modifica-wp-admin

La seguridad de nuestra p谩gina web es muy importante y uno de los elementos que debemos proteger es el login de WordPress.

En WordPress accedemos a la administraci贸n y opciones de configuraci贸n generales mediante la URL /wp-admin.

El problema es que todas las instalaciones de WordPress utilizan la misma URL para acceder al login y se crea un problema de seguridad.

Y los hackers programan sus robots malvados que escanean esta URL y prueben contrase帽as comunes para crackear el acceso mediante ataques de fuerza bruta.

Para aumentar la seguridad contra hackers y listillos que intenten acceder a nuestra administraci贸n podemos cambiar la URL del login /wp-admin de WordPress y cambiarla por otra diferente.

Y de esta manera conseguir un punto m谩s de seguridad en nuestra p谩gina web.

Cambiar la url wp-admin de WordPress con WPS Hide Login

Para cambiar la Url wp-admin de WordPress podemos utilizar un sencillo Plugin llamado WPS Hide Login.

cambiar url wpadmin plugin wps hide login

WPS Hide Login nos permite cambiar la Url del formulario de acceso a la administraci贸n de WordPress .

Una vez instalado el plugin para cambiar la URL del login por la que nosotros queramos simplemente nos dirigimos a Ajustes > Generales y en la parte inferior encontramos la opci贸n del plugin donde cambiamos la URL wp-admin del login de WordPress.

 

cambiar-url-wordpress

Y as铆 de f谩cil al guardar los cambios ya podremos acceder al login de WordPress desde nuestra nueva url de administraci贸n, quedando deshabilitada la antigua URL wp-admin.

Lo mejor de este plugin es que no hace cambios en la base de datos, simplemente intercepta las peticiones por lo que otros plugin de seguridad que afectan o introducen opciones en el login como Captchas, intentos de sesi贸n y la verificaci贸n en dos pasos ser谩n compatibles.

Y adem谩s en el caso de desactivar WPS Hide Login la configuraci贸n de WordPress ser谩 la misma que antes y volver谩 a ser wp-admin la Url de acceso a la administraci贸n.

Otros Plugins para cambiar la URL de acceso a wp-admin

Tambi茅n te dejo otros plugin que permiten cambiar la URL del admin en WordPress para que tengas m谩s opciones si se crea alg煤n tipo de incompatibilidad con tu instalaci贸n.

Rename Wp Login

Rename Wp Login este plugin tiene la misma opci贸n y caracter铆sticas que el anterior 煤nicamente la opci贸n para cambiar la URL de administraci贸n de WordPress se encuentra en Ajustes > Enlaces permanentes.

Lockdown WP Admin

Lockdown WP Admin incorpora dos opciones adicionales, ocultar la interfaz de administraci贸n y configuraci贸n de autentificaci贸n HTTP.

cambiar-url-wordpress-Lockdown-WP-Admin

Protect Your Admin

cambiar-url-wordpress-protect-your-admin

Protect Your Admin es una soluci贸n m谩s completa para la seguridad de nuestro admin con la que podemos filtrar tipos de usuario para el cambio de URL que nos permite cambiar la URL de acceso de los administradores dejando por defecto la URL de editores y suscriptores.

Nota: Protect Your Admin si modifica la base de datos, es conveniente crear una copia de seguridad de la misma si queremos volver sin problemas al estado anterior de nuestro login.

Problemas de cache

Los plugin de cache suelen excluir la p谩gina wp-admin del cacheado para que no experimentes errores al loguearte.

Al cambiar la URL de acceso al admin el login de WordPress si ser谩 cacheado. Para que no sean cacheadas debemos incluir esta nueva URL en las opciones de nuestro plugin de cache que configuran que paginas no son cacheadas.

no-cachear-login-wp-super-cache

Ejemplo en el plugin Wp Super Cache

 

En caso de olvido de la nueva URL

Si olvidas la nueva url de acceso a la administraci贸n de WordPress聽deber谩s聽borrar el plugin accediendo mediante FTP para volver a utilizar la URL wp-admin para tener acceso a la administraci贸n de WordPress.

