Jueves, 04 Enero 2018 01:14

Cómo evadir los bots dirigidos a WordPress en tu sitio en Joomla

Escrito por

Si usas la extensión sh404SEF en tu sitio Joomla! es posible que alguna vez te hayas preguntado de donde provienen tantos registros de error 404 para la dirección wp-login.php. Estos errores se deben a que existen bots deambulando por el ciberespacio cuyo fin es atacar sitios web que utilizan WordPress como el gestor de contenidos. Estos realizan este tipo de pruebas para efectivamente identificar aquellos sitios en WordPress y dirigir la información al atacante. 

Los sitios web basados en Joomla! suelen ser víctimas de estos bots. Es posible que si registras los errores 404 con una herramienta como sh404SEF lo habrás notado. El punto es que te hayas dado cuenta o no, es posible que tu sitio sea también blanco de estos bots. Si utilizas una página de error 404 personalizada que carga la plantilla del sitio y todo lo demás, el tomar medidas correctivas es de mayor relevancia ya que cada vez que un bot quiere hace la solicitud por dicho URL, que obviamente no existe en un sitio Joomla!, se deben ejecutar todos los scripts y descargar los recursos necesarios para mostrarla. Peor aún si tienes algún sistema de redirección de errores 404 a páginas similares. Todo esto, produce un uso innecesario de los recursos del servidor y silos tuyos son un poco limitados podría llegar a afectar el rendimiento del sitio web. 

Solucionarlo es muy sencillo. En este caso, voy a mostrar como redireccionar estas solicitudes a una página HTML con un texto simple que no generará mayor carga sobre el servidor. Este consejo lo vi originalmente en el canal de Youtube Basic Joomla Tutoriales de Tim Davis

Creación del archivo HTML

En primer lugar el necesario crear el archivo HTML al que vamos a redirigir a los atacantes. Este archivo debe estar en el directorio raíz del sitio web (y de Joomla!) y para crearlo puedes hacerlo por medio del bloc de notas o algún editor de texto como Geany. También puedes crearlo directamente desde el gestor de archivos de CPanel que es mucho más fácil. Solo debes hacer clic en +File y allí le das el nombre que quieras al archivo. En este caso lo llamé nogracias.html.

Una vez creado el archivo, debes editarlo y escribir el texto que quieras adentro. Yo escribí "No, gracias.".

Una vez listo el archivo y ubicado en la carpeta correcta, procedemos con siguiente paso.

Añadir reglas en .htaccess

Ahora, debemos añadir las correspondientes reglas en el archivo .htaccess. Las siguientes reglas las vamos a pegar justo después de donde dice RewriteEngine On

##
# Estas reglas redirigen ataques comunes a sitios en WordPress
RewriteRule (.*)wp-admin(.*) /nogracias.html [R=301,L]
RewriteRule (.*)wp-cache(.*) /nogracias.html [R=301,L]
RewriteRule (.*)wp-content(.*) /nogracias.html [R=301,L]
RewriteRule (.*)wp-data(.*) /nogracias.html [R=301,L]
RewriteRule (.*)wp-includes(.*) /nogracias.html [R=301,L]
RewriteRule (.*)wp-json(.*) /nogracias.html [R=301,L]
RewriteRule (.*)wp-login(.*) /nogracias.html [R=301,L]
RewriteRule (.*)wp-main(.*) /nogracias.html [R=301,L]
##

Guardamos el archivo y probamos que las reglas estén funcionado. Nabrás notado que aparte de filtrar las solicitudes a wp-login.php también se agregaron otras reglas para prevenir ataques similares que son bastante comunes a sitios basados en WordPress. 

Si algo no te ha salido bien y no te quedó claro el proceso, no dudes en preguntar por medio de los comentarios del artículo. 

Leído 152 veces
Emanuel Rodríguez

Soy fanático de Joomla!, Linux y el software libre en general (aunque a veces publico artículos sobre Windows). Parte de mi tiempo libre lo dedico a escribir. Soy profesional en imágenes médicas. 

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.