modifica-wp-admin

La seguridad de nuestra página web es muy importante y uno de los elementos que debemos proteger es el login de WordPress.

En WordPress accedemos a la administración y opciones de configuración generales mediante la URL /wp-admin.

El problema es que todas las instalaciones de WordPress utilizan la misma URL para acceder al login y se crea un problema de seguridad.

Y los hackers programan sus robots malvados que escanean esta URL y prueben contraseñas comunes para crackear el acceso mediante ataques de fuerza bruta.

Para aumentar la seguridad contra hackers y listillos que intenten acceder a nuestra administración podemos cambiar la URL del login /wp-admin de WordPress y cambiarla por otra diferente.

Y de esta manera conseguir un punto más de seguridad en nuestra página web.

Cambiar la url wp-admin de WordPress con WPS Hide Login

Para cambiar la Url wp-admin de WordPress podemos utilizar un sencillo Plugin llamado WPS Hide Login. 

cambiar url wpadmin plugin wps hide login

WPS Hide Login nos permite cambiar la Url del formulario de acceso a la administración de WordPress .

Una vez instalado el plugin para cambiar la URL del login por la que nosotros queramos simplemente nos dirigimos a Ajustes > Generales y en la parte inferior encontramos la opción del plugin donde cambiamos la URL wp-admin del login de WordPress.

 

cambiar-url-wordpress

Y así de fácil al guardar los cambios ya podremos acceder al login de WordPress desde nuestra nueva url de administración, quedando deshabilitada la antigua URL wp-admin.

Lo mejor de este plugin es que no hace cambios en la base de datos, simplemente intercepta las peticiones por lo que otros plugin de seguridad que afectan o introducen opciones en el login como Captchas, intentos de sesión y la verificación en dos pasos serán compatibles.

Y además en el caso de desactivar WPS Hide Login la configuración de WordPress será la misma que antes y volverá a ser wp-admin la Url de acceso a la administración.

Otros Plugins para cambiar la URL de acceso a wp-admin

También te dejo otros plugin que permiten cambiar la URL del admin en WordPress para que tengas más opciones si se crea algún tipo de incompatibilidad con tu instalación.

Rename Wp Login

Rename Wp Login este plugin tiene la misma opción y características que el anterior únicamente la opción para cambiar la URL de administración de WordPress se encuentra en Ajustes > Enlaces permanentes.

Lockdown WP Admin

Lockdown WP Admin incorpora dos opciones adicionales, ocultar la interfaz de administración y configuración de autentificación HTTP.

cambiar-url-wordpress-Lockdown-WP-Admin

Protect Your Admin

cambiar-url-wordpress-protect-your-admin

Protect Your Admin es una solución más completa para la seguridad de nuestro admin con la que podemos filtrar tipos de usuario para el cambio de URL que nos permite cambiar la URL de acceso de los administradores dejando por defecto la URL de editores y suscriptores.

Nota: Protect Your Admin si modifica la base de datos, es conveniente crear una copia de seguridad de la misma si queremos volver sin problemas al estado anterior de nuestro login.

Problemas de cache

Los plugin de cache suelen excluir la página wp-admin del cacheado para que no experimentes errores al loguearte.

Al cambiar la URL de acceso al admin el login de WordPress si será cacheado. Para que no sean cacheadas debemos incluir esta nueva URL en las opciones de nuestro plugin de cache que configuran que paginas no son cacheadas.

no-cachear-login-wp-super-cache

Ejemplo en el plugin Wp Super Cache

 

En caso de olvido de la nueva URL

Si olvidas la nueva url de acceso a la administración de WordPress deberás borrar el plugin accediendo mediante FTP para volver a utilizar la URL wp-admin para tener acceso a la administración de WordPress.

 

Conclusión de cambiar el acceso de wp-admin

La mayoría de las visitas que el login de WordPress recibe son bots que no buscan hacer nada bueno en nuestra página web y hay que ponérselo difícil para que no consigan su objetivo.

Con el cambio de la URL de acceso a la administración conseguimos un punto más a nuestro favor en la seguridad de nuestra página web.

Esta técnica es una de las mejores y es muy usada en las instalaciones de WordPress, pero no es infalible y se debe combinar con captchas en el login de WordPress, restricciones de intentos de sesión o verificación en dos pasos para combatir los ataques mediante fuerza bruta en el login de WordPress.