 

Conclusi贸n de cambiar el acceso de wp-admin

La mayor铆a de las visitas que el login de WordPress recibe son bots que no buscan hacer nada bueno en nuestra p谩gina web聽y hay que pon茅rselo dif铆cil para que no consigan su objetivo.

Con聽el cambio de la URL de acceso a la administraci贸n conseguimos un punto m谩s a nuestro favor en la seguridad de nuestra p谩gina web.

Esta t茅cnica es una de las mejores y es muy usada聽en las instalaciones de WordPress, pero no es infalible y se debe combinar con captchas en el login de WordPress, restricciones de intentos de sesi贸n o聽verificaci贸n en dos pasos para聽combatir los ataques mediante fuerza bruta en el login de WordPress.

17 comentarios en “Cambiar la url de wp-admin en WordPress por seguridad

  1. Buen art铆culo.Lo retweeteo.
    Siempre es bueno a帽adir nuevas capas de seguridad a tu sitio web y esta es una de ellas. Nosotros no lo solemos recomendar a nuestros clientes porque hay algunos que han tenido problemas con otros plugins (de membership principalmente) y arreglarlos a veces no est谩 al alcance de todos. Adem谩s, la parte de la seguridad muchas veces no se le da mucha importancia :). Por mi experiencia, muchos usuarios tienen la idea de que como pagaron 500鈧 para que les montar谩n la p谩gina ya no tienen que hacer nada m谩s con ella. Como si fuese mesa que la dejas ah铆 y ya est谩. Y m谩s bien es como un coche, que tienes que seguir manteniendolo mientras lo tengas para no tener problemas.
    Adem谩s, dir铆a que el 90% de los usuarios no tienen ni idea de lo f谩cil que es atacar su web. Tenemos un video en nuestro curso en el que se muestra como hacerlo y la gente flipa cuando ve que en 5 minutos pueden acabar con tu sitio web y la reputaci贸n de tu empresa.
    Le veo una peque帽a pega al plugin y es que hace mucho que no se actualiza. Si tienes problemas con el mismo, no se si hay detr谩s alguien que te pueda ayudar.
    Retweeteado.
    Un abrazo.

  2. Hola Gerardo, gracias por el post. Estoy probando Protect Your Admin pero no consigo que funcione OK. Puedo acceder a la nueva url de acceso al panel de administraci贸n, pero al loguearme me lleva a la p谩gina d inicio de la web y as铆 todo el rato, sin poder acceder al panel de administraci贸n.
    A ver si alguien sabe que puede ocurrir.
    Gracias

  3. Buen铆simo art铆culo. El plugin esta muy bien llevo us谩ndolo un par de meses porque detect茅 que tenia intentos de acceso cada dos horas de varios robots, esto por fin termin贸. Pero he detectado un problema en el plugin ahora en estos d铆as estamos creando nuevos usuarios en la web que van a colaborar con nosotros. Resulta que como super admin cree un nuevo usuario pero no pod铆a loguearse. Desactiv茅 «WPS Hide Login» y de repente el usuario ya pod铆a acceder y editar. Despu茅s volv铆 a activar «WPS Hide Login» y el usuario ya puede hacer sus art铆culos. 驴Curioso verdad?

