En el mundo de la webs con WordPress, la protección de nuestro sitio web es una prioridad que no admite demoras. Frente a esta necesidad, muchos administradores de sitios WordPress recurren a la protección de su directorio /wp-admin/ mediante contraseña, buscando la protección su panel de administración contra intrusiones no deseadas. Sin embargo, en Color Vivo, queremos advertirte sobre un aspecto crítico de esta práctica que podría poner en jaque la funcionalidad de tu sitio.
El problema al proteger wp-admin
El corazón de esta preocupación reside en cómo la protección con contraseña del directorio /wp-admin/ puede interferir con el funcionamiento de archivos cruciales para la operatividad de tu sitio, como son admin-ajax.php y admin-post.php. Estos archivos, esenciales para la implementación de AJAX en WordPress, se encuentran dentro de /wp-admin/. Al blindar este directorio con una contraseña, inadvertidamente, estarías bloqueando el acceso a estas herramientas, impidiendo que tu sitio web realice peticiones AJAX de manera efectiva.
La solución
Afortunadamente, la flexibilidad de WordPress nos brinda una solución elegante que permite asegurar /wp-admin/ sin sacrificar la accesibilidad a admin-ajax.php y admin-post.php. Implementando el siguiente fragmento en tu archivo .htaccess dentro del directorio /wp-admin/, podrás disfrutar de un nivel adicional de seguridad, manteniendo la plena funcionalidad de tu sitio:
AuthType Basic
AuthName "Sección protegida"
AuthUserFile /ruta/a/tu/.htpasswd
Require valid-user
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
<Files admin-post.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
<Files "\.(css|gif|png|jpg|jpeg|webp|avif|js)$">
Order allow,deny
Allow from all
Satisfy any
</Files>Este código asegura el acceso exclusivo a la carpeta /wp-admin/ a usuarios autenticados, mientras garantiza que admin-ajax.php, admin-post.php y archivos estáticos como imágenes y CSS, permanezcan accesibles para todos los usuarios. Recuerda que debes configurar correctamente la protección y el fichero .htpasswd.
Alternativas para una mayor seguridad
Además de proteger tu directorio /wp-admin/, hay otras estrategias que puedes considerar para fortalecer la seguridad de tu sitio WordPress sin comprometer su funcionalidad:
- Limitar el Acceso por IP: A través de
.htaccess, puedes restringir el acceso a wp-admin y wp-login.php solo a direcciones IP específicas. - Uso de Plugins: Herramientas de seguridad te permiten configurar el acceso a wp-admin basándote en el tipo de usuario o la IP.
- Personalización del Código: Añadiendo funciones específicas a tu archivo
functions.php, puedes restringir el acceso al panel de administración basándote en roles de usuario. - Activación de protección WAF: Que nuestro servidor disponga de medidas de cortafuegos, mod_security o similar y un servicio WAF potente también será un escudo ideal para la protección del nuestra zona de administración.
En Color Vivo, entendemos la importancia de mantener tu sitio seguro y al mismo tiempo plenamente funcional. Por eso, te invitamos a considerar estas recomendaciones y a contactarnos si necesitas asistencia personalizada para asegurar tu sitio WordPress. Recuerda, la seguridad de tu web no debe ser un obstáculo para su excelente desempeño.
