La seguridad de nuestra página web es muy importante y uno de los elementos que debemos proteger es el login de WordPress.
En WordPress accedemos a la administración y opciones de configuración generales mediante la URL /wp-admin.
El problema es que todas las instalaciones de WordPress utilizan la misma URL para acceder al login y se crea un problema de seguridad.
Y los hackers programan sus robots malvados que escanean esta URL y prueben contraseñas comunes para crackear el acceso mediante ataques de fuerza bruta.
Para aumentar la seguridad contra hackers y listillos que intenten acceder a nuestra administración podemos cambiar la URL del login /wp-admin de WordPress y cambiarla por otra diferente.
Y de esta manera conseguir un punto más de seguridad en nuestra página web.
Cambiar la url wp-admin de WordPress con WPS Hide Login
Para cambiar la Url wp-admin de WordPress podemos utilizar un sencillo Plugin llamado WPS Hide Login.
WPS Hide Login nos permite cambiar la Url del formulario de acceso a la administración de WordPress .
Una vez instalado el plugin para cambiar la URL del login por la que nosotros queramos simplemente nos dirigimos a Ajustes > Generales y en la parte inferior encontramos la opción del plugin donde cambiamos la URL wp-admin del login de WordPress.
Y así de fácil al guardar los cambios ya podremos acceder al login de WordPress desde nuestra nueva url de administración, quedando deshabilitada la antigua URL wp-admin.
Lo mejor de este plugin es que no hace cambios en la base de datos, simplemente intercepta las peticiones por lo que otros plugin de seguridad que afectan o introducen opciones en el login como Captchas, intentos de sesión y la verificación en dos pasos serán compatibles.
Y además en el caso de desactivar WPS Hide Login la configuración de WordPress será la misma que antes y volverá a ser wp-admin la Url de acceso a la administración.
Otros Plugins para cambiar la URL de acceso a wp-admin
También te dejo otros plugin que permiten cambiar la URL del admin en WordPress para que tengas más opciones si se crea algún tipo de incompatibilidad con tu instalación.
Rename Wp Login
Rename Wp Login este plugin tiene la misma opción y características que el anterior únicamente la opción para cambiar la URL de administración de WordPress se encuentra en Ajustes > Enlaces permanentes.
Lockdown WP Admin
Lockdown WP Admin incorpora dos opciones adicionales, ocultar la interfaz de administración y configuración de autentificación HTTP.
Protect Your Admin
Protect Your Admin es una solución más completa para la seguridad de nuestro admin con la que podemos filtrar tipos de usuario para el cambio de URL que nos permite cambiar la URL de acceso de los administradores dejando por defecto la URL de editores y suscriptores.
Nota: Protect Your Admin si modifica la base de datos, es conveniente crear una copia de seguridad de la misma si queremos volver sin problemas al estado anterior de nuestro login.
Problemas de cache
Los plugin de cache suelen excluir la página wp-admin del cacheado para que no experimentes errores al loguearte.
Al cambiar la URL de acceso al admin el login de WordPress si será cacheado. Para que no sean cacheadas debemos incluir esta nueva URL en las opciones de nuestro plugin de cache que configuran que paginas no son cacheadas.
En caso de olvido de la nueva URL
Si olvidas la nueva url de acceso a la administración de WordPress deberás borrar el plugin accediendo mediante FTP para volver a utilizar la URL wp-admin para tener acceso a la administración de WordPress.
Conclusión de cambiar el acceso de wp-admin
La mayoría de las visitas que el login de WordPress recibe son bots que no buscan hacer nada bueno en nuestra página web y hay que ponérselo difícil para que no consigan su objetivo.
Con el cambio de la URL de acceso a la administración conseguimos un punto más a nuestro favor en la seguridad de nuestra página web.
Esta técnica es una de las mejores y es muy usada en las instalaciones de WordPress, pero no es infalible y se debe combinar con captchas en el login de WordPress, restricciones de intentos de sesión o verificación en dos pasos para combatir los ataques mediante fuerza bruta en el login de WordPress.
Solo comentar que muy buen apunte indicar el tema de la caché 😉
Gran post, muy util como siempre!
Buen artículo.Lo retweeteo.
Siempre es bueno añadir nuevas capas de seguridad a tu sitio web y esta es una de ellas. Nosotros no lo solemos recomendar a nuestros clientes porque hay algunos que han tenido problemas con otros plugins (de membership principalmente) y arreglarlos a veces no está al alcance de todos. Además, la parte de la seguridad muchas veces no se le da mucha importancia :). Por mi experiencia, muchos usuarios tienen la idea de que como pagaron 500€ para que les montarán la página ya no tienen que hacer nada más con ella. Como si fuese mesa que la dejas ahí y ya está. Y más bien es como un coche, que tienes que seguir manteniendolo mientras lo tengas para no tener problemas.