13 comentarios en “Cambiar la url de wp-admin en WordPress por seguridad

  1. Buen artículo.Lo retweeteo.
    Siempre es bueno añadir nuevas capas de seguridad a tu sitio web y esta es una de ellas. Nosotros no lo solemos recomendar a nuestros clientes porque hay algunos que han tenido problemas con otros plugins (de membership principalmente) y arreglarlos a veces no está al alcance de todos. Además, la parte de la seguridad muchas veces no se le da mucha importancia :). Por mi experiencia, muchos usuarios tienen la idea de que como pagaron 500€ para que les montarán la página ya no tienen que hacer nada más con ella. Como si fuese mesa que la dejas ahí y ya está. Y más bien es como un coche, que tienes que seguir manteniendolo mientras lo tengas para no tener problemas.
    Además, diría que el 90% de los usuarios no tienen ni idea de lo fácil que es atacar su web. Tenemos un video en nuestro curso en el que se muestra como hacerlo y la gente flipa cuando ve que en 5 minutos pueden acabar con tu sitio web y la reputación de tu empresa.
    Le veo una pequeña pega al plugin y es que hace mucho que no se actualiza. Si tienes problemas con el mismo, no se si hay detrás alguien que te pueda ayudar.
    Retweeteado.
    Un abrazo.

  2. Hola Gerardo, gracias por el post. Estoy probando Protect Your Admin pero no consigo que funcione OK. Puedo acceder a la nueva url de acceso al panel de administración, pero al loguearme me lleva a la página d inicio de la web y así todo el rato, sin poder acceder al panel de administración.
    A ver si alguien sabe que puede ocurrir.
    Gracias

  3. Buenísimo artículo. El plugin esta muy bien llevo usándolo un par de meses porque detecté que tenia intentos de acceso cada dos horas de varios robots, esto por fin terminó. Pero he detectado un problema en el plugin ahora en estos días estamos creando nuevos usuarios en la web que van a colaborar con nosotros. Resulta que como super admin cree un nuevo usuario pero no podía loguearse. Desactivé “WPS Hide Login” y de repente el usuario ya podía acceder y editar. Después volví a activar “WPS Hide Login” y el usuario ya puede hacer sus artículos. ¿Curioso verdad?

  4. Hola Gerardo.
    En 1er. lugar, gracias por la info (muy buen artículo:).
    Me gustaría utilizar el plugin WPS Hide Login (es el más simple y, cumple con el único requisito que busco:) pero, tengo un par de inquietudes dado que, mi wordpress me fué instalada por mi proveedor de hosting y, francamente, ya me han “advertido” que …”Le informamos no se brinda soporte para la utilización de wordpress”… es decir, “arreglate”, je!
    Mis dudas, son las siguientes:
    1) Si cambio el enlace, ¿debo usar la misma clave de acceso que me dieron? (te comento que la generó mi proveedor de hosting con algún tipo de generador de claves).
    2) ¿Es verdad que, como mencionas en el artículo …”en el caso de desactivar WPS Hide Login la configuración de WordPress será la misma que antes y volverá a ser wp-admin la Url de acceso a la administración”…?
    3) Lo de …”Problemas de cache”… que mencionas al final, ¿también tengo que aplícarlo para este caso? (te cuento que, tengo instalado el plugin W3TotaCaché que, por suerte, hasta ahora me funciona bastante bien).
    Y, por último,
    Tengo instalado el plugin de seguridad Wordreference. Tengo que hacer algo al cambiar el enlace de mi wp-login?
    Desde ya, muchas gracias.
    Saludos!

    1. Me alegro que te guste el artículo!
      1) la contraseña y el usuario no se ven afectados
      2) si, al borrar la carpeta del FTP todo vuelve a la normalidad
      3) Según la página del plugin, si usas el plugin de cache WP Rocket no hace falta que lo excluyas ya que lo han adaptado, si utilizas W3 Total Cache o WP Super Cache te tiene que salir un aviso con un enlace hacia el campo donde debes indicar la URL (y si no te sale el aviso busca el campo para excluir URL de la cache)
      En principio no tienes que hacer nada en Wordfence, ya que este plugin captura las peticiones que se hacían en el login y las envía a la nueva pagina de login, por lo tanto los plugin que trabajen o tengan funcionalidades en el login deben de seguir funcionando. En caso de que te de algun problema pon el firewall de WordFence en modo de aprendizaje.
      Espero haberte ayudado!
      Un saludo!

  5. Hola Gerardo: Gracias por responder.

    Te comento que, acabo de probarlo y, nada.

    Lo que hace es que, cuando cierro sesión, me da “error 404” y, cuando quiero acceder con el nuevo enlace que generé, me vuelve a dar “error 404”.

    Asi que, por las dudas, lo desactivé y, lo borré. Y, efectivamente, todo volvió “a fojas cero” (es decir, volví a mi wp-login).

