Cómo cambiar y ocultar la URL de acceso a WordPress

En el manual del hacker novato uno de los primeros ejercicios debe ser, con diferencia, entrar mediante fuerza bruta en un sitio WordPress desde la pantalla de acceso, que por defecto siempre estará en https://dominio.com/wp-login.php.

Así que solo tienen que poner en marcha su monitor de URLs con wp-login.php y empezar a lanzar ataques de fuerza bruta a toda web que tenga accesible esa URL.

Es por este motivo que una de las primeras líneas de defensa de todo sitio WordPress debe ser ocultar o cambiar la URL de acceso a la administración de WordPress, o proteger el acceso mediante la doble verificación.

Hoy vamos a aprender lo primero: ocultar o cambiar la URL de acceso a la administración de WordPress.

Cambiar y ocultar la URL de acceso a WordPress con plugins

Una de las maneras más sencillas y libres de riesgo de cambiar y ocultar la url de acceso a la administración de WordPress es hacerlo con plugins.

Te evitas tener que modificar archivos del núcleo de WordPress o del servidor, y siempre puedes cambiar de plugin o de método de manera sencilla, además de que los desarrolladores se ocuparán ellos de ir actualizando su plugin a medida de las crecientes necesidades de seguridad o mejoras solicitadas por los usuarios.

Lo mejor es que hay muchos plugins para este objetivo de seguridad, muchos…

Pero vamos, que no tienen pegas siempre que funcionen bien, y los que te voy a recomendar a continuación funcionan todos a la perfección.

WPS Hide Login

Este es uno de los plugins más populares y sencillos de usar para este objetivo de cambiar/ocultar la URL de acceso a WordPress.

Nada más instalarlo y activarlo pásate por sus ajustes, que encontrarás al final de la pantalla de ajustes generales de WordPress (me encanta), elige la nueva URL y, de paso la URL a la que quieres mandar a los que traten de acceder a la pantalla de acceso por defecto.

Guarda los cambios y ya está. ¿Quién dijo que fuese difícil?

iThemes Security

Si ya utilizas el plugin de seguridad iThemes Security no necesitas instalar ningún plugin adicional, ya incorpora gratis esta herramienta de ocultar la pantalla de acceso a WordPress.

El ajuste se llama «Ocultar escritorio»

Simplemente configúralo eligiendo tu nueva URL de acceso y a la que quieres mandar a los que traten de acceder a la URL por defecto de WordPress.

Guarda los cambios y, además de tener ya oculta la URL de acceso a WordPress, todos los usuarios de la web recibirán un amable correo electrónico con la nueva URL de acceso ¿se puede hacer mejor?

SG Security

El plugin de seguridad creado por SiteGround, disponible para cualquier instalación WordPress, no solo webs alojadas en sus servidores, también incorpora, además de la doble verificación, la utilidad de cambiar la URL de acceso, incluso la de registro entre sus herramientas.

All In One WP Security & Firewall

También este popular plugin de seguridad ofrece la característica de ocultar la URL de acceso a WordPress.

Pásate por los ajustes de fuerza bruta y ahí lo encontrarás. Solo tienes que activar la herramienta, elegir la nueva URL y guardar los cambios.

Cambiar y ocultar la URL de acceso a WordPress desde .htaccess

Si eres de los que prefieres tener todos tus códigos controlados y no depender de terceros es posible que te hayas planteado si hay otras maneras de cambiar la URL de acceso a WordPress.

Y sí, efectivamente, una de ellas es cambiar la URL de acceso a la administración de WordPress en un servidor Apache usando el archivo .htaccess. ¿Vamos a ello?

Aquí tienes el código que estabas esperando:

# BEGIN Ocultar URL login WP
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^tu_url_personalizada/?$ /wp-login.php?tu_clave_secreta [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^tu_url_personalizada/?$ /wp-login.php?tu_clave_secreta&redirect_to=/wp-admin/ [R,L]
RewriteRule ^tu_url_personalizada/?$ /wp-admin/?tu_clave_secreta [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)tudominio.com/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)tudominio.com/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)tudominio.com/tu_url_personalizada
RewriteCond %{QUERY_STRING} !^tu_clave_secreta
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?tu_clave_secreta [R,L]
</IfModule>
# END Ocultar URL login WP

¿Qué debes cambiar en el código anterior?

Para que el código anterior funcione correctamente debes cambiar algunos valores:

  1. tu_url_personalizada — Esta será tu nueva URL para acceder a la administración del sitio. Crea la tuya propia, por ejemplo escritorio o panel_de_control o mi_casa o algo así. Trata de que sea única porque los bots actuales aprenden bastante rápido las direcciones de acceso más utilizadas.
  2. tudominio.com — La dirección de tu web, sin https://. Cámbiala a la tuya.
  3. tu_clave_secreta — Esto debes reemplazarlo por una clave secreta que crees. Debería ser una cadena de letras y números en orden aleatorio preferentemente. Por ejemplo, 92dkew1e9383d4wjpe o algo similar. Guárdala en un lugar seguro por si la necesitas o quieres cambiarla.

Cuando guardes los cambios la página de acceso estará en tudominio.com/tu_url_personalizada, por ejemplo – ayudawp.com/mi_casa.

Lo he probado y funciona de maravilla, mostrando un error si tratas de acceder a las URLs de acceso y administración por defecto de WordPress.

(10 votos, promedio: 5) Valora este artículo para ayudar a mejorar la calidad del blog

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

Sobre el autor

8 comentarios en “Cómo cambiar y ocultar la URL de acceso a WordPress”

  1. ¿Qué pasa si tienes usuarios que se loguean? Como un sitio de membresía con MemberPress. Tiene su propio login, pero creo que por detrás acaba usando wp-login.php

  2. Excelente, Fernando. Uso el All in One WP security y aún sabiendo de la existencia de esa opción me daba un poco de «nosequé» el usarla. Pero viendo el log de ataques brutos creo que lo activaré en todos los blogs que administro. Saludos!

  3. Hola Sr. Una pregunta, esta propuesta que ud indica puede emplearse para un equipo de trabajo con diferentes roles (ejem editor1,editor2, administrador) de un sitio web en wordpress???? . Gracias 😉

    1. No, este cambio de URL es para todos los usuarios con acceso a wp-admin. A los usuarios de una tienda online, por ejemplo, no les afecta, porque el acceso es desde portada, no acceden a wp-admin

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información base sobre privacidad:
  • Responsable: Fernando Tellado ([email protected])
  • Fin del tratamiento: Moderación de comentarios para evitar spam
  • Legitimación: Tu consentimiento
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  • Derechos: Acceso, rectificación, portabilidad, olvido

 

Ir arriba Ir al contenido