Además, diría que el 90% de los usuarios no tienen ni idea de lo fácil que es atacar su web. Tenemos un video en nuestro curso en el que se muestra como hacerlo y la gente flipa cuando ve que en 5 minutos pueden acabar con tu sitio web y la reputación de tu empresa.
Le veo una pequeña pega al plugin y es que hace mucho que no se actualiza. Si tienes problemas con el mismo, no se si hay detrás alguien que te pueda ayudar.
Retweeteado.
Un abrazo.
Muy bueno, Gracias
Hola Gerardo, gracias por el post. Estoy probando Protect Your Admin pero no consigo que funcione OK. Puedo acceder a la nueva url de acceso al panel de administración, pero al loguearme me lleva a la página d inicio de la web y así todo el rato, sin poder acceder al panel de administración.
A ver si alguien sabe que puede ocurrir.
Gracias
Buenísimo artículo. El plugin esta muy bien llevo usándolo un par de meses porque detecté que tenia intentos de acceso cada dos horas de varios robots, esto por fin terminó. Pero he detectado un problema en el plugin ahora en estos días estamos creando nuevos usuarios en la web que van a colaborar con nosotros. Resulta que como super admin cree un nuevo usuario pero no podía loguearse. Desactivé «WPS Hide Login» y de repente el usuario ya podía acceder y editar. Después volví a activar «WPS Hide Login» y el usuario ya puede hacer sus artículos. ¿Curioso verdad?
Hola Gerardo.
En 1er. lugar, gracias por la info (muy buen artículo:).
Me gustaría utilizar el plugin WPS Hide Login (es el más simple y, cumple con el único requisito que busco:) pero, tengo un par de inquietudes dado que, mi wordpress me fué instalada por mi proveedor de hosting y, francamente, ya me han «advertido» que …»Le informamos no se brinda soporte para la utilización de wordpress»… es decir, «arreglate», je!
Mis dudas, son las siguientes:
1) Si cambio el enlace, ¿debo usar la misma clave de acceso que me dieron? (te comento que la generó mi proveedor de hosting con algún tipo de generador de claves).
2) ¿Es verdad que, como mencionas en el artículo …»en el caso de desactivar WPS Hide Login la configuración de WordPress será la misma que antes y volverá a ser wp-admin la Url de acceso a la administración»…?
3) Lo de …»Problemas de cache»… que mencionas al final, ¿también tengo que aplícarlo para este caso? (te cuento que, tengo instalado el plugin W3TotaCaché que, por suerte, hasta ahora me funciona bastante bien).
Y, por último,
Tengo instalado el plugin de seguridad Wordreference. Tengo que hacer algo al cambiar el enlace de mi wp-login?
Desde ya, muchas gracias.
Saludos!
Me alegro que te guste el artículo!
1) la contraseña y el usuario no se ven afectados
2) si, al borrar la carpeta del FTP todo vuelve a la normalidad
3) Según la página del plugin, si usas el plugin de cache WP Rocket no hace falta que lo excluyas ya que lo han adaptado, si utilizas W3 Total Cache o WP Super Cache te tiene que salir un aviso con un enlace hacia el campo donde debes indicar la URL (y si no te sale el aviso busca el campo para excluir URL de la cache)
En principio no tienes que hacer nada en Wordfence, ya que este plugin captura las peticiones que se hacían en el login y las envía a la nueva pagina de login, por lo tanto los plugin que trabajen o tengan funcionalidades en el login deben de seguir funcionando. En caso de que te de algun problema pon el firewall de WordFence en modo de aprendizaje.
Espero haberte ayudado!
Un saludo!
Hola Gerardo: Gracias por responder.
Te comento que, acabo de probarlo y, nada.
Lo que hace es que, cuando cierro sesión, me da «error 404» y, cuando quiero acceder con el nuevo enlace que generé, me vuelve a dar «error 404».
Asi que, por las dudas, lo desactivé y, lo borré. Y, efectivamente, todo volvió «a fojas cero» (es decir, volví a mi wp-login).
Sabes si, me faltó hacer algo después de instalar el WPS Login y, seguir tus instrucciones? («Ajustes» > Generales cambiar el nombre y guardar)
Desde ya, muchas gracias.
Saludos!
Hola Francisco! No te falto nada, el plugin es así de sencillo.
El error 404 es de página no encontrada, eso significa que la página de login alternativa no se encontró, puede ser que pusieras mal la URL (error humano XD), pero tambien puede ser un problema de cache (borra y desactiva la cache y prueba si funciona para descartar un problema de cache, hay que indicarle al plugin que no cree una caché de esa URL).