    Sabes si, me faltó hacer algo después de instalar el WPS Login y, seguir tus instrucciones? (“Ajustes” > Generales cambiar el nombre y guardar)

    Desde ya, muchas gracias.

    Saludos!

    1. Hola Francisco! No te falto nada, el plugin es así de sencillo.

      El error 404 es de página no encontrada, eso significa que la página de login alternativa no se encontró, puede ser que pusieras mal la URL (error humano XD), pero tambien puede ser un problema de cache (borra y desactiva la cache y prueba si funciona para descartar un problema de cache, hay que indicarle al plugin que no cree una caché de esa URL).

      Otro problema puede ser el un plugin de seguridad, desactívalo y haz pruebas.

      Si aún así el problema persiste, debe de ser una incompatibilidad con otro plugin, hay muchos otros plugins para cambiar la URL intentalo con otro, o utiliza All in one WP Security que es un plugin de seguridad muy grande tipo WordFence que incluye la opción de cambiar la URL de acceso.

      Si esto se convierte en un dolor de cabeza, pueden implementar otras técnicas de seguridad para tener un login mas seguro, como limitar los intentos de inicio de sesión o poner un re-captcha en el login.

      Un saludo!!

  6. Hola Gerardo.
    Aparentemente tenías razón. Los cambios no surten efecto hasta que, no limpias la caché.
    De hecho, hice el proceso inverso (desactivé el plugin WPS Hide Login) y, también me da “error 404” al querer cerrar sesión.
    Pero, para no seguir “jugando” con mi suerte, lo volví a activar pues sino, no podía entrar ni con mi “vieja” (wp-login) ni con mi “nueva” página de acceso.
    Yo lo cargué incluso en mi plugin de caché (W3TC) para que no “cachee” el nuevo enlace (/nuevo-enlace-xxxxxx).
    Una última pregunta: en una respuesta anterior me dijiste que…
    …”2) si, al borrar la carpeta del FTP todo vuelve a la normalidad”…
    Pero yo, NO tengo acceso a dicha carpeta (de hecho ni siquiera tengo instalado el programa para usarlo ni, tampoco, se como usarlo, je:)
    No obstante en otro artículo (https://www.webempresa.com/blog/seguridad-wordpress-personaliza-acceso-wpadmin.html) dice que …”no pasa nada” (si quieres puedes ver un ejemplo en el video que aparece en dicho artículo.
    Pues bien, hice todas las pruebas (instalé y desinstalé) y, llegué a la siguiente conclusión y, procedimiento a seguir:
    1) Instalar el WPS Hide Login
    2) Ir a Ajustes > WPS Hide Login y, colocar el nuevo nombre en el espacio correspondiente
    3) Copiar este “tramo” del nuevo enlace y, agregarlo en el plugin de caché – en mi caso W3TC – en; Rendimiento > Caché de página > Avanzado > Nunca cachear las siguientes páginas: > /nuevo-enlace/
    4) Borrar todas las caché
    5) Salir y volver a entrar (esta vez con el nuevo enlace)
    Y, en caso de querer revertir todo y volver a como estaba, el procedimiento sería:
    a) Desactivar el WPS Hide Login (OJO que, NO te deja borrarlo “de una” pues, justamente, esta funcionado, je)
    b) Borrar Todas las caches
    c) Salir del “Dashboard”
    d) Volver a ingresar pero, con el “viejo” enlace
    e) Borrar el plugin WPS Hide Login y (opcional) revertir el paso 3 del procedimiento anterior (aunque esto no afecta en nada pues, el enlace en cuestión ya no existe peeero:)
    Nota 1: También tenías razón en cuanto a que …”1) la contraseña y el usuario no se ven afectados”… pues, en Todos los casos (el “viejo” y el “nuevo” enlace pude usar siempre lo mismo).
    Nota 2: Volví a reinstalar el plugin (WPS Hide Login) y, pude volver a tener mi “nuevo” enlace.
    Asi que, estimado… ¡ya tengo un nuevo enlace mucho más seguro! cosa que te agradezco.
    Saludos!

Deja un comentario

El email no será publicado. Vas a introducir datos en la web si comentas:

  • Responsable de los datos Gerardo García Asensio
  • Los datos se usarán para gestión de comentarios y medidas de seguridad
  • Legitimación: tu consentimiento.
  • Destinatarios: los datos estarán ubicados en los servidores de Siteground.
  • Derechos: podrás ejercer tus derechos, entre otros, rectificar, limitar y borrar tus datos.

Pin It on Pinterest

Esta web utiliza cookies para su funcionamiento. Lee y acepta el aviso legal o abandona la web. más info

Los ajustes de cookies de esta web están configurados para "permitir cookies" y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estarás dando tu consentimiento a esto.

Cerrar