Cómo proteger el login de WordPress

proteger login wordpress
4.9
(16)

¿Por qué debo proteger el login de WordPress si ya tengo un nombre de usuario y una contraseña segura?

Esta es seguramente una de las preguntas más recurrentes cuando se habla de la necesidad de proteger el directorio /wp-admin. Pues bien, el principal objetivo de cualquier atacante es acceder al backend de una web y tomar el control de la misma. Esto son capaces de hacerlo gracias a los bots, que prueban infinidad de nombres de usuario y contraseñas hasta descifrar la información de acceso.

Para reducir las posibilidades de que esto ocurra, lo primero es utilizar un nombre de usuario diferente a admin, ya que es el predefinido de WordPress, pero hay otras medidas de seguridad que tienes que tener en cuenta. ¿Vemos de cuáles se trata?

Veamos entonces algunos tips para proteger el login de WordPress.

4 formas de proteger el login de WordPress

Existen multitud de formas de proteger el login de WordPress y sea cual sea la que elijas, siempre será una buena decisión que hayas decidido implementar una capa de seguridad extra a tu sitio que actúe como barrera para los usuarios malintencionados.

A continuación yo te muestro 4 formas de hacerlo. ¡Tú elige la o las que prefieras! 🙂

1. Cambiar la URL de acceso a tu WordPress

Por defecto, WordPress, te facilita una URL de acceso del tipo www.tudominio.com/wp-admin/. A través de esta URL introduces las credenciales de WordPress y ¡listo! Ya puedes acceder al backend de WordPress.

Si quieres ponérselo difícil a los atacantes, modifica esta URL por una personalizada. Por ejemplo, puedes cambiar /wp-admin por /acceso, /entrada o cualquier otro nombre que se te ocurra para acceder a WordPress.

Este cambio puedes hacerlo modificando el archivo .htaccess, o bien a través de un plugin. Nosotros te explicamos las dos opciones:

a) Modificando el archivo .htaccess

Aunque no tengas muchos conocimientos técnicos, modificar el archivo .htaccess no te resultará muy complicado. Solo debes acceder por FTP al fichero .htaccess y añadir la siguiente línea de código:

RewriteRule ^entrar$ http://tudominio.com/wp-login.php [NC,L]

Importante: Sustituye la palabra «entrar» por la que quieras utilizar para acceder al backend de WordPress y «tudomino.com» por el nombre de tu web. Una vez que lo hayas establecido, guárdalo y vuélvelo a subir.

Si nunca has tocado este archivo, te recomiendo que le eches un ojo a esta guía:

b) A través de un plugin

Seguro que el repositorio de WordPress encuentras muchos más que te permiten hacer este cambio. En este ejemplo, te muestro cómo hacerlo con WPS Hide Login.

Instalar WPS Hide Login en WordPRess

Una vez que lo instalas y lo activas, automáticamente el plugin genera una nueva url de acceso a WordPress del tipo www.tudominio.com/login/ que puedes modificar a tu gusto, tal y como ves en la siguiente imagen:

Cambiar URL de acceso a WordPress con WPS Hide Login

¡Listo! Modificando el archivo .htacces o a través del plugin, podrás modificar fácilmente la URL de acceso a WordPress.

2. Protege el directorio del login con usuario y contraseña

Más que una alternativa al método que acabamos de ver, se trata de una medida de seguridad complementaria.

Protegiendo el directorio de acceso a WordPress /wp-admin o el que hayas establecido, nadie podrá acceder a la pantalla de login de WordPress sin antes haber introducido un nombre de usuario y una contraseña válida.

Esto puedes hacerlo fácilmente desde cPanel siguiendo estos pasos:

1º. Accede al panel de control de tu hosting y, en la sección «Archivos», pulsa sobre «Privacidad del directorio».

Privacidad del directorio en cPanel

2º. Ahora se abrirá una nueva ventana y se mostrarán algunas carpetas. Pulsa sobre el icono de la carpeta public_html, localiza wp-admin (o la ruta personalizada) y haz clic sobre él.

Privacidad del directorio en cPanel

3º. Ya casi hemos acabado. Establece el nombre del directorio y pulsa sobre «Salvar». A continuación, establece un nombre de usuario y una contraseña segura y vuelve a pulsar sobre «Salvar». ¡Hecho!

Proteger wp-admin con contraseña

Cada vez que intentes acceder a la url de acceso a WordPress, se mostrará una ventana emergente como esta, en la que deberás introducir unas credenciales válidas. Es como una doble autenticación; más seguridad, menos peligro.

Autentificación directorio wp-admin en WordPress

Importante

Para que funcione la privacidad de directorio, es necesario también que realices estos dos pasos:

  1. Crear un fichero con el nombre «401.shtml» en la raíz donde esté instalado WordPresscon el contenido:
    <h3>Acceso no permitido</h3>
  2. Introduce en el .htaccess de la carpeta «wp-admin» las siguientes líneas de código, ya que hay muchos plugins que hacen uso de ese fichero. En caso contrario, en muchas instalaciones el sistema podría pedir usuario y contraseña a los visitantes simplemente accediendo a la página principal del WordPress o a algún post.
    <Files admin-ajax.php>
    Satisfy Any
    Allow from all
    </Files>

3. Activa el 2FA en WordPress

Utilizando un doble factor de autenticación, también conocido como 2FA, cualquier usuario a la hora de identificarse en WordPress deberá añadir el nombre de usuario y la contraseña y, si estos datos son correctos, se encontrará una doble verificación en el que debe añadir algo más para acceder al backend.