Otro problema puede ser el un plugin de seguridad, desactívalo y haz pruebas.
Si aún así el problema persiste, debe de ser una incompatibilidad con otro plugin, hay muchos otros plugins para cambiar la URL intentalo con otro, o utiliza All in one WP Security que es un plugin de seguridad muy grande tipo WordFence que incluye la opción de cambiar la URL de acceso.
Si esto se convierte en un dolor de cabeza, pueden implementar otras técnicas de seguridad para tener un login mas seguro, como limitar los intentos de inicio de sesión o poner un re-captcha en el login.
Un saludo!!
Hola Gerardo.
Aparentemente tenías razón. Los cambios no surten efecto hasta que, no limpias la caché.
De hecho, hice el proceso inverso (desactivé el plugin WPS Hide Login) y, también me da «error 404» al querer cerrar sesión.
Pero, para no seguir «jugando» con mi suerte, lo volví a activar pues sino, no podía entrar ni con mi «vieja» (wp-login) ni con mi «nueva» página de acceso.
Yo lo cargué incluso en mi plugin de caché (W3TC) para que no «cachee» el nuevo enlace (/nuevo-enlace-xxxxxx).
Una última pregunta: en una respuesta anterior me dijiste que…
…»2) si, al borrar la carpeta del FTP todo vuelve a la normalidad»…
Pero yo, NO tengo acceso a dicha carpeta (de hecho ni siquiera tengo instalado el programa para usarlo ni, tampoco, se como usarlo, je:)
No obstante en otro artículo (https://www.webempresa.com/blog/seguridad-wordpress-personaliza-acceso-wpadmin.html) dice que …»no pasa nada» (si quieres puedes ver un ejemplo en el video que aparece en dicho artículo.
Pues bien, hice todas las pruebas (instalé y desinstalé) y, llegué a la siguiente conclusión y, procedimiento a seguir:
1) Instalar el WPS Hide Login
2) Ir a Ajustes > WPS Hide Login y, colocar el nuevo nombre en el espacio correspondiente
3) Copiar este «tramo» del nuevo enlace y, agregarlo en el plugin de caché – en mi caso W3TC – en; Rendimiento > Caché de página > Avanzado > Nunca cachear las siguientes páginas: > /nuevo-enlace/
4) Borrar todas las caché
5) Salir y volver a entrar (esta vez con el nuevo enlace)
Y, en caso de querer revertir todo y volver a como estaba, el procedimiento sería:
a) Desactivar el WPS Hide Login (OJO que, NO te deja borrarlo «de una» pues, justamente, esta funcionado, je)
b) Borrar Todas las caches
c) Salir del «Dashboard»
d) Volver a ingresar pero, con el «viejo» enlace
e) Borrar el plugin WPS Hide Login y (opcional) revertir el paso 3 del procedimiento anterior (aunque esto no afecta en nada pues, el enlace en cuestión ya no existe peeero:)
Nota 1: También tenías razón en cuanto a que …»1) la contraseña y el usuario no se ven afectados»… pues, en Todos los casos (el «viejo» y el «nuevo» enlace pude usar siempre lo mismo).
Nota 2: Volví a reinstalar el plugin (WPS Hide Login) y, pude volver a tener mi «nuevo» enlace.
Asi que, estimado… ¡ya tengo un nuevo enlace mucho más seguro! cosa que te agradezco.
Saludos!
Muy util tu post!! he usado el plugin WPS Hide Login y va genial.
Un saludo!
Gracias daniel! me alegro que te sea de ayuda.
Un abrazo.
Hola Gerardo, me pereció súper útil tu post. Desde ya apliqué tus consejos de seguridad a mis sitio. Gracias!!!
Me alegro! gracias!
Excelente explicación clara y funcional, muy importante tener en cuenta la seguridad
Importante el punto del cache esto no lo explican en ningún lado y como tenia problemas por eso, en este mundo de plugines y wordpress hay muchos detalles ocultos que no se ven ni los explican en ningún lado bien. Por eso apoyo rotundo a este post si funciona. Gracias
Gracias, Buena info.
Hola Gerardo, me gustó bastante el artículo, usé el plugin y me va genial no me ha presentado problemas (y espero que siga así)
Me gustaría saber si hay alguna otra manera de cambiar esta capa de seguridad desde la instalación de WordPress para no tener que usar plugins y evitar problemas con la caché.
Muchas gracias
Hola! desde el propio WordPress no se puede hacer sin el plugin o sin desarrollarlo a código, para no tener problemas los sistemas de cache suelen incluir una lista de exclusión de URLs para que la cache no actúe en esa URL. Un saludo!
Muchas gracias me sirvio de ayuda, estaba hasta las bolas ya de tanto intento de entrada