarte de que hay acceso para todas ellas, por ejemplo si trabajas en una empresa con varias líneas de conexión o en un blog multiautor.
Cómo sé cuál es mi IP
Obviamente, para que funcione esta técnica, necesitas saber cuál es tu IP. Afortunadamente existen varias herramientas online que descubren rápidamente tan solo con visitar whatsmyip o myip.ms, por mencionar un par de ellas.
¿Limitar acceso a WordPress con IP fija y dinámica?
Uno de los puntos que hay que preguntarse antes de aplicar esta técnica de seguridad es ¿tengo una IP fija o dinámica?
Mencionemos aquí para los que no tengan nociones sobre ello que las IPs fijas son IPs que nunca cambian, incluso cuando apagas o reinicias el router.
Las IPs dinámicas, por otro lado, son IPs que cambian cada vez que el router al que tienes conectado el ordenador vuelve a encenderse.
En el caso de que tengas una IP fija, esta técnica funcionará automáticamente. En el caso de que tengas una IP dinámica, también funcionará, pero esto te obligará a que edites el archivo .htaccess para actualizar la IP cada vez que vayas a acceder al wp-login.php.
Teniendo en cuenta que, normalmente, harás un login una o dos veces al mes, no parece demasiado trabajo en comparación