  4. Hola Gerardo.
    En 1er. lugar, gracias por la info (muy buen art铆culo:).
    Me gustar铆a utilizar el plugin WPS Hide Login (es el m谩s simple y, cumple con el 煤nico requisito que busco:) pero, tengo un par de inquietudes dado que, mi wordpress me fu茅 instalada por mi proveedor de hosting y, francamente, ya me han «advertido» que …»Le informamos no se brinda soporte para la utilizaci贸n de wordpress»… es decir, «arreglate», je!
    Mis dudas, son las siguientes:
    1) Si cambio el enlace, 驴debo usar la misma clave de acceso que me dieron? (te comento que la gener贸 mi proveedor de hosting con alg煤n tipo de generador de claves).
    2) 驴Es verdad que, como mencionas en el art铆culo …»en el caso de desactivar WPS Hide Login la configuraci贸n de WordPress ser谩 la misma que antes y volver谩 a ser wp-admin la Url de acceso a la administraci贸n»…?
    3) Lo de …»Problemas de cache»… que mencionas al final, 驴tambi茅n tengo que apl铆carlo para este caso? (te cuento que, tengo instalado el plugin W3TotaCach茅 que, por suerte, hasta ahora me funciona bastante bien).
    Y, por 煤ltimo,
    Tengo instalado el plugin de seguridad Wordreference. Tengo que hacer algo al cambiar el enlace de mi wp-login?
    Desde ya, muchas gracias.
    Saludos!

    1. Me alegro que te guste el art铆culo!
      1) la contrase帽a y el usuario no se ven afectados
      2) si, al borrar la carpeta del FTP todo vuelve a la normalidad
      3) Seg煤n la p谩gina del plugin, si usas el plugin de cache WP Rocket no hace falta que lo excluyas ya que lo han adaptado, si utilizas W3 Total Cache o WP Super Cache te tiene que salir un aviso con un enlace hacia el campo donde debes indicar la URL (y si no te sale el aviso busca el campo para excluir URL de la cache)
      En principio no tienes que hacer nada en Wordfence, ya que este plugin captura las peticiones que se hac铆an en el login y las env铆a a la nueva pagina de login, por lo tanto los plugin que trabajen o tengan funcionalidades en el login deben de seguir funcionando. En caso de que te de algun problema pon el firewall de WordFence en modo de aprendizaje.
      Espero haberte ayudado!
      Un saludo!

  5. Hola Gerardo: Gracias por responder.

    Te comento que, acabo de probarlo y, nada.

    Lo que hace es que, cuando cierro sesi贸n, me da «error 404» y, cuando quiero acceder con el nuevo enlace que gener茅, me vuelve a dar «error 404».

    Asi que, por las dudas, lo desactiv茅 y, lo borr茅. Y, efectivamente, todo volvi贸 «a fojas cero» (es decir, volv铆 a mi wp-login).

    Sabes si, me falt贸 hacer algo despu茅s de instalar el WPS Login y, seguir tus instrucciones? («Ajustes» > Generales cambiar el nombre y guardar)

    Desde ya, muchas gracias.

    Saludos!

    1. Hola Francisco! No te falto nada, el plugin es as铆 de sencillo.

      El error 404 es de p谩gina no encontrada, eso significa que la p谩gina de login alternativa no se encontr贸, puede ser que pusieras mal la URL (error humano XD), pero tambien puede ser un problema de cache (borra y desactiva la cache y prueba si funciona para descartar un problema de cache, hay que indicarle al plugin que no cree una cach茅 de esa URL).

      Otro problema puede ser el un plugin de seguridad, desact铆valo y haz pruebas.

      Si a煤n as铆 el problema persiste, debe de ser una incompatibilidad con otro plugin, hay muchos otros plugins para cambiar la URL intentalo con otro, o utiliza All in one WP Security que es un plugin de seguridad muy grande tipo WordFence que incluye la opci贸n de cambiar la URL de acceso.

      Si esto se convierte en un dolor de cabeza, pueden implementar otras t茅cnicas de seguridad para tener un login mas seguro, como limitar los intentos de inicio de sesi贸n o poner un re-captcha en el login.

      Un saludo!!

