Pregunta:
Digamos que tengo un sitio web que ejecuta un CMS popular como WordPress solo sobre SSL a través de HTTP Strict Transport Security. Antes, cualquiera podía acceder a la página de inicio de sesión del administrador de backend simplemente agregando / wp-admin a la URL, pero usando una combinación de mod_rewrite y un complemento, ahora está ofuscada y detiene los ataques de fuerza bruta.
Ahora, ¿qué pasa si se agregó autenticación HTTP Digest a la imagen? Un atacante que de alguna manera encontrara la página de inicio de sesión se enfrentaría a otro obstáculo que tendría que superar. ¿Proporciona esto alguna mejora en la seguridad o simplemente no tiene sentido?
Respuesta:
La seguridad se incrementa mediante el uso de múltiples capas y técnicas. Podría ralentizar al atacante, pero como se señaló en los comentarios a su pregunta, todavía hay muchas formas de atacar un sitio de wordpress: no hay un alto grado de separación entre componentes, bases de datos, etc. en una instalación básica. Asegúrese de que la autenticación de resumen también sea encriptación TLS / HTTPS.
Su objetivo principal es evitar el acceso no autorizado a una determinada parte del sitio. En lugar de bloquear, puede incluir en la lista blanca las direcciones IP a las que permite acceder al sitio y sus subdirectorios. Esto efectivamente hace que las partes de administración sean inaccesibles, a menudo hago algo como esto en "carpetas de administración" en mi .htaccess
ErrorDocument 403 http://www.your-ip-is-not-allowed-to-access-this-section.com
Order deny,allow
Deny from all
Allow from XX.XX.XX.XX