Pantalla de login de WordPress con 2FA

En el repositorio oficial de WordPress tienes un montón de plugins 2FA. Yo he probado muchos de ellos y te recomiendo que pruebes alguno de estos cinco:

  • Wordfence Login Security
  • WP 2FA
  • Google Authenticator – WordPress Two Factor Authentication
  • Two Factor Authentication
  • Duo Two-Factor Authentication

Además, te dejo esta guía en la que te muestro paso a paso cómo activar la doble autenticación en WordPress:

¡Ojo! Si ya utilizas algún plugin de seguridad como iThemes Security o Wordfence ya dispones de esta opción en la propia configuración del complemento y no necesitas instalar ningún complemento adicional.

4. Utiliza un sistema de Captcha

Seguro que estás muy acostumbrado a tener que probar que «no eres un robot» cuando te registras en alguna página, al escribir un comentario o al regenerar una contraseña, por ejemplo.

Estos sistemas de CAPTCHA  en WordPress son útiles, ya que impiden a los bots realizar intentos masivos de acceso a tu web. Un humano sería incapaz de realizar tantos intentos seguidos y en tan poco tiempo, así que si le pedimos que antes de comprobar la validez de las credenciales resuelva una pequeña operación matemática, escriba la palabra que ve en la imagen o seleccione una fotografía determinada, las cosas cambian ¡y mucho!

Un bot no es capaz de hacerlo, así que es una muy buena manera de aplicar una doble autenticación en WordPress. Por ejemplo, con el plugin Google Captcha (reCAPTCHA) by BestWebSoft puedes hacerlo fácilmente siguiendo estos pasos:

1º. Instala y activa el plugin en tu aplicación.

2º. En la columna de la izquierda verás que se crea una nueva sección «Googe Captcha», accede a ella y pulsa sobre «Configuraciones».

Plugin Google Captcha

Una vez que hayas conectado tu web con el sistema de Capcha de Google, introduce las claves que te facilitan para poder conectar tu web.

3º. No podrás acceder a todas las opciones del plugin, ya que solo están disponibles en la versión pro, pero con la gratuita tienes suficiente para proteger el login de WordPress. Selecciona al menos la opción «Formulario de acceso» y, si crees que las demás también son útiles, hazlo. Por último, pulsa sobre «Guardar cambios».

Configuración de Google Captcha

De esta manera, cada vez que intentes acceder al login de WordPress, deberás demostrar que no eres un bot. No te llevará más de dos segundos hacerlo, en cambio, es una barrera muy difícil de atravesar por los bots.

Google Captcha en el login de WordPress

Recapitulando…

Como ves, hay diferentes formas de proteger el wp-admin o el login de WordPress. Yo te acabo de mostrar 4 buenas opciones para hacerlo que no son excluyentes entre sí y que puedes configurarlas en solo unos pocos minutos. Será una buena forma de mantener tu web y todo tu trabajo a salvo de los ciberdelincuentes.

Ahora es tu turno. ¿Cómo proteges tú el login de WordPress? ¿Cuál de las formas que acabas de ver crees que es más efectiva?

¡Puntúa este artículo!

Total votos: 16. Promedio: 4.9

18 Comentarios
  • Fran RR
    Posted at 13:28h, 12 enero Responder

    Muchas gracias por el aporte, era usuario del plugin que funciona muy bien pero si tenemos la opción de código lo preferimos. Hemos copiado el código revisandolo todo bien pero no funciona, tampoco da ningún error. Lo he pegado en .htaccess en la primera línea porque veía en vuestro ejemplo que esta en la línea 1, también en la última, y como última opción cambiamos el http:// por un https:// pensando que quizás nuestro dominio al ser con S «https://» podría ser esto. Nada, se guarda el archivo con extito, no da ningún error las líneas con la típica X cuando esta mal, pero no funciona. Gracias por arrojar cualquier luz al respecto

    • María Acibeiro
      Posted at 13:38h, 12 enero Responder

      Hola Fran, ¿qué paso no te funciona? ¿»Cambiar la URL de acceso a tu WordPress» o «Protege el directorio del login con usuario y contraseña»?

      En todo caso, si tienes tu web con nosotros y quieres que lo revisemos en tu sitio, escríbenos a soporte@lucushost.com y te echamos una mano 🙂

  • Nicolás Oñate Madrid
    Posted at 21:19h, 25 octubre Responder

    Muy buen artículo. Gracias por compartirlo.
    *************************************************************

    Yo tengo una duda, hay una cosa que no entiendo no tiene que ver con esta entrada en concreto, sino con vuestro blog en General. No veo ningún enlace en vuestro sitio al blog, si hay no lo encuentro.
    He tenido que añadir /blog a https://www.lucushost.com para conseguir https://www.lucushost.com/blog/
    y así si poder acceder a vuestro blog.

    • María Acibeiro
      Posted at 10:14h, 26 octubre Responder

      Hola Nicolás,

      Gracias a ti por leernos 🙂

      Tenemos el enlace al blog en la cabecera de la web:

      Teléfono 24/7 – Contacto – Blog – Ayuda – Empresa – Afiliados – Área de clientes

      De todas formas, por lo que dices, intuyo que es poco visible… Voy a pasar nota de esto al equipo correspondiente para que lo revisen y puedan mejorarlo en un futuro.

      Muchas gracias 🙂

  • Tania Cruz
    Posted at 18:28h, 06 abril Responder

    Estimados, mi nombre es Tania , yo accedo a http://www.mipaginaweb.cl/wp-admin y solo me muestra la pagina de home de inicio pero no me permite ver el menu vertical de wordpress. Alguien me puede ayudar.
    Gracias

    • María Acibeiro
      Posted at 09:26h, 07 abril Responder

      Hola Tania, ¿qué tal?

      Esa página parece que no está hecha en WordPress. ¿Eres tú la administradora?

  • Apeguero
    Posted at 02:10h, 01 noviembre Responder

    Excelente recomendación. También podría probar con un doble factor de autentificación(Google Authenticator).

    • María Acibeiro
      Posted at 10:53h, 02 noviembre Responder

      Genial, muchas gracias por tu aportación 🙂 Lo cierto es que yo nunca lo he probado, pero me lo apunto para hacer una entrada sobre eso. ¡Saludos!

  • Carlos
    Posted at 00:03h, 18 julio Responder

    Hola,hice esto y luego a mi como administrador no me permite entrar

    • Verónica
      Posted at 10:02h, 21 julio Responder

      Hola Carlos,

      Acabo de seguir los pasos y he podido comprobar que funcionan correctamente, por lo tanto solo se me ocurre que no hayas hecho de forma correcta alguno de los pasos o que por alguna configuración particular de tu actual proveedor de hosting no te funcionara de forma correcta.
      Si has seguido los pasos y no te funciona sería necesario que abrieras la consulta con tu proveedor de hosting para que analicen a que es debido y que te den alguna solución.
      Si tienes tu hosting con nosotros y tienes cualquier problema a la hora de aplicar esta configuración, no dudes en escribirnos a soporte@lucushost.com y te echamos una mano 🙂

      ¡Un saludo!

  • Valeska
    Posted at 21:52h, 29 mayo Responder

    Hola,
    estaba buscando información sobre seguridad en sitios wordpress y llegué aquí, yo estoy empezando a crear una página web para un familiar (partiendo de cero) en base a tutoriales y lo poco que sabía de wordpress que aprendí en un trabajo. Instalé el plugin IThemes, y más o menos día por medio me llega un mail de wordpress diciendo: «Aviso de Bloqueo de sitio. Demasiados intentos fallidos de inicio de sesión». ¿Es normal que nuestros sitios sean «atacados» tan seguido? La verdad me asusté un poco. (Es un sitio web informativo de una microempresa, pero no está terminada, apenas empezada)

    Voy a intentar agregar alguno de estos pasos de seguridad, muchas gracias! 🙂

    • María Acibeiro
      Posted at 08:45h, 01 junio Responder

      Hola Valeska,
      Lo mejor es tomar medidas preventivas, desde un buen plan de hosting que incluya medidas de seguridad (por ejemplo, nosotros utilizamos Imunify360), hasta la actualización de plugins y plantillas para evitar que algún usuario malicioso se cuele en tu aplicación.
      Genial, pues ya nos contarás cómo te queda ese proyecto 🙂 ¡Un saludo!

  • Lucas
    Posted at 15:46h, 03 mayo Responder

    Buenas.
    Estaba siguiendo tus instrucciones para proteger el wp-admin, y tal como lo tienes redactado, das instrucciones para proteger el public_html … sobre todo para los que no nos enteramos mucho.
    Solo añadiría a tu explicación, que clickando los iconos de carpetas ( y NO los nombres ) naveguemos dentro de public_html hasta llegar a ver wp-admin y ahora si, clickemos sobre el nombre wp-admin para protegerlo.

    Saludos.

    • Verónica Casas
      Posted at 20:04h, 09 mayo Responder

      ¡Tienes toda la razón Lucas! Ya lo hemos añadido, muchas gracias por el apunte 🙂 Un saludo.

  • Marco
    Posted at 20:35h, 01 junio Responder

    Muy buen artículos. Gracias por compartirlo. Lo he imprementado en mi sitio web y funciona super bien.

    • Verónica Casas
      Posted at 20:12h, 04 junio Responder

      Genial Marco, me alegra que te fuera de ayuda nuestro artículo 🙂

  • RLópez
    Posted at 23:57h, 10 abril Responder

    Excelente información

    • Verónica Casas
      Posted at 15:37h, 12 abril Responder

      Raúl, me alegra que te haya sido útil nuestro post. Gracias por leernos!

Escribe un comentario