  6. Hola Gerardo.
    Aparentemente ten铆as raz贸n. Los cambios no surten efecto hasta que, no limpias la cach茅.
    De hecho, hice el proceso inverso (desactiv茅 el plugin WPS Hide Login) y, tambi茅n me da «error 404» al querer cerrar sesi贸n.
    Pero, para no seguir «jugando» con mi suerte, lo volv铆 a activar pues sino, no pod铆a entrar ni con mi «vieja» (wp-login) ni con mi «nueva» p谩gina de acceso.
    Yo lo cargu茅 incluso en mi plugin de cach茅 (W3TC) para que no «cachee» el nuevo enlace (/nuevo-enlace-xxxxxx).
    Una 煤ltima pregunta: en una respuesta anterior me dijiste que…
    …»2) si, al borrar la carpeta del FTP todo vuelve a la normalidad»…
    Pero yo, NO tengo acceso a dicha carpeta (de hecho ni siquiera tengo instalado el programa para usarlo ni, tampoco, se como usarlo, je:)
    No obstante en otro art铆culo (https://www.webempresa.com/blog/seguridad-wordpress-personaliza-acceso-wpadmin.html) dice que …»no pasa nada» (si quieres puedes ver un ejemplo en el video que aparece en dicho art铆culo.
    Pues bien, hice todas las pruebas (instal茅 y desinstal茅) y, llegu茅 a la siguiente conclusi贸n y, procedimiento a seguir:
    1) Instalar el WPS Hide Login
    2) Ir a Ajustes > WPS Hide Login y, colocar el nuevo nombre en el espacio correspondiente
    3) Copiar este «tramo» del nuevo enlace y, agregarlo en el plugin de cach茅 – en mi caso W3TC – en; Rendimiento > Cach茅 de p谩gina > Avanzado > Nunca cachear las siguientes p谩ginas: > /nuevo-enlace/
    4) Borrar todas las cach茅
    5) Salir y volver a entrar (esta vez con el nuevo enlace)
    Y, en caso de querer revertir todo y volver a como estaba, el procedimiento ser铆a:
    a) Desactivar el WPS Hide Login (OJO que, NO te deja borrarlo «de una» pues, justamente, esta funcionado, je)
    b) Borrar Todas las caches
    c) Salir del «Dashboard»
    d) Volver a ingresar pero, con el «viejo» enlace
    e) Borrar el plugin WPS Hide Login y (opcional) revertir el paso 3 del procedimiento anterior (aunque esto no afecta en nada pues, el enlace en cuesti贸n ya no existe peeero:)
    Nota 1: Tambi茅n ten铆as raz贸n en cuanto a que …»1) la contrase帽a y el usuario no se ven afectados»… pues, en Todos los casos (el «viejo» y el «nuevo» enlace pude usar siempre lo mismo).
    Nota 2: Volv铆 a reinstalar el plugin (WPS Hide Login) y, pude volver a tener mi «nuevo» enlace.
    Asi que, estimado… 隆ya tengo un nuevo enlace mucho m谩s seguro! cosa que te agradezco.
    Saludos!

  7. Importante el punto del cache esto no lo explican en ning煤n lado y como tenia problemas por eso, en este mundo de plugines y wordpress hay muchos detalles ocultos que no se ven ni los explican en ning煤n lado bien. Por eso apoyo rotundo a este post si funciona. Gracias

Deja un comentario

El email no ser谩 publicado. Vas a introducir datos en la web si comentas:

  • Responsable de los datos Gerardo Garc铆a Asensio
  • Los datos se usar谩n para gesti贸n de comentarios y medidas de seguridad
  • Legitimaci贸n: tu consentimiento.
  • Destinatarios: los datos estar谩n ubicados en los servidores de Siteground.
  • Derechos: podr谩s ejercer tus derechos, entre otros, rectificar, limitar y borrar tus datos.

Pin It on Pinterest

Esta web utiliza cookies para su funcionamiento. Lee y acepta el aviso legal o abandona la web. m谩s info

Los ajustes de cookies de esta web est谩n configurados para "permitir cookies" y as铆 ofrecerte la mejor experiencia de navegaci贸n posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estar谩s dando tu consentimiento a esto.

Cerrar