Los propietarios de sitios web basados en WordPress conocen de primera mano los continuos intentos de bots maliciosos por acceder a los archivos wp-login.php y xmlrpc.php, con el objetivo de lanzar ataques de fuerza bruta o saturar servidores. Aunque contar con un nombre de usuario y una contraseña robustos minimiza las posibilidades de que logren acceder, el tráfico constante de estos bots puede provocar una sobrecarga en el servidor e incluso penalizaciones por parte del proveedor de alojamiento.

El problema de los plugins de seguridad

Muchos administradores recurren a plugins de seguridad para frenar estos ataques. Sin embargo, estas soluciones pueden ser insuficientes, especialmente en servidores compartidos o de bajo coste, ya que los propios plugins pueden verse desbordados por el volumen de peticiones.

La solución definitiva: bloquear antes de que lleguen al servidor

La mejor estrategia es evitar que esos bots lleguen al servidor. Esto se puede lograr de forma sencilla y gratuita a través de Cloudflare.

Paso 1: Configurar Cloudflare

Si aún no tienes una cuenta, crea una cuenta gratuita en Cloudflare y sigue los pasos de configuración iniciales. Una vez configurado, accede a tu cuenta y navega hasta Seguridad > WAF (Firewall de aplicaciones web) > Crear regla.

Paso 2: Proteger el acceso a wp-login.php

Para frenar los intentos de acceso automatizados a la página de inicio de sesión:

• Asigna un nombre a la regla (por ejemplo, Proteger wp-login).
• Configura los campos:
  • Campo: URI
  • Operador: Contiene
  • Valor: wp-login.php
• En Acción, selecciona Managed Challenge (desafío gestionado).
• Pulsa Deploy para desplegar la regla.

Este desafío se mostrará únicamente a bots, mientras que los usuarios legítimos podrán continuar sin problemas tras un breve filtro.

Paso 3: Bloquear el acceso a xmlrpc.php

Si tu sitio no utiliza xmlrpc.php (algo cada vez más frecuente), es recomendable bloquearlo:

• Crea una nueva regla con:
  • Campo: URI
  • Operador: Contiene
  • Valor: xmlrpc.php
• En Acción, selecciona Block.
• Despliega la regla.

Es importante comprobar que tu sitio y los plugins funcionan correctamente tras aplicar este bloqueo. Si utilizas herramientas como JetPack, que aún dependen de xmlrpc.php, será necesario configurar reglas más específicas.

Configuración avanzada: bloqueo selectivo por países

En lugar de un bloqueo general, puedes limitar el acceso a estos archivos solo desde países donde se originan la mayoría de los ataques, como Rusia (RU) y China (CN). Por ejemplo:

• Si URI contiene wp-login.php
• Y el código de país es RU o CN
• Entonces: bloquear

Reglas personalizadas para IPs de confianza

Para evitar quedarte fuera de tu propio sitio web, añade reglas de permiso para tu dirección IP (si es estática) y la IP del servidor donde está alojado el sitio. Esto se configura en el mismo apartado WAF, dentro de la pestaña Tools, añadiendo las IPs a la lista de permitidos.

Creatividad al poder: usa las 5 reglas gratuitas

Cloudflare permite crear hasta 5 reglas de firewall en su plan gratuito. Esto te da la posibilidad de diseñar reglas personalizadas, por ejemplo:

• Presentar desafíos gestionados a visitantes que no provengan de tu país.
• Restringir accesos fuera del horario comercial si administras un sitio local.
• Bloquear bots específicos o agentes de usuario sospechosos.

Conclusión

El uso inteligente de las reglas de firewall de Cloudflare no solo reduce la carga de tu servidor y evita bloqueos por parte de tu proveedor, sino que también elimina el tráfico no deseado antes de que afecte a tu web. La clave está en adelantarse a las amenazas.

Así que, si aún no lo has hecho, crea tu cuenta gratuita en Cloudflare y despídete de los bots de una vez por todas.