Cómo proteger el login de WordPress

Cómo proteger el login de WordPress

No es la primera vez que te hablamos cómo mejorar la seguridad en WordPress, pero hoy vamos a ser un poco más específicos. Muchos usuarios malintencionados que intentan acceder a tu web lo hacen a través del directorio wp-admin, así que en este post te explicaremos cómo proteger el login de WordPress y mantener tu web web y toda tu información a salvo.

Seguramente te estarás preguntando por qué debes proteger la pantalla de login de WordPress si ya se requiere un usuario y una contraseña para acceder al backend. Bien, muchos usuarios utilizan ataques de fuerza bruta (a través de bots) probando infinidad de nombres de usuarios y contraseñas. Y créenos, son capaces de descifrarlos y acceder.

Para evitar este tipo de ataques es recomendable utilizar un usuario distinto al que muestra wordpress por defecto, es decir, el usuario admin y establecer una contraseña fuerte. Pero aún realizando estas medidas preventivas, a veces es inevitable que tus credenciales sean descifradas. Así que, empecemos de una vez 🙂 A continuación, te explicamos cómo proteger el login de WordPress.

Cómo proteger el login de WordPress

Existen varias maneras de proteger el directorio wp-admin en WordPress. Así que a continuación vamos a explicarte tres de ellas que siempre funcionan.

1. Cambiar la URL de acceso a tu WordPress

Como sabes, por defecto WordPress te facilita una URL de acceso del tipo www.tudominio.com/wp-admin/. A través de esta URL introduces las credenciales de WordPress y ¡listo! Ya puedes acceder al backend de WordPress.

Si quieres ponérselo difícil a los atacantes modifica esta URL por una personalizada. Por ejemplo, puedes cambiar wp-admin por acceso, entrada o cualquier otro nombre que se te ocurra para acceder a WordPress.

Puedes cambiar la URL de acceso a WordPress modificando el archivo .htaccess, o bien a través de un plugin. Nosotros te explicamos las dos opciones:

a) Modificando el archivo .htaccess

Aunque no tengas muchos conocimientos técnicos, modificar el archivo .htaccess no te resultará muy complicado. Simplemente debes acceder por FTP al fichero .htaccess y añadir la siguiente nota de código:

RewriteRule ^entrar$ http://tudominio.com/wp-login.php [NC,L]

Importante: Sustituye la palabra “entrar” por la que quieras utilizar para acceder al backend de WordPRess y “tudomino.com” por el nombre de tu web. Una vez que lo hayas establecido, guárdalo y vuélvelo a subir.

b) Añadiendo un plugin

Seguro que el repositorio de WordPress encuentras muchos más que te permiten hacer este cambio, pero nosotros te recomendamos WPS Hide Login.

Instalar WPS Hide Login en WordPRess

Una vez que lo instalas y lo activas, automáticamente el plugin genera una nueva url de acceso a WordPress del tipo www.tudominio.com/login/. Tú puedes cambiarlo a tu gusto como lo hemos hecho en el siguiente ejemplo:

Cambiar URL de acceso a WordPress con WPS Hide Login

¡Listo! Tanto modificando el archivo .htacces como a través del plugin, podrás modificar fácilmente la URL de acceso a WordPress.

2. Proteger el directorio wp-admin con contraseña

Bien, si nos has hecho caso y has modificado la URL de acceso a WordPress, ya no tendrás que proteger el directorio wp-admin, sino que deberás proteger el que hayas personalizado para acceder al backend de tu aplicación.

Tanto si utilizas otro directorio para acceder a WordPress o sigues utilizando wp-admin, los pasos para protegerlo con contraseña son exactamente los mismos. Podremos hacerlo fácilmente a través del archivo .htaccess desde cPanel, simplemente sigue estos pasos:

1º. Accede al panel de control de tu hosting y, en la sección “Archivos” pulsa sobre “Privacidad del directorio”.

Privacidad del directorio en cPanel

2º. Ahora se abrirá una nueva ventana y se mostrarán algunas carpetas. Selecciona public_html:

Privacidad del directorio en cPanel

3º. Ya casi hemos acabado. Establece el nombre del directorio y pulsa sobre “Salvar”. A continuación, establece un nombre de usuario y una contraseña segura y vuelve a pulsar sobre “Salvar”. ¡Hecho!

Proteger wp-admin con contraseña

Cada vez que intentes acceder a la url de acceso a WordPress, se mostrará una ventana emergente como esta en la que deberás introducir unas credenciales válidas. Es como una doble autenticación, es decir, más seguridad y menos peligro.

Autentificación directorio wp-admin en WordPress

3. Utiliza un sistema de Captcha

Seguro que estás muy acostumbrado a tener que probar que “no eres un robot” cuando te registras en alguna páginas, tratas de insertar un comentario o regenerar una contraseña, por ejemplo.

Estos sistemas de Captcha son útiles ya que impiden a los bots realizar intentos masivos de acceso a tu web. Un humano sería incapaz de realizar tantos intentos seguidos y en tan poco tiempo, así que si le pedimos que antes de comprobar la validez de las credenciales resuelva una pequeña operación matemática, escriba la palabra que ve en la imagen o seleccione una fotografía determinada, las cosas cambian ¡y mucho!

Un bot no es capaz de hacerlo, así que es una muy buena manera de aplicar una doble autenticación en WordPress. Por ejemplo, con el plugin Google Captcha (reCAPTCHA) by BestWebSoft puedes hacerlo fácilmente siguiendo estos pasos:

1º. Instala y activa el plugin en tu aplicación.

2º. En la columna de la izquierda verás que se crea una nueva sección “Googe Captcha”, accede a ella y pulsa sobre “Configuraciones”.

Plugin Google Captcha

Una vez que hayas conectado tu web con el sistema de Capcha de Google, introduce las claves que te facilitan para poder conectar tu web.

3º. No podremos acceder a todas las opciones del plugin ya que solo están disponibles en la versión pro, pero con la gratuita tenemos suficiente para proteger el login de WordPress. Selecciona al menos la opción “Formulario de acceso” y, si crees que las demás también son útiles, hazlo. Por último, pulsa sobre “Guardar cambios”.

Configuración de Google Captcha

De esta manera, cada vez que intentes acceder al login de WordPress, deberás demostrar que no eres un bot. Realmente a ti no te llevará más de dos segundos hacerlo cada vez que inicias sesión, en cambio es una barrera muy difícil de atravesar para los bots.

Google Captcha en el login de WordPress

Recapitulando…

Como ves, hay diferentes formas de proteger el wp-admin o el login de WordPress. Nosotros te damos 3 buenas opciones para hacerlo que no son excluyentes entre sí y que puedes configurarlas en solo unos pocos minutos. Será una buena forma de mantener tu web y todo tu trabajo a salvo de los ciberdelincuentes.

Ahora queremos saber cómo proteges tú el login de WordPress. ¿Utilizas alguna de estas medidas? ¿Cuál recomendarías tú o cuál crees que es la más efectiva?

Verónica Casas

Licenciada en Comunicación Audiovisual y amante del mundo de las tecnologías y de todo lo relacionado con páginas web y marketing online. Dedico parte de mi tiempo a escribir en este blog con el objetivo de ayudarte a lanzar tu negocio online. ¡Emprendamos juntos este viaje!

4 Comentarios
  • RLópez
    Posted at 23:57h, 10 abril Responder

    Excelente información

    • Verónica Casas
      Posted at 15:37h, 12 abril Responder

      Raúl, me alegra que te haya sido útil nuestro post. Gracias por leernos!

  • Marco
    Posted at 20:35h, 01 junio Responder

    Muy buen artículos. Gracias por compartirlo. Lo he imprementado en mi sitio web y funciona super bien.

    • Verónica Casas
      Posted at 20:12h, 04 junio Responder

      Genial Marco, me alegra que te fuera de ayuda nuestro artículo 🙂

Deja